L’arrivée de LLM comme Mythos d’Anthropic ou GPT-5.5 Cyber d’OpenAI bouleverse le secteur de la cybersécurité aussi bien pour les RSSI que pour les fournisseurs IT. Avec la capacité de découvrir rapidement de nombreuses failles, ces modèles soulèvent la question de la gestion des correctifs. Dans ce cadre, Oracle va réviser la fréquence de ses patchs pour ses différents produits (ERP, bases de données,…) en passant d’un cycle trimestriel à un rythme mensuel.

Il rejoint ainsi d’autres éditeurs comme Microsoft, SAP ou Adobe qui livrent leurs patchs mensuellement et plus exactement le deuxième mardi de chaque mois. Oracle, quant à lui, adopte une approche différente. la première de ses mises à jour critiques de sécurité (CSPU) mensuelles sera publiée le 28 mai, le quatrième jeudi du mois, puis les suivantes le troisième mardi de chaque mois, soit une semaine après les autres éditeurs. Les prochaines publications auront lieu les 16 juin, 21 juillet et 18 août, comme l'a annoncé l'entreprise en début de semaine. Avec ce décalage par rapport à ses concurrents, Oracle veut éviter la création d'un « mardi noir » pour les administrateurs systèmes qui seraient submergés par des correctifs critiques à appliquer.

Ce nouveau rythme de publication concernera principalement les clients exécutant des applications Oracle sur site ou dans leurs propres environnements d'hébergement ou ceux de tiers. Pour les entreprises utilisant le logiciel dans un cloud géré par Oracle, les correctifs sont appliqués automatiquement. Le fournisseur indique que les CSPU « offrent des correctifs ciblés pour les vulnérabilités critiques dans un format plus concis et précis, permettant aux clients de résoudre les problèmes prioritaires sans attendre la prochaine mise à jour trimestrielle ». La société garde en effet une version trimestrielle de sa mise à jour de sécurité combinant l’ensemble des correctifs livrés mensuellement. Une transition en douceur pour les RSSI…