Patch Manager Plus permet aux administrateurs d’effectuer un déploiement sélectif de correctifs sensibles de sorte à répondre aux besoins de conformité de l’entreprise. Les administrateurs apprécient la commodité des options suivantes :
Tout administrateur craint que l’application de mises à jour ou de correctifs n’entraîne un problème. Si, après avoir déployé des correctifs pour des groupes de test, un correctif s’avère engendrer un échec d’une application ou d’un système d’exploitation, il peut le déclasser pour tous les systèmes jusqu’à ce que l’éditeur concerné apporte une solution adéquate. Il existe aussi des cas où certaines applications ne fonctionnent qu’avec une version donnée de Java. Sa mise à jour risque d’entraîner une défaillance d’applications critiques, ce qui peut nécessiter une réinstallation complète. L’option de déclassement permet donc d’éviter que le déploiement de correctifs ne provoque des problèmes inédits sur des systèmes clients.
Cette option concerne les applications utilisées par un système d’exploitation ou une plateforme matérielle d’ancienne génération et dont les mises à jour de sécurité/version ne sont plus requises. Par exemple, l’adoption de réseaux client/serveur a rendu les applications mainframe héritées. Les applications Windows 7 exécutées sous Windows 8 sont appelées des applications héritées.
Parfois, on peut estimer que les correctifs déployés pour installer la dernière version d’une application sont indésirables pour le réseau de l’entreprise. Par exemple, imaginons que la DSI d’une organisation juge que le déploiement de la dernière version de Java sur ses systèmes risque d’altérer certaines applications du fait de problèmes d’incompatibilité. Pour répondre aux besoins de l’entreprise, on recommande d’arrêter la mise à jour d’une application en la déclassant dans les groupes personnalisés requis.
Chaque environnement est différent. Dans certains environnements, on installe les mises à jour de sécurité et critiques, et dans d’autres on les installe toutes. Dans ce cas, l’automatisation de la gestion des correctifs fait que tous les correctifs manquants sont déployés sur les ordinateurs cibles, quel que soit leur degré de vulnérabilité. Cela aboutit à déployer des correctifs sans prioriser ceux à traiter en premier et ceux dont on peut retarder le déploiement en raison d’une moindre vulnérabilité. Dans ce cas, les administrateurs sont en mesure de prioriser le déploiement de correctifs très critiques en retardant celui de ceux moins critiques que l’on peut déclasser temporairement.
La mise à jour corrective des systèmes serveurs est foncièrement différente de celles des postes de travail en termes de portée des correctifs concernés. L’une des tâches les plus difficiles incombant aux administrateurs de serveurs consiste à déterminer la priorité des correctifs pour les serveurs. Cela ne se limite pas au serveur, mais englobe aussi les applications qu’il exécute et bien d’autres éléments. S’il faut déployer divers correctifs sur les systèmes serveurs, on risque le chaos. Les ordinateurs et les serveurs stratégiques présentent souvent des périodes données au cours desquelles des changements et des redémarrages sont permis. Il est donc toujours recommandé de prioriser les correctifs à traiter en premier et ceux à déclasser pour ne pas ralentir les systèmes critiques du fait d’interruptions ou de redémarrages soudains.
On peut rétablir les correctifs déclassés de la liste et les ajouter ultérieurement pour déploiement. Les correctifs déclassés ne sont donc pas supprimés définitivement, mais on peut révoquer leur déploiement.