Points clés
- Les systèmes ont un cycle de vie — déploiement, maturité, obsolescence — et chaque phase présente des risques de sécurité spécifiques
- La gestion du cycle de vie inclut le retrait planifié des systèmes obsolètes : 60 % des incidents exploitent des vulnérabilités dans des systèmes non supportés (ENISA)
- WannaCry (2017) : 230 000 systèmes touchés, dont une proportion importante sous Windows XP — système hors support depuis 2014
- La direction doit arbitrer le budget de modernisation des systèmes legacy en connaissance des risques de sécurité qu'ils représentent
La gestion du cycle de vie des systèmes d'information — de leur déploiement à leur retrait — est un levier de sécurité souvent sous-exploité. Les organisations tendent à gérer la sécurité de leurs systèmes en production sans anticiper les implications sécurité liées aux phases de transition : déploiement de nouveaux systèmes (risques d'intégration), maturité (dépendances accumulées, dettes techniques), obsolescence (vulnérabilités non patchées, fin de support).
Chaque phase du cycle de vie présente des risques spécifiques. La phase de déploiement expose aux risques d'intégration et de configuration (couverts dans d'autres articles). La phase de maturité expose aux risques d'accumulation de dette technique et de complexification non maîtrisée. La phase d'obsolescence expose aux risques les plus sérieux : des systèmes qui ne reçoivent plus de mises à jour de sécurité, dont les vulnérabilités connues ne seront jamais corrigées.
La gestion des systèmes en fin de vie
La gestion des systèmes en fin de vie (End of Life - EOL / End of Support - EOS) est l'un des défis les plus persistants de la sécurité des infrastructures. Les raisons pour lesquelles les systèmes obsolètes restent en production sont documentées : coût de la migration, dépendances applicatives qui rendent la migration complexe, résistance opérationnelle des équipes habituées aux anciens systèmes, et prioritisation d'autres investissements.
Ces raisons sont compréhensibles mais n'éliminent pas le risque. Un système hors support est un système dont les vulnérabilités découvertes après la date de fin de support ne seront pas corrigées. Chaque nouvelle vulnérabilité publiée dans un composant que ce système utilise devient une vulnérabilité permanente non patchable — exploitable indéfiniment.
L'intégration du cycle de vie dans la gouvernance
La gouvernance du cycle de vie des systèmes comprend : la tenue d'un registre des actifs avec leurs dates de fin de support, la planification proactive des migrations avant les dates d'EOL (pas en réaction), l'identification des systèmes critiques qui méritent un traitement de remédiation accéléré, et les décisions de gestion du risque résiduel pour les systèmes qui ne peuvent pas être migrés immédiatement.
Le NIST SP 800-53 identifie la gestion du cycle de vie des systèmes comme un contrôle de sécurité explicite. Il recommande que les organisations maintiennent un registre des actifs incluant les dates de fin de support et planifient les remplacements à l'avance, idéalement deux ans avant la date d'EOL pour disposer du temps nécessaire à une migration sécurisée.
La décision de modernisation comme décision de gouvernance
L'investissement dans la modernisation des systèmes legacy est une décision stratégique avec des implications de sécurité directes. Les systèmes legacy concentrent souvent les fonctions métiers les plus critiques — les remplacer est complexe — mais leur obsolescence crée des risques de sécurité qui augmentent mécaniquement dans le temps. Cet arbitrage doit être présenté à la direction avec une quantification du risque de sécurité associé au maintien du système legacy, permettant une décision éclairée sur l'urgence de la modernisation.
Certaines organisations choisissent d'acheter un support étendu auprès de l'éditeur (Extended Security Updates, proposés par Microsoft pour Windows 7 et Windows Server 2008 notamment) pour gagner du temps supplémentaire pour la migration. Cette option est coûteuse mais peut être justifiée pour des systèmes critiques dont la migration ne peut pas être accélérée sans risque opérationnel.
L'épidémie WannaCry a eu un impact particulièrement sévère sur le NHS britannique, forçant l'annulation de 19 000 rendez-vous médicaux et 80 millions de livres sterling de coûts directs. L'investigation du National Audit Office a révélé que de nombreux hôpitaux fonctionnaient sur Windows XP — système dont le support s'était terminé en 2014 — et que les systèmes vulnérables n'avaient pas reçu le patch MS17-010 disponible depuis mars 2017. Le maintien de systèmes hors support avait transformé le NHS en cible prioritaire pour la propagation de WannaCry.
Un audit de sécurité de l'infrastructure IT de la CJUE a révélé la présence de composants logiciels en fin de support dans plusieurs systèmes internes. Ces systèmes, résidus de migrations partielles réalisées au fil des années, n'étaient plus éligibles aux mises à jour de sécurité. L'audit a conduit à un programme de remédiation priorisé selon la criticité des systèmes concernés. La publication des résultats de l'audit dans le rapport annuel de la CJUE a été présentée comme exemple de transparence en matière de gouvernance IT.
Une attaque ciblant le système de gestion des distributeurs automatiques d'une banque taïwanaise (Far Eastern International Bank et d'autres) a exploité des vulnérabilités dans des systèmes de gestion des DAB fonctionnant sur des versions de Windows non supportées. Les attaquants avaient eu le temps de cartographier les systèmes et d'identifier les DAB dont les logiciels présentaient des vulnérabilités non patchables. Le retrait de fonds via des DAB compromis dans plusieurs pays simultanément a permis l'exfiltration de plusieurs millions de dollars. La gestion du cycle de vie des systèmes DAB est devenue depuis une priorité réglementaire dans plusieurs pays asiatiques.