AVIS D’EXPERT – Selon un rapport de Forrester pour Unqork, 40 % des budgets IT d’entreprises sont consacrés à la maintenance de logiciels existants et systèmes hérités, ce qui amène à la question de la dette technique. Cette dernière est à prendre très au sérieux au sein des organisations, car elle est susceptible d’entrainer des coûts de maintenance élevés, un risque d’erreurs plus important ainsi qu’une perte de vitesse en termes d’innovation et de compétitivité. Dirk Schrader, Field CISO EMEA et vice-président Security Research de Netwrix, nous explique qu’il existe cependant des solutions pour palier cette difficulté que rencontrent nombre d’entreprises.
Imaginons l’hypothèse suivante : une maison construite il y a un siècle est achetée. Pour assurer le confort et la sécurité de la famille qui s’y installe, celle-ci décide de moderniser la plomberie et le système électrique afin d’assurer leur conformité aux normes modernes. Cependant, elle ne dispose d’aucun schéma pour guider les travaux et doit mener le chantier en laissant les ampoules allumées et les robinets ouverts. Ce scénario reflète les obstacles que rencontrent les entreprises qui utilisent des systèmes informatiques « historiques », c’est-à-dire des équipements, des applications ou des méthodes hors d’usage, mais qui sont encore utilisés quotidiennement. Pour certains processus opérationnels, nombre d’entreprises continuent par exemple d’utiliser un système d’exploitation dépassé tel que Windows 7, un ancien système de gestion de base de données comme Oracle 8i ou SQL Server 2000, ou encore des protocoles d’authentification, de chiffrement ou de connectivité qui sont désormais trop anciens pour être performants. Tout comme les installations dans une maison ancienne, ces systèmes hérités sont utilisés en permanence, de sorte que les entreprises ne peuvent s’en débarrasser. Toutefois, une refonte importante est indispensable pour répondre aux normes de conformité et de sécurité en vigueur, ce qui représente un processus aussi difficile et que risqué.
Systèmes informatiques hérités
Pour réduire leur dette technique, les entreprises doivent identifier la totalité des outils les plus vulnérables aux cybermenaces, à savoir les systèmes informatiques qui ne sont plus pris en charge par leur éditeur tels que les logiciels et protocoles obsolètes mentionnés ci-dessus. Côté matériel, il y a les mainframes, les systèmes de sauvegarde sur bande et les systèmes qui reposent sur des logiciels obsolètes pour lesquels l’expertise diminue sont d’autres exemples de systèmes hérités. Les entreprises doivent par ailleurs identifier les systèmes qui ne sont pas correctement documentés et administrés par le service IT, par exemple en recherchant les systèmes récupérés à l’issue d’une fusion, d’une acquisition ou de toute autre opération, et susceptibles d’être documentés « quelque part » en dehors du circuit classique de l’entreprise. Autre sujet de préoccupation majeur, l’informatique fantôme, qui englobe les systèmes informatiques mis en œuvre par des employés à l’insu du service IT et, de fait, hors de son contrôle. Ce processus de découverte ne constitue pas un évènement ponctuel : il est impératif de garder à l’esprit que le cycle de vie des systèmes informatiques actuels est relativement bref — dans de nombreux cas, les logiciels doivent être mis à jour chaque année, tandis que le matériel est considéré comme dépassé après environ trois ans.
Risques liés à la sécurité et à la conformité
Il existe de nombreuses cyberattaques documentées dans lesquelles un système informatique ancien ou non documenté a été à l’origine d’une compromission majeure de données. En effet, ces systèmes peuvent être plus facilement exploités par des attaquants, dans la mesure où la plupart des fournisseurs interrompent la prise en charge des anciennes versions de leur technologie à partir d’une certaine date, et cessent de publier le moindre correctif de sécurité. En outre, les systèmes existants sont souvent dépourvus de fonctions de sécurité avancées, mais ils peuvent aussi être incompatibles avec les outils et les techniques de sécurité modernes, ce qui peut rendre difficile la détection et la réponse aux cybermenaces pour les organisations. Le fait de continuer à utiliser des systèmes IT anciens expose également les sociétés à des risques de non-conformité. Les législations relatives à la protection des données obligent généralement les entreprises à prendre des mesures appropriées pour atténuer les risques de sécurité, de sorte que l’emploi d’équipements et de logiciels obsolètes augmente les risques de décisions défavorables lors d’un audit et de pénalités accrues en cas d’incident de sécurité.
Quelles stratégies adopter ?
Pour minimiser les risques que soulèvent les systèmes informatiques historiques, les entreprises doivent procéder de façon prioritaire et régulière à la mise à jour de leurs systèmes, et appliquer sans délai les correctifs de sécurité, faute de quoi leurs systèmes IT se transformeront à leur tour en systèmes « hérités ». Elles doivent tout aussi régulièrement procéder à des évaluations de vulnérabilité et à des tests de pénétration dans le but d’identifier leurs points faibles, notamment au niveau des équipements et logiciels obsolètes que des adversaires mal intentionnés ne se priveront pas d’exploiter. De manière plus générale, il revient aux entreprises de mettre en œuvre un programme complet visant à renforcer leurs systèmes. Et dans la mesure où, sur la durée, aucun système informatique ne peut préserver sa configuration de sécurité initiale, elles doivent également se doter d’un solide processus de suivi des modifications, capable de faire la distinction entre les changements planifiés (correctifs) et les changements non désirés, voire dangereux, induits par des scripts erronés ou des acteurs malveillants.
Avoir un environnement informatique en permanence neuf et impeccable serait idéal, mais cela est rarement le cas
Difficile de se débarrasser de la plomberie d’une vieille maison
Enfin, les entreprises doivent prendre des mesures pour atténuer les risques liés aux systèmes informatiques hérités dont elles ne peuvent se séparer. Ainsi, en utilisant la technique de segmentation pour isoler les systèmes informatiques existants du reste du réseau, elles limiteront les dommages potentiels et réduiront leur délai de rétablissement en cas de cyberattaque visant un système existant. Avoir un environnement informatique en permanence neuf et impeccable serait idéal, mais cela est rarement le cas. La quasi-totalité des entreprises utilise des systèmes informatiques historiques qu’il leur est simplement impossible de remplacer, de la même manière qu’il est difficile de se débarrasser de la plomberie d’une vieille maison. Ainsi, les organisations n’ont d’autre choix que de sécuriser leurs systèmes IT existants, et heureusement, des solutions peuvent les aider à relever ce défi.
Dirk Schrader, Field CISO EMEA et vice-président Security Research de Netwrix
