Phylapp
Détection des failles et correction continue

Les risques liés aux systèmes obsolètes ou non maintenus

Points clés Les systèmes obsolètes ou non maintenus concentrent une exposition disproportionnée : nombreuses CVE non corrigeables, configurations durcie insuffi

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 16 lectures

Points clés

  • Les systèmes obsolètes ou non maintenus concentrent une exposition disproportionnée : nombreuses CVE non corrigeables, configurations durcie insuffisante, supervision souvent insuffisante.
  • La notion d'"obsolescence" doit être formellement définie dans la politique SI : fin de support éditeur, versions non maintenues, équipements sans firmware à jour.
  • Maintenir des systèmes obsolètes en production est une décision de risque qui doit être explicitée et documentée par la direction, pas acceptée par défaut.
  • Le risque associé aux systèmes obsolètes est cumulatif : il augmente chaque mois sans action corrective, jusqu'à devenir une exposition critique.

Les systèmes obsolètes ou non maintenus présentent un profil de risque distinct des systèmes simplement non mis à jour. Un système supporté avec des correctifs disponibles mais non appliqués peut être corrigé dès que la décision est prise. Un système en fin de support présente des vulnérabilités pour lesquelles aucun correctif ne sera jamais disponible — son exposition est structurellement croissante et irrémédiable tant qu'il reste en production.

Définir l'obsolescence dans le contexte organisationnel

L'obsolescence n'est pas un concept binaire. Elle se décline selon plusieurs dimensions : fin de support éditeur (plus de correctifs de sécurité), fin de support étendu (support payant disponible mais coûteux), versions de composants non maintenues dans des applications encore en production, et équipements matériels dont le firmware n'est plus maintenu. Chaque organisation doit définir formellement ce qu'elle considère comme un système obsolète et quelle politique s'applique à ces systèmes.

L'accumulation silencieuse des vulnérabilités non corrigeables

Pour un système en fin de support, chaque CVE publié sur le composant représente une vulnérabilité permanente. En 2024, des CVE continuaient d'être publiés affectant Windows Server 2012 (en fin de support depuis octobre 2023), Windows 7 (en fin de support depuis janvier 2020), et de nombreuses versions de bibliothèques open source abandonnées. Ces CVE s'accumulent dans le catalogue NVD sans que l'organisation puisse les corriger par un patch — elle peut seulement mettre en place des compensations ou migrer.

Les compensations : nécessaires mais insuffisantes

Les compensations techniques — segmentation réseau, surveillance renforcée, restriction des accès, encapsulation dans des environnements isolés — peuvent réduire le risque associé aux systèmes obsolètes mais ne l'éliminent pas. Elles constituent une réponse temporaire acceptable pendant la préparation d'une migration, mais pas une solution pérenne. La direction doit s'assurer que les systèmes maintenus sous compensation ont un plan de migration avec un calendrier et un budget alloués.

Cas documentés
États-Unis — Département de la Défense (audit GAO 2023)
Le GAO a publié un audit documentant que le Département de la Défense américain exploitait des centaines de systèmes d'information sur des logiciels en fin de support, dont plusieurs systèmes critiques. L'audit a calculé que ces systèmes représentaient une exposition cumulée significative et a recommandé l'établissement d'un plan de migration pluriannuel avec des jalons mesurables. Le GAO a noté que l'absence de gouvernance formelle sur l'obsolescence conduisait à des décisions implicites de maintien en production sans évaluation du risque associé.
Europe — Secteur de la santé (ENISA rapport 2023)
L'ENISA a documenté dans son rapport sur la cybersécurité dans le secteur de la santé que les établissements hospitaliers européens exploitaient en proportion significative des systèmes médicaux connectés sur des systèmes d'exploitation obsolètes. Ces systèmes — équipements d'imagerie, moniteurs patients, systèmes de gestion des prescriptions — présentaient des vulnérabilités non corrigeables connues. L'ENISA a recommandé des exigences minimales de sécurité pour les équipements médicaux connectés et des délais de migration pour les équipements ne pouvant pas être sécurisés.
Asie — Transport Authority of Singapore
La Singapore Land Transport Authority a documenté son programme de modernisation des systèmes d'information des infrastructures de transport, confronté à des équipements opérationnels fonctionnant sur des plateformes en fin de support. L'organisation a développé une approche structurée combinant évaluation du risque par système, déploiement de compensations pour les systèmes à fort risque résiduel, et calendrier de migration priorisé par criticité. Cette approche a été présentée comme référence dans les publications gouvernementales singaporiennes sur la gestion du risque cyber dans les infrastructures critiques.

Articles similaires

Les failles connues restent la première cause des attaques réussies

Points clés Entre 80 et 90 % des attaques exploitent des vulnérabilités pour lesquelles un correctif existe déjà au moment de l'incident. Les failles connues fi

24 mai 2026 7 min

Pourquoi les vulnérabilités s’accumulent dans les systèmes d’information

Points clés Les vulnérabilités s'accumulent principalement dans les angles morts du patrimoine applicatif : applications legacy, composants tiers non inventorié

24 mai 2026 7 min

Les erreurs fréquentes dans la gestion des correctifs de sécurité

Points clés Les erreurs les plus courantes dans le patch management sont organisationnelles autant que techniques : absence de priorisation formelle, délais non

24 mai 2026 7 min
WhatsApp