Dans les versions précédentes de la plateforme Cyberwatch, il était possible de déployer des correctifs automatiquement pour Windows et les applications Microsoft supportées par KB. Avec la mise à jour 14.6, il est désormais possible de déployer des correctifs sur des logiciels tiers, à l’aide du gestionnaire de packages Windows, aussi connu sous le nom de Windows Package Manager ou WinGet.
Voyons ensemble en quoi consiste cette nouvelle fonctionnalité et comment optimiser le patch management des applications Windows.
Améliorer le patch management des applications Windows
Qu’est-ce que le patch management ?
Le patch management est le processus de distribution et d’application des mises à jour à des logiciels. Avoir une stratégie et des outils permet :
- De corriger les vulnérabilités présentes sur les systèmes ;
- D’optimiser le temps passé à déployer les mises à jour ;
- De s’assurer que l’ensemble du parc a été patché.
Qu’est-ce que Windows Package Manager ?
Windows Package Manager est un gestionnaire de paquets publié par Microsoft permettant entre autres d’installer, de mettre à jour et de désinstaller des logiciels, même si ces derniers n’ont pas été installés avec Windows Package Manager.
Il permet de compléter les possibilités de patch management sur les environnements Windows directement sur l’interface Cyberwatch. Mais alors comment l’utiliser et comment mettre à jour efficacement les applications Windows ?
Mise en place du patch management avec la plateforme Cyberwatch
Désormais, les applications tierces sur Windows pourront également être mises à jour directement depuis la plateforme Cyberwatch. Cette nouveauté est compatible avec toutes les fonctionnalités de mises à jour déjà en place.
Comme les applications tierces installées sur les environnements Windows ne sont pas mises à jour via Windows Update, elles sont plus difficilement mises à jour et souvent oubliées, surtout si elles ont été installées hors d’un processus de déploiement centralisé. Les vulnérabilités liées à ces applications augmentent la cyber exposition de votre système d’information
Combiner l’utilisation de la plateforme Cyberwatch avec Windows Package Manager est donc un bon moyen de corriger les vulnérabilités liées à ces applications.
Quels sont les prérequis ?
Windows Package Manager est installé par défaut sur les Windows 11, les versions modernes de Windows 10 et Windows Server 2025. Il n’y a donc pas de configuration supplémentaire à faire sur ces systèmes d’exploitation.
Quelles sont les applications déployables ?
Pour utiliser cette fonctionnalité, l’application doit être supportée à la fois par la plateforme Cyberwatch et le gestionnaire de packages Windows. On retrouve la majorité des applications usuelles comme les navigateurs, les applications de bureautique, de développement, les bases de données et d’autres logiciels très utilisés.
Pour vérifier qu’une application est couverte par le déploiement des correctifs, vous pouvez vérifier que le logiciel est supporté par Cyberwatch (Liste des logiciels couverts) et par le gestionnaire de packages Windows (winget-pkgs).
4 Étapes pour utiliser Windows Package Manager dans Cyberwatch
Parcourons ensemble ces quatre étapes afin d’utiliser le gestionnaire de packages Windows sur votre instance Cyberwatch :
- Superviser l’actif ciblé avec la plateforme Cyberwatch
- Windows Package Manager est détecté automatiquement lors du scan de l’actif
- Dans le menu « Administration », autoriser le déploiement de correctifs ainsi que le déploiement de correctifs via le gestionnaire de packages Windows.
- Sur la fiche de l’actif, dans le menu « Gestion des correctifs », on peut désormais voir que les applications Windows supportées peuvent être mises à jour depuis l’interface.
Optimisation du patch management des applications Windows
Le patch management fait partie intégrante du cycle de gestion des vulnérabilités proposé par Cyberwatch.
Afin d’optimiser le déploiement des correctifs, il est possible de s’appuyer sur les outils proposés par Cyberwatch, tout en respectant la politique de patch management mise en place au sein de votre organisation.
Les correctifs peuvent être déployés depuis la page d’un actif comme vu précédemment, ou depuis l’inventaire des actifs à l’aide des actions groupées. Vous pouvez également créer de politique de déploiement afin de planifier automatiquement les actions de mise à jour lors de vos périodes de maintenance.
En effet, cette dernière permet de définir les jours et plages horaires pendant lesquelles les actifs peuvent installer des correctifs. Avec Windows Package Manager, ce seront alors les mises à jour cumulatives Windows, Microsoft et les applications tierces qui seront mises à jour.
Pour créer une politique de déploiement, rendez-vous dans le menu « Réglages » de Cyberwatch, puis dans « Politiques de déploiement et de redémarrage » :
Astuce : Vous pouvez créer une politique différente pour vos serveurs et vos postes de travail Windows pour respecter les heures de mises à jour de ces deux catégories d’actifs. Ces politiques peuvent être assignées automatiquement aux actifs via une règle d’actif en fonction des caractéristiques de l’actif.
Enfin, il est possible de compléter ce déploiement avec une politique de redémarrage afin de finaliser l’installation des correctifs. Cette dernière se met en place de la même façon.
Utiliser le patch management pour mieux prioriser les applications
Afin d’optimiser le temps passé à corriger les vulnérabilités, il est possible de patcher automatiquement une partie du parc informatique pour se concentrer sur les actifs les plus critiques.
Les logiciels tiers installés sur des actifs Windows sont traditionnellement les applications les plus porteuses de vulnérabilités. Pour y remédier, on peut mettre en place une politique de déploiement comme décrit ci-dessus pour diminuer automatiquement le nombre de vulnérabilités sur ce groupe d’actifs non critique. Les patchs déployés comprendront les mises à jour via Windows Package Manager.
La gestion des vulnérabilités s’en retrouve simplifiée : on automatise la correction des vulnérabilités sur Windows et Linux sur ces actifs, ce qui permet de réduire le temps de remédiation et le nombre de vulnérabilités prioritaires à corriger sur votre système d’information. Cela vous permet d’utiliser au mieux le temps de vos équipes sur d’autres tâches comme la supervision des actifs les plus critiques.
En résumé
La prise en charge du gestionnaire de packages Windows a considérablement agrandi le nombre d’applications qu’il est possible de mettre à jour nativement depuis Cyberwatch. Grâce aux outils de politiques de déploiements, il ne vous reste qu’à paramétrer votre instance et vous lancer dans la chasse aux vulnérabilités sur Windows !
N’hésitez pas à partager cet article et si vous souhaitez en savoir plus ou demander une démonstration, contactez nos experts, nous reviendrons vers vous sous 24h.