Points clés
- Les systèmes obsolètes ou non maintenus concentrent des vulnérabilités non corrigeables qui deviennent des vecteurs d'entrée privilégiés
- ENISA : les systèmes hors support sont impliqués dans plus de 60 % des incidents touchant des infrastructures critiques en Europe
- Les secteurs santé et industrie sont particulièrement exposés : des équipements avec des systèmes embarqués non mis à jour depuis des années
- Le coût de maintien d'un système obsolète (risque résiduel, assurance, workarounds) dépasse souvent le coût de sa modernisation
Les systèmes obsolètes et non maintenus sont l'une des principales sources de vulnérabilités persistantes dans les infrastructures informatiques. Leur présence dans les réseaux d'entreprise est souvent le résultat de décisions économiquement rationnelles à court terme — reporter une migration coûteuse pour préserver le budget — mais dont les conséquences à moyen terme peuvent être bien plus coûteuses que l'investissement évité.
La particularité des systèmes obsolètes est que leur exposition augmente mécaniquement dans le temps. Chaque nouvelle vulnérabilité découverte dans un composant qu'ils utilisent — système d'exploitation, bibliothèque, application — crée une vulnérabilité permanente non patchable. La liste des vulnérabilités exploitables dans un système hors support s'allonge donc indéfiniment, sans possibilité de remédiation technique.
Les secteurs les plus exposés
Le secteur de la santé est particulièrement exposé aux risques liés aux systèmes obsolètes : des équipements médicaux connectés (scanners, automates d'analyses, dispositifs de monitoring) fonctionnant sur des systèmes d'exploitation anciens dont les mises à jour sont impossibles sans intervention du fabricant, souvent coûteuse ou non disponible. Les cycles de vie des équipements médicaux (10 à 15 ans) sont incompatibles avec les cycles de vie des systèmes d'exploitation (5 à 7 ans), créant structurellement des situations d'obsolescence.
Le secteur industriel est confronté au même problème avec les systèmes de contrôle industriels (SCADA, ICS) : des automates et des superviseurs fonctionnant sur des systèmes anciens, conçus pour une durée de vie de 20 à 30 ans, connectés progressivement à des réseaux IP sans que leur sécurité ait été conçue pour cet environnement.
Les stratégies de mitigation
Lorsque le remplacement immédiat d'un système obsolète n'est pas possible, plusieurs stratégies de mitigation permettent de réduire l'exposition : l'isolation réseau (segmentation stricte du système obsolète pour limiter sa surface d'attaque accessible), la surveillance renforcée (monitoring intensif des comportements anormaux sur et autour du système), les contrôles compensatoires (contrôles additionnels qui réduisent la probabilité d'exploitation des vulnérabilités connues), et la contractualisation (accord avec le fabricant pour des correctifs de sécurité spécifiques).
Ces stratégies de mitigation sont temporaires et coûteuses. Elles ne résolvent pas le problème structurel — elles en gèrent les conséquences. Le plan de modernisation reste la seule solution durable, et il doit être formalisé et financé par la direction en connaissance du risque résiduel que représente chaque année de report.
La quantification du risque lié aux systèmes obsolètes
Quantifier le risque lié aux systèmes obsolètes est un exercice qui peut informer les décisions d'investissement. Il s'agit d'estimer la probabilité d'exploitation d'une vulnérabilité connue dans le délai considéré, multipliée par l'impact potentiel d'un incident sur ce système. Cette quantification, aussi approximative soit-elle, fournit un ordre de grandeur qui peut être comparé au coût de la modernisation — et souvent la justifie.
Les assureurs cyber utilisent des questionnaires spécifiques sur la présence de systèmes hors support dans les réseaux des organisations qu'ils assurent. La présence de systèmes EOL non isolés peut conduire à une exclusion de garantie pour les incidents liés à ces systèmes — rendant leur maintien encore plus coûteux que ne le laissait apparaître le calcul initial.
La FDA américaine a publié plusieurs alertes entre 2020 et 2024 sur des vulnérabilités dans des équipements médicaux connectés fonctionnant sur des systèmes anciens non patchables. Des modèles de pompes à insuline, de défibrillateurs et de moniteurs patients ont été identifiés comme vulnérables à des attaques pouvant modifier leur fonctionnement à distance. Ces équipements, certifiés et approuvés par la FDA dans leur configuration d'origine, ne pouvaient pas être mis à jour sans recertification. La FDA a développé des lignes directrices spécifiques pour la gestion de la cybersécurité des équipements médicaux post-commercialisation.
L'Office for Nuclear Regulation (ONR) britannique a imposé des exigences spécifiques de gestion de la cybersécurité pour les systèmes de contrôle industriels des centrales nucléaires britanniques, en réponse à l'identification de systèmes obsolètes dans plusieurs installations. Ces exigences incluent la cartographie complète des systèmes de contrôle, l'identification de leur statut de support, et des plans de remédiation pour les systèmes hors support. L'ONR peut imposer des mesures compensatoires ou des restrictions d'exploitation pour les installations dont les systèmes de contrôle présentent des vulnérabilités non corrigeables.
Un audit de cybersécurité des infrastructures portuaires australiennes commandé par le gouvernement a révélé la présence généralisée de systèmes de contrôle industriels obsolètes dans les terminaux à conteneurs et les systèmes de gestion du trafic maritime. Ces systèmes, certains fonctionnant sur des plateformes Windows XP ou des OS industriels non supportés depuis plus de 5 ans, contrôlaient des équipements physiques critiques pour le commerce international australien. Le rapport a conduit à l'adoption des Security of Critical Infrastructure Act 2022 amendments imposant des obligations de gestion du risque cyber aux opérateurs d'infrastructures portuaires.