Support technique
Documentation
Connexion
Nous contacter
- Les systèmes d'exploitation en fin de vie ne reçoivent plus de mises à jour de sécurité essentielles, ce qui les rend très vulnérables à l'évolution des menaces de cybersécurité.
- Les systèmes d'exploitation en fin de vie ont souvent du mal à faire fonctionner les logiciels et le matériel modernes, ce qui entraîne des problèmes de compatibilité, une baisse des performances et une diminution de la productivité.
- Les organisations qui utilisent des systèmes en fin de vie sont confrontées à des risques juridiques et financiers accrus en raison de la non-conformité aux réglementations et des coûts élevés associés à la maintenance d'une technologie obsolète.
Il est impossible d'éviter les changements technologiques - par définition, la technologie va toujours de l'avant. C'est généralement une bonne nouvelle, mais suivre les changements peut être une autre histoire.
Les changements constants signifient que la technologie a une durée de vie limitée. Certes, il est possible de continuer à utiliser quelque chose au-delà de sa durée de vie, mais cela n'est pas sans conséquences. Pour les logiciels en fin de vie, les conséquences sont l'instabilité, une maintenance élevée et, bien sûr, des risques de sécurité importants.
Dans cet article, nous expliquons ce que sont les logiciel en fin de vie les raisons pour lesquelles les entreprises ne devraient jamais s'appuyer sur un système d'exploitation en fin de vie, et comment l'assistance d'un tiers peut les aider.
Les logiciels aussi ont une fin de vie
Les éditeurs de logiciels publient constamment de nouvelles versions de leurs logiciels. Les nouvelles fonctionnalités, les corrections de bogues, etc. sont toutes regroupées dans une nouvelle version. Dans le même temps, l'éditeur continuera à assurer le support de l'ancienne version, notamment en fournissant des mises à jour de sécurité si nécessaire.
C'est le cas pour tout, des logiciels de productivité aux systèmes d'exploitation.
Toutefois, un fournisseur ne peut pas assurer indéfiniment le support d'une version plus ancienne de son logiciel. Imaginez que vous essayiez de prendre en charge un système d'exploitation vieux de trente ans. C'est possible, mais ce serait une énorme ponction sur les ressources - et quelque peu inutile.
Pour limiter les ressources consacrées au support d'un système d'exploitation, les fournisseurs fixent des dates de fin de vie pour un système d'exploitation, après lesquelles le support officiel - y compris les corrections des failles de sécurité - s'arrête. À un moment donné, tous les logiciels, y compris les systèmes d'exploitation, atteignent un point appelé fin de vie (EOL). Bien que certaines distributions Linux open-source aient des cycles d'assistance étendus ou des mises à jour gérées par la communauté, la plupart des systèmes d'exploitation finissent par atteindre leur fin de vie.
Il s'agit là d'un risque majeur pour les utilisateurs qui se fient encore à l'ancienne version. Oui, les choses peuvent tout simplement cesser de fonctionner lorsque le logiciel arrive en fin de vie, mais ce n'est qu'une petite partie du risque. Le principal problème d'un système d'exploitation en fin de vie est lié à la sécurité. Si le fournisseur ne publie plus de correctifs pour les failles de sécurité, l'utilisateur ne peut tout simplement pas maintenir son système corrigé et il s'appuiera sur un logiciel vulnérable.
Malheureusement, malgré le risque, il est fréquent que des entreprises continuent à dépendre d'un système d'exploitation qui n'est plus pris en charge, simplement parce que la mise à niveau ou le passage à un autre système d'exploitation est trop coûteux ou trop peu pratique.
Un exemple concret : WannaCry et les fenêtres en fin de vie
L'utilisation de logiciels en fin de vie est plus courante qu'on ne le pense, et cela peut même se produire dans le cadre de scénarios critiques. Mais un système d'exploitation en fin de vie offre des opportunités aux cybercriminels. Un système d'exploitation qui n'est plus pris en charge présente des vulnérabilités connues, et comme la prise en charge a pris fin... bonne chance pour trouver un correctif.
À leur tour, les acteurs de la menace s'appuient sur les vulnérabilités connues pour attaquer une entreprise. Les entreprises qui utilisent un système d'exploitation en fin de vie risquent de subir des attaques de logiciels malveillants qui entraînent des interruptions de service, des pertes de données, voire pire.
