Les risques liés à la gestion d'un système d'exploitation de fin de vie - et comment les gérer
Il est impossible d'éviter les changements technologiques - par définition, la technologie va toujours de l'avant. C'est généralement une bonne nouvelle, mais suivre les changements peut être une autre histoire.
Les changements constants signifient que la technologie a une durée de vie limitée. Certes, il est possible de continuer à utiliser quelque chose au-delà de sa durée de vie, mais cela n'est pas sans conséquences. Pour les logiciels en fin de vie, les conséquences sont l'instabilité, une maintenance élevée et, bien sûr, des risques de sécurité importants.
Dans cet article, nous expliquons ce qu'est un logiciel en fin de vie, pourquoi les organisations ne devraient jamais se fier à un logiciel en fin de vie et comment l'assistance d'un tiers peut les aider.
Les logiciels aussi ont une fin de vie
Les éditeurs de logiciels publient constamment de nouvelles versions de leurs logiciels. Les nouvelles fonctionnalités, les corrections de bogues, etc. sont toutes regroupées dans une nouvelle version. Dans le même temps, l'éditeur continuera à assurer le support de l'ancienne version, notamment en fournissant des mises à jour de sécurité si nécessaire.
C'est le cas pour tout, des logiciels de productivité aux systèmes d'exploitation.
Toutefois, un fournisseur ne peut pas assurer indéfiniment le support d'une version plus ancienne de son logiciel. Imaginez que vous essayiez de prendre en charge un système d'exploitation vieux de trente ans. C'est possible, mais ce serait une énorme ponction sur les ressources - et quelque peu inutile.
Pour limiter les ressources consacrées au support d'un système d'exploitation, les fournisseurs fixent des dates de fin de vie pour un système d'exploitation, après lesquelles le support officiel - y compris les corrections des failles de sécurité - s'arrête. À un moment donné, chaque logiciel, y compris les systèmes d'exploitation, atteint un point appelé "fin de vie".
Il s'agit là d'un risque majeur pour les utilisateurs qui se fient encore à l'ancienne version. Oui, les choses peuvent tout simplement cesser de fonctionner lorsque le logiciel arrive en fin de vie, mais ce n'est qu'une petite partie du risque. Le principal problème lié aux logiciels en fin de vie concerne la sécurité. Si l'éditeur ne publie plus de correctifs pour les failles de sécurité, l'utilisateur ne peut tout simplement pas maintenir son système corrigé et s'appuiera sur un logiciel vulnérable.
Malheureusement, malgré le risque, il est fréquent que des entreprises continuent à dépendre d'un système d'exploitation qui n'est plus pris en charge, simplement parce que la mise à niveau ou le passage à un autre système d'exploitation est trop coûteux ou trop peu pratique.
Un exemple concret : WannaCry et les fenêtres en fin de vie
L'utilisation de logiciels en fin de vie est plus fréquente qu'on ne le pense, et cela peut même se produire dans le cadre de scénarios critiques. Mais les systèmes d'exploitation en fin de vie offrent des opportunités aux cybercriminels. Un système d'exploitation qui n'est plus pris en charge présente des vulnérabilités connues, et comme la prise en charge a pris fin... bonne chance pour trouver un correctif.
À leur tour, les acteurs de la menace s'appuient sur les vulnérabilités connues pour attaquer une entreprise. Les entreprises qui utilisent un système d'exploitation en fin de vie risquent de subir des attaques de logiciels malveillants qui entraînent des interruptions de service, des pertes de données, voire pire.
C'est exactement ce qui s'est passé en mai 2017. Une cyberattaque massive s'est produite où l'exploit WannaCry a été utilisé pour cibler des centaines de milliers d'entreprises qui utilisaient encore Windows XP - un système d'exploitation arrivé en fin de vie trois ans plus tôt, en 2014.
