Points clés
- La maintenance des systèmes critiques est un défi spécifique qui met en tension disponibilité, sécurité et contraintes opérationnelles.
- Les systèmes critiques ont souvent des cycles de vie longs qui créent des dettes techniques difficiles à apurer sans interruption de service.
- 47 % des organisations industrielles utilisent encore des systèmes d'exploitation non supportés sur leurs équipements critiques selon le rapport Claroty 2023.
- La maintenance par des tiers est l'un des vecteurs d'intrusion les plus fréquents sur les systèmes critiques : Target (2013), SolarWinds (2020), Kaseya (2021).
- DORA impose un cadre contractuel précis pour les prestataires intervenant sur les ICT systèmes critiques des entités financières.
La maintenance des systèmes critiques pose des défis qui n'ont pas d'équivalent dans les environnements bureautiques. Un système critique ne peut pas être arrêté librement pour maintenance. Un patch ne peut pas être appliqué immédiatement si le système supporte une infrastructure en exploitation continue. Un prestataire de maintenance doit pouvoir accéder au système pour intervenir, mais cet accès constitue un vecteur d'intrusion potentiel.
Ces tensions ne sont pas insolubles, mais elles requièrent des processus formels, des décisions gouvernées et des arbitrages explicites. Les organisations qui laissent ces tensions se résoudre tacitement — en acceptant par inertie le report des patches et la persistance des accès de maintenance — accumulent une dette de sécurité qui se matérialisera tôt ou tard en incident.
La gestion des correctifs sur systèmes critiques
Les systèmes critiques présentent des contraintes spécifiques pour l'application des correctifs de sécurité. Les fenêtres de maintenance sont limitées ou inexistantes pour certains systèmes OT et industriels. Les processus de qualification des patches peuvent prendre des semaines ou des mois pour des équipements certifiés (médical, nucléaire, aviation). Les fournisseurs de systèmes embarqués ne produisent parfois pas de correctifs pour des équipements en fin de support.
Ces contraintes légitimes doivent être documentées dans un registre des vulnérabilités acceptées (risk acceptance register), accompagnées de mesures compensatoires formalisées : isolation réseau renforcée, surveillance accrue, listes blanches applicatives. NIST SP 800-82 et IEC 62443-2-4 définissent les processus de gestion des correctifs adaptés aux environnements OT/ICS.
La maintenance tierce comme vecteur de risque
Les accès de maintenance accordés à des prestataires tiers sur des systèmes critiques représentent un vecteur de risque structurel. Ces accès, souvent nécessaires pour le support et la maintenance préventive, peuvent devenir des portes d'entrée pour des attaquants qui compromettraient d'abord le prestataire avant d'atteindre la cible finale (attaque de la chaîne d'approvisionnement).
La gestion sécurisée des accès tiers sur systèmes critiques nécessite plusieurs contrôles : accès just-in-time (activés uniquement lors des interventions), authentification forte du technicien, enregistrement video des sessions de maintenance (session recording), revue des actions effectuées post-intervention, et contrats incluant des clauses de sécurité exécutoires. DORA impose précisément ces exigences dans les contrats avec les prestataires ICT critiques.
La dette technique des systèmes critiques
Les systèmes critiques accumulent une dette technique spécifique liée à leurs contraintes de disponibilité. Des systèmes conçus il y a 20 ans peuvent supporter des fonctions critiques irremplaçables à court terme. Cette réalité doit être gérée explicitement, non ignorée. Les directions qui découvrent leur dette technique lors d'un incident sont dans une position de réponse considérablement plus difficile que celles qui l'ont documentée et planifié sa résolution dans le temps.
Un programme de modernisation progressive des systèmes critiques — avec des jalons, des budgets et une gouvernance dédiés — est la réponse appropriée à cette dette. Il est plus coûteux dans l'immédiat que le statu quo, mais infiniment moins coûteux que la gestion d'un incident majeur sur un système critique vieillissant et insuffisamment protégé.
Le ransomware REvil a compromis le logiciel VSA de Kaseya, utilisé par des MSP (Managed Service Providers) pour administrer à distance les systèmes de leurs clients. En exploitant une vulnérabilité zero-day dans VSA, les attaquants ont pu déployer du ransomware sur les systèmes critiques de 1 500 organisations à travers 17 pays en quelques heures. Cet incident illustre le risque systémique des outils de maintenance tierce : un seul vecteur compromis peut atteindre simultanément des milliers de cibles.
Thales Alenia Space a développé un protocole de sécurité spécifique pour les interventions de maintenance sur ses systèmes critiques de conception et de production de satellites. Ce protocole inclut des procédures de vérification de l'intégrité des outillages de maintenance avant utilisation, une segmentation des accès par zone de criticité, et un enregistrement systématique des sessions d'administration. Il a été présenté comme une pratique de référence lors du Forum Industriel Cybersécurité de l'ANSSI.
Singapore Airlines a conduit entre 2019 et 2023 un programme de modernisation de ses systèmes critiques de réservation et d'opérations, remplaçant progressivement des systèmes vieillissants tout en maintenant la continuité de service. Ce programme, conduit avec une gestion du changement rigoureuse incluant des phases de coexistence et des tests de bascule sur chaque composant critique, a permis d'éliminer une dette technique significative sans interruption majeure. Il est documenté comme référence de modernisation de systèmes critiques à contrainte de disponibilité élevée.