Aujourd’hui plus que jamais avoir une Politique de Sécurité du Système d’Information (PSSI) est indispensable à toute entreprise. Il s’agit en essence du plan d’action nécessaire pour atteindre un niveau de sécurité suffisant à la fois pour les données, le matériel et les utilisateurs.
Au sein de l’arsenal des mesures préventives, la gestion de l’obsolescence matérielle, système et logicielle est le levier qui agit au niveau le plus bas, il revêt donc un aspect crucial et doit être un des tous premiers sujets de préoccupation. Heureusement, c’est également un des plus simples à appréhender.
L’impact de l’obsolescence matérielle
En janvier 2014, la société Proofprint a révélé que, selon son étude sur le traçage des SPAMS, un quart des courriels étaient envoyés non pas par des serveurs ni par des ordinateurs, mais par des appareils connectés… dont des réfrigérateurs. Cet exemple en dit long sur l’attention que l’on doit porter à la sécurité de son parc matériel, jusqu’au plus petit équipement connecté.
Pour prévenir cette obsolescence, il convient d’effectuer une maintenance correcte du matériel, en particulier celle de son firmware (micrologiciel interne), et de remplacer ceux qui ne bénéficient plus du support de son fabricant. Un audit d’infrastructure informatique peut vous aider à révéler les équipements suspects et ainsi améliorer votre politique de sécurité informatique.
L’impact de l’obsolescence système
Restons encore en janvier 2014. Alors que Microsoft annonçait la fin du support de Windows XP, son responsable marketing estimait que 95% des distributeurs de billets utilisaient encore ce système d’exploitation.
Trois ans plus tard, le cryptovirus WannaCry infecta plusieurs centaines de milliers d’ordinateurs dans le monde. Les services des hôpitaux publics britanniques ont ainsi temporairement perdu l’usage de 70 000 équipements, incluant des IRM et équipements de blocs, obligeant des transferts de patients dans tout le pays.
Une problématique récurrente
Lors de nos audits d’infrastructure informatique Corrium, nous découvrons encore des machines sous XP, par exemple pour supporter une ancienne application de pilotage d’un automate.
D’autres fois, parce que ce sont des systèmes embarqués dans des appareils « anodins » tels que les badgeuses à l’entrée des bâtiments : comme personne ne sait qu’elles contiennent un PC sous XP, elles sont rarement mises à jour ou remplacées.
Microsoft a annoncé la fin du support de Windows 7 courant 2020. Ce système équipe encore environ un ordinateur sur 3 dans le monde et reste très implanté dans les entreprises, ce qui posera un problème majeur de sécurité informatique si la mise à niveau des systèmes d’exploitation n’est pas prévue dans la politique de sécurité dès à présent.
L’impact de l’obsolescence logicielle
Les logiciels installés sur les ordinateurs ont aussi des cycles de vies qui leurs sont propres, avec une grande disparité en termes de vulnérabilité selon leurs fonctions, l’éditeur et leur niveau d’intégration dans le Système d’Information.
La politique de sécurité informatique doit également intégrer le risque lié à l’existence de logiciels non maintenus ou dont la mise à jour n’est pas systématique, car ils offrent autant de portes d’entrées pour les personnes et logiciels malveillants.
Trois mécanismes étroitement liés
La principale raison pour laquelle de vieux appareils, systèmes et logiciels s’éternisent dans de nombreuses entreprises est que la mise à jour de l’un entraine souvent la nécessité de mettre à jour les autres. Cette dépendance des couches techniques s’appelle l’effet « plat de spaghetti ».
Il suffit parfois d’un appareil coûteux dont le driver n’existe pas pour un système récent, ou d’un progiciel important développé il y a quelques années, pour que tout ou partie de votre parc informatique soit embourbé dans une vétusté dangereuse, faute d’investissement pour le mettre à niveau la pile applicative.
Dans la politique de sécurité informatique, il est souvent difficile de mesurer le risque de non-investissement, qui est souvent sous-évalué en faveur du principe de précaution, qui serait de ne pas apporter de modification à ce qui fonctionne bien.
Ce paradigme, qui était sans doute le plus sage à l’époque où l’informatique évoluait en vase clos, n’est plus de rigueur dans un contexte ou la moindre lampe peut se connecter à internet et exposer tout le réseau à un risque certes faible mais additif.
En résumé, il est impossible d’avoir une politique de sécurité informatique sans chercher à réduire conjointement l’impact des obsolescences matérielle, système et logicielle de votre infrastructure informatique.