Les entreprises qui utilisaient encore Windows XP n'ont pas reçu les bulletins de sécurité de Microsoft et n'ont jamais installé le correctif qui corrigeait une vulnérabilité de Windows datant de plusieurs mois, appelée EternalBlue. (La vulnérabilité était si dangereuse que Microsoft a publié un correctif d'urgence pour Windows XP, bien que ce dernier ait atteint sa fin de vie à ce moment-là).
Ce n'est qu'un exemple de vulnérabilité dans un système d'exploitation en fin de vie qui a été exploitée avec succès.
Quels sont donc les risques d'un système d'exploitation en fin de vie ?
Il existe des raisons "valables" d'utiliser un système d'exploitation en fin de vie, que nous aborderons dans une section ultérieure. Cependant, même lorsque les entreprises ont une bonne raison de conserver un système d'exploitation non pris en charge, les risques sont importants et l'emportent presque toujours sur les avantages ou toute autre raison d'utiliser un système d'exploitation en fin de vie.
Conformité et risques juridiques
La cybersécurité étant un problème redoutable, de nombreux régimes juridiques et de conformité permettent de s'assurer que les entreprises respectent des normes minimales en matière de sécurité des données afin de préserver la sécurité de leurs clients.
Il est courant que ces exigences incluent une déclaration sur le soutien officiel des fournisseurs de logiciels, ainsi qu'une déclaration qui considère comme non conforme le recours à des logiciels en fin de vie. La non-conformité peut entraîner de lourdes sanctions financières.
Les entreprises qui déploient un système d'exploitation en fin de vie s'exposent à des risques allant de l'amende à l'interdiction pure et simple d'opérer dans leur secteur. Lorsqu'il peut être prouvé qu'une attaque a réussi par négligence, en utilisant un logiciel en fin de vie sans l'assistance du fournisseur, par exemple, les entreprises peuvent également se retrouver à l'extrémité aiguë d'une procédure judiciaire, car les personnes touchées par la violation peuvent demander réparation.
Solutions dépassées et incompatibles
Nous avons dit dès le départ que la technologie évoluait rapidement. Les entreprises qui exploitent les dernières technologies en tirent de nombreux avantages. Par exemple, en offrant de meilleurs produits et fonctionnalités à leurs clients et une meilleure expérience à leurs employés.
Les logiciels en fin de vie sont, par définition, des logiciels obsolètes auxquels il manque probablement une série de fonctionnalités et d'avantages récents. Outre le fait que les solutions technologiques sont au ralenti, les logiciels obsolètes posent un autre problème : le manque de compatibilité. En s'appuyant sur un système d'exploitation en fin de vie, les entreprises risquent de se heurter à des problèmes de compatibilité, dont l'impact ira croissant au fil du temps.
Problèmes de fiabilité
L'une des conséquences de l'incompatibilité des logiciels est un problème de fiabilité. À un moment donné, la technologie entourant le produit en fin de vie sera mise à niveau. Le système d'exploitation en fin de vie n'est alors plus en phase avec le reste de la solution.
Cela entraînera des problèmes de fiabilité, car les fournisseurs coderont en tenant compte d'une certaine attente fonctionnelle, mais le logiciel en fin de vie n'aura pas la fonctionnalité requise. En d'autres termes, une simple mise à jour d'un composant logiciel par le fournisseur peut briser une solution en raison d'un système d'exploitation en fin de vie.
Coûts de croissance
Il convient également de noter que les logiciels en fin de vie, y compris les systèmes d'exploitation en fin de vie, peuvent représenter une fausse économie. Certes, les entreprises peuvent économiser de l'argent en retardant une mise à niveau, mais la charge de maintenance des logiciels en fin de vie s'alourdira avec le temps, car il faudra trouver des solutions personnalisées pour résoudre les problèmes lorsque l'assistance du fournisseur ne sera plus assurée.
De même, les systèmes d'exploitation obsolètes peuvent entraîner des problèmes de fiabilité qui font grimper les coûts. Pire encore, comme nous l'avons suggéré plus haut, les logