Processus de mise à jour des solutions de protection des endpoints
La perturbation informatique mondiale causée par la mise à jour de contenu d’un fournisseur de sécurité a suscité de nombreuses conversations sur les processus d’assurance qualité relatifs aux solutions de protection des endpoints et aux mises à jour de ces dernières. Chez WatchGuard, forts de plus de 30 années d’expérience dans ce secteur, nous sommes bien conscients du caractère sensible des processus de mise à jour c’est pourquoi il nous paraissait important de revenir sur ceux que nous avons mis en place pour protéger notre précieuse communauté de partenaires et nos clients des impacts d’un déploiement de mise à jour défectueux.
Les solutions de sécurité pour les endpoints sont étroitement liés au système d’exploitation (OS) et nécessitent donc des processus plus robustes en termes de qualité. La singularité de ces produits et les exigences en matière d’accès privilégié au système d’exploitation rendent le processus de développement et d’assurance qualité (QA) plus complexe que pour les autres types de développement logiciel. Ce type de logiciel étant déployé sur des dizaines voire des centaines de millions d’endpoints et dans des contextes extrêmement divers, nous ne pouvons pas tester à l’identique tous les environnements dans lesquels le produit fonctionnera. Pour résoudre ce problème, les équipes techniques de WatchGuard ont mis en place un processus qui, tout en restant adapté au rythme de déploiement des mises à jour, limite la possibilité de perturber les opérations courantes.
Processus de mise à jour des solutions de protection des endpoints de WatchGuard
Phase 1 - Version « Amis & famille »
Le processus, qui est expliqué dans cet article technique, commence une fois que l’équipe Qualité a complété toutes les procédures internes de test alpha et bêta d’une mise à jour. Une fois le logiciel certifié, nous commençons par une étape que nous appelons en interne le test « Amis & famille », parce qu’il s’agit de son rôle initial : permettre aux amis et à la famille de tester la nouvelle solution en production.
À l’origine, il y a près de 10 ans, nous avons commencé par mettre à niveau nos systèmes personnels, à la fois les systèmes d’entreprise et les appareils personnels utilisés à la maison. Nos systèmes WatchGuard internes, non seulement les ordinateurs personnels, mais aussi les serveurs de production, sont parmi les premiers à être inclus dans le déploiement « Amis & famille ».
Au fil du temps, cet environnement s’est beaucoup diversifié, jusqu’à concerner des centaines de comptes et des milliers d’endpoints. Certains de nos partenaires les plus stratégiques et certains administrateurs clients ont souhaité se joindre à l’adoption précoce de nos nouvelles versions, ce qui a permis d’ajouter ces environnements clients à nos premiers tests « Amis & famille ».
Tous les systèmes inclus à cette étape sont hautement surveillés. Nous avons également ajouté la télémétrie étendue pour vérifier que les nouvelles versions ne se comportent pas différemment de celles en cours de mise à niveau. Parmi les données étendues, nous téléchargeons et surveillons les pannes et les erreurs potentielles, mais aussi les données sur l’état, telles que la mémoire consommée ou l’utilisation moyenne du processeur.
En fonction des changements, nous maintenons cette étape suffisamment longtemps pour vérifier que le déploiement initial a réussi et qu’il fonctionne correctement pendant une période convenable.
Notre équipe d’experts est aussi très active au cours de cette étape afin d’identifier tout nouveau problème potentiel. En effet, celle-ci est la principale contributrice pour décider si nous pouvons passer à l’étape suivante du processus de mise à jour. Lorsque notre équipe technique est satisfaite de la version et que tous les indicateurs sont en dessous des seuils définis, nous passons à l’étape suivante.
Phase 2 – Version contrôlée
L’étape suivante consiste à notifier sur la console Cloud qu’une nouvelle version est disponible. Notre intention est d’informer nos partenaires et clients qu’ils peuvent commencer à déployer la nouvelle mise à jour. Il est possible, comme décrit dans cet article technique, d’effectuer la mise à niveau de vos systèmes de manière contrôlée.
Cette étape peut durer plusieurs semaines, pendant lesquelles nous surveillons les nouveaux appareils mis à niveau. Comme durant l’étape « Amis & famille », nos équipes d’experts techniques sont très actives pour identifier les comportements anormaux qui pourraient être liés à la nouvelle version.
Phase 3 – Processus de mise à niveau automatique
Une fois que nous sommes satisfaits de la nouvelle version, nous commençons les phases de mise à niveau automatique. Encore une fois, le nombre de phases dépend des changements, mais celles-ci sont généralement divisées en trois ou quatre étapes, au cours desquelles nous commençons à proposer la mise à niveau aux clients.
Processus de mise à jour de contenu de WatchGuard
Le processus de mise à jour de contenu est similaire. Dans ce cas, nous avons un environnement fonctionnant par étapes similaire à celui de notre phase « Amis & famille », qui inclut des centaines de comptes et des milliers d’appareils. Une fois le contenu certifié, nous commençons par publier la mise à jour dans cet environnement. Comme à l’étape « Amis & famille », cet environnement est hautement surveillé en termes de données d’état. Toute déviation par rapport à la performance précédente est évaluée et testée à nouveau dans cet environnement. Ce n’est que lorsque ce processus est terminé, sans que de nouveaux problèmes soient apparus, que nous proposons la mise à jour à nos partenaires et clients.
Profitons d’ailleurs de cette occasion pour reconnaître les efforts et la valeur ajoutée qui résulte du travail quotidien de nos équipes internes de développement, d’assurance qualité, de DevOps et d’assistance, permettant de nous assurer que nous maintenons la solution à jour contre les nouvelles menaces et évitons les problèmes pour nos partenaires et nos clients. Il est également important de rappeler l’engagement continu de WatchGuard envers la réévaluation, la révision et l’évolution de ces processus, pour continuer à mériter votre confiance.
Enfin, étant dans ce secteur depuis plus de vingt-cinq ans et connaissant l’impact douloureux d’un déploiement raté, nous n’aimons voir pas voir d’autres entreprises impactées. Lorsque nous sommes témoins de tels événements, notre réaction est toujours de redoubler d’efforts pour vérifier que nous protégeons nos partenaires et nos clients contre les menaces réelles et de rester vigilants dans la réévaluation constante de nos processus internes.