C'est exactement ce qui s'est passé en mai 2017. Une cyberattaque massive s'est produite, au cours de laquelle l'exploit WannaCry a été utilisé pour cibler des centaines de milliers d'entreprises qui utilisaient encore Windows XP, un système d'exploitation arrivé en fin de vie trois ans plus tôt, en 2014.
Les entreprises qui utilisaient encore Windows XP n'ont pas reçu les bulletins de sécurité de Microsoft et n'ont jamais installé le correctif qui corrigeait une vulnérabilité de Windows datant de plusieurs mois, appelée EternalBlue. (La vulnérabilité était si dangereuse que Microsoft a publié un correctif d'urgence pour Windows XP, bien que ce dernier ait atteint sa fin de vie à ce moment-là).
Ce n'est qu'un exemple de vulnérabilité dans un système d'exploitation en fin de vie qui a été exploitée avec succès.
Quels sont donc les risques d'un OS en fin de vie ?
Il existe des raisons "valables" d'utiliser un système d'exploitation en fin de vie, que nous aborderons dans une section ultérieure. Cependant, même lorsque les entreprises ont une bonne raison de conserver un système d'exploitation non pris en charge, les risques sont importants et l'emportent presque toujours sur les avantages ou toute autre raison d'utiliser un système d'exploitation en fin de vie.
Conformité et risques juridiques
La cybersécurité étant un problème redoutable, de nombreux régimes juridiques et de conformité permettent de s'assurer que les entreprises respectent des normes minimales en matière de sécurité des données afin de préserver la sécurité des clients et des consommateurs.
Il est courant que ces exigences incluent une déclaration sur le support officiel du fournisseur pour le logiciel, et une déclaration qui considère comme non conforme le recours à un logiciel de support en fin de vie. La non-conformité peut entraîner de lourdes sanctions financières.
Les entreprises qui déploient un système d'exploitation en fin de vie s'exposent à des risques allant de l'amende à l'interdiction pure et simple d'exercer leur activité dans leur secteur. Elles peuvent se trouver dans une situation problématique si une faille de sécurité devait se produire. S'il peut être prouvé qu'une attaque a été menée par négligence, par exemple en utilisant un logiciel en fin de vie sans l'assistance du fournisseur, les entreprises peuvent également faire l'objet de poursuites judiciaires, car les personnes touchées par la faille peuvent demander réparation.
Solutions dépassées et incompatibles
Nous avons dit dès le départ que la technologie évoluait rapidement. Les entreprises qui exploitent les dernières technologies en tirent de nombreux avantages. Par exemple, en offrant de meilleurs produits et fonctionnalités à leurs clients et une meilleure expérience à leurs employés.
Les logiciels en fin de vie sont, par définition, des logiciels obsolètes auxquels il manque probablement une série de fonctionnalités et d'avantages récents. Outre le fait que les solutions technologiques sont au ralenti, les logiciels obsolètes posent un autre problème : le manque de compatibilité. En s'appuyant sur un système d'exploitation obsolète, les entreprises risquent de se heurter à des problèmes de compatibilité, dont l'impact ira croissant au fil du temps.
Problèmes de fiabilité
L'une des conséquences de l'incompatibilité des logiciels est un problème de fiabilité. À un moment donné, la technologie entourant le produit en fin de vie sera mise à niveau. Le système d'exploitation en fin de vie n'est alors plus en phase avec le reste de la solution.
Cela entraînera des problèmes de fiabilité, car les fournisseurs coderont en fonction d'une certaine attente fonctionnelle, mais le logiciel en fin de vie ne disposera pas de la fonctionnalité requise. En d'autres termes, une simple mise à jour d'un composant logiciel par le fournisseur peut interrompre une solution en raison d'un système d'exploitation obsolète.
Coûts de croissance
Il convient également de noter que les logiciels en fin de vie, y compris les systèmes d'exploitation en fin de vie, peuvent représenter une fausse économie. Certes, les entreprises peuvent économiser de l'argent en retardant une mise à niveau, mais la charge de maintenance des logiciels en fin de vie s'alourdira avec le temps, car il faudra trouver des solutions personnalisées pour résoudre les problèmes lorsque l'assistance du fournisseur ne sera plus assurée.
Par exemple, les équipes d'assistance informatique peuvent passer trop de temps à résoudre les problèmes liés au système obsolète.
De même, un système d'exploitation en fin de vie peut entraîner des problèmes de fiabilité qui font grimper les coûts. Pire encore, comme nous l'avons suggéré plus haut, des logiciels obsolètes peuvent entraîner des problèmes de conformité et des problèmes juridiques susceptibles de déboucher sur des amendes incroyablement coûteuses.
Risques pour la sécurité
Enfin, nous abordons le principal problème lié à l'utilisation de logiciels en fin de vie : les risques de sécurité importants liés à l'utilisation de logiciels qui ne sont plus pris en charge. Par définition, les systèmes d'exploitation en fin de vie ne recevront pas de correctifs de sécurité ni de mises à jour de la part du fabricant d'origine, ce qui protégerait les utilisateurs contre les vulnérabilités connues.
Au lieu de cela, ces risques de sécurité seront connus du public, y compris des pirates informatiques, mais il n'y aura pas de correctif fourni par le fournisseur pour protéger les utilisateurs contre le risque lorsque les pirates décideront de l'exploiter. Un seul bogue critique qui n'est pas corrigé en raison d'un manque de soutien officiel peut conduire à une violation coûteuse de la cybersécurité.
Pourquoi les entreprises s'appuient-elles sur des logiciels en fin de vie ?
Les problèmes qui peuvent survenir lorsque les entreprises s'appuient sur un système d'exploitation non pris en charge sont manifestement importants, mais les logiciels en fin de vie restent courants dans les environnements d'entreprise. C'est compréhensible, dans une certaine mesure, car il existe des raisons rationnelles de s'appuyer sur des logiciels non pris en charge.
Exigences spécifiques à la charge de travail
Il peut arriver que des fonctions, des capacités ou des caractéristiques spécifiques d'un système d'exploitation en fin de vie soient abandonnées au fur et à mesure que le fournisseur procède à des mises à jour. Parfois, les entreprises dépendent de ces fonctionnalités pour leurs solutions, et le fait que le nouveau système d'exploitation ne dispose pas de ces fonctionnalités peut signifier que les solutions tombent en panne, ou que des efforts correctifs coûteux sont nécessaires pour maintenir la fonctionnalité.
Dans ce cas, les entreprises peuvent se retrouver dans une situation difficile : elles ne peuvent pas migrer vers un système d'exploitation pris en charge parce qu'elles ne sont pas en mesure de concevoir une solution de contournement qui garantisse la continuité du fonctionnement sous le nouveau système d'exploitation.
Les ressources sont limitées
Les solutions technologiques consistent le plus souvent à essayer d'en faire le plus possible avec le moins possible. Il en résulte que les entreprises tentent de déplacer des fonds pour répondre à des priorités concurrentes. Souvent, la mise à jour des logiciels est considérée comme une priorité moindre par rapport aux nouvelles fonctionnalités souhaitées ou aux coûts d'exploitation quotidiens.
Le fait est que, dans la compétition pour les ressources, il peut y avoir des priorités plus importantes que la mise à niveau d'un système d'exploitation parfaitement fonctionnel, même s'il est arrivé en fin de vie. C'est aussi une question de temps : l'entreprise dispose-t-elle du personnel nécessaire pour effectuer les mises à niveau en toute confiance ?
Les défis de la migration
Les problèmes potentiels liés à l'exécution d'une migration sont étroitement liés à la limitation des ressources. En particulier dans le cas de déploiements à très grande échelle, la migration devient si complexe et si difficile qu'il peut sembler qu'il n'y a pas de solution réaliste pour mettre à niveau un système d'exploitation - et que le maintien du système d'exploitation existant est l'option la plus sensée. Des systèmes tels que Kinetic Kudu EOL peuvent entrer dans cette catégorie, où les risques de migration l'emportent sur les avantages de la mise à jour du système d'exploitation.
Cela peut également se produire lorsque la migration concerne des systèmes complexes et interactifs qui s'étendent sur plusieurs départements et sur des organisations indépendantes. En fait, dans de rares cas, les risques liés à la migration peuvent l'emporter sur les risques de sécurité associés à un système d'exploitation en fin de vie.
Manque de responsabilité
Enfin, pour certaines entreprises, l'obligation de rendre compte est un défi. En d'autres termes, il n'y a pas de partie responsable en dernier ressort de la gestion de la fin de vie des logiciels. Cette situation peut être due à un manque de leadership ou à une mauvaise structure organisationnelle.
Il peut également s'agir d'une question pratique. Par exemple, il peut arriver qu'aucune partie n'ait autorité sur les solutions technologiques. C'est notamment le cas lorsque les capacités technologiques sont partagées. Dans ces circonstances, les entreprises peuvent constater que personne n'est prêt à assumer le risque ou la responsabilité de la migration et, par conséquent, la migration n'est jamais effectuée.
Centos 6 : un exemple de conservation d'un système d'exploitation en fin de vie
Fin 2020, Red Hat a annoncé qu'elle ne produira plus la version stable de la fourche de Red Hat Enterprise Linux, CentOS. Red Hat a essentiellement accéléré la fin de vie de l'ensemble du produit CentOS en tant que version stable. En d'autres termes, les entreprises qui s'appuient sur CentOS 6 n'ont plus aucune possibilité de mise à niveau réaliste.
La seule option pour ces entreprises était de passer à un autre système d'exploitation ou de payer pour Red Hat Enterprise Linux. Cette situation autour de CentOS 6 est typique des raisons que certaines entreprises peuvent invoquer pour continuer à utiliser un système d'exploitation qui n'est pas pris en charge.
Ce n'est pas une façon déraisonnable de penser aux systèmes d'exploitation en fin de vie, mais le fait que le chemin de mise à niveau depuis CentOS 6 soit difficile ne devrait pas l'emporter sur le fait que dépendre de CentOS 6 crée d'importants risques de sécurité.
Des possibilités d'exploitation infinies
Même s'il existe des raisons valables d'envisager l'utilisation d'un système d'exploitation en fin de vie, le problème reste que de nouvelles failles de sécurité ne cessent d'apparaître - et que les logiciels en fin de vie non corrigés ne font qu'ouvrir la porte.
Prenons l'exemple de la menace émergente des mineurs de crypto-monnaie. Les pirates informatiques ont rapidement commencé à déployer des logiciels de minage de crypto-monnaie gourmands en ressources par des méthodes illicites, en profitant des faiblesses de Windows et de Linux pour installer des logiciels qui génèrent des profits pour le pirate au détriment de l'entreprise qui possède et exploite les ressources informatiques.
Il s'agit d'une menace particulièrement insidieuse, qui illustre les conséquences inattendues que peut avoir l'utilisation de logiciels obsolètes et non pris en charge. Dans ce cas, un système d'exploitation en fin de vie non corrigé peut signifier que les ressources d'une entreprise sont détournées pour le minage de crypto-monnaie, ce qui entraîne des dépenses plus élevées et des problèmes de fiabilité et de disponibilité.
Envisager plutôt un soutien étendu
Il existe une solution pour certains systèmes d'exploitation en fin de vie. Tout d'abord, certains fournisseurs proposent un support étendu, c'est-à-dire la possibilité de payer, parfois des sommes assez importantes, pour bénéficier d'un support continu pour un système d'exploitation qui ne bénéficie plus d'un support général. Lorsque les fournisseurs le proposent, tous les clients qui profitent de l'assistance étendue resteront conformes et sécurisés, mais à un certain prix.
Dans certains cas, des tiers proposent une assistance étendue pour un système d'exploitation. Par exemple, chez TuxCare, nous offrons un support étendu du cycle de vie (Extended Lifecycle Support - ELS) pour une série de systèmes d'exploitation de serveurs basés sur Linux, y compris les versions en fin de vie de CentOS, CentOS Stream, Oracle Linux et Ubuntu.
L'assistance étendue de TuxCare comprend une correction complète des vulnérabilités afin de garantir que toutes les nouvelles vulnérabilités découvertes dans un système d'exploitation pris en charge, tel que CentOS 6sont immédiatement couvertes par un correctif de TuxCare.
De plus, l'assistance de TuxCare est disponible à un prix bien inférieur à celui de l'assistance d'un fournisseur équivalent. Par exemple, notre ELS CentOS 6 ne représente qu'une fraction du prix de l'équivalent Red Hat.
Quoi qu'il en soit, les entreprises qui achètent un support étendu se donnent beaucoup de temps pour mettre à niveau ou migrer le système d'exploitation dont elles dépendent. Grâce à l'ELS, les entreprises peuvent obtenir les ressources nécessaires pour procéder à la migration, planifier soigneusement une migration ou simplement trouver des solutions alternatives. Plus important encore, l'ELS couvre les entreprises contre les risques de sécurité pendant que le système d'exploitation en fin de vie est en place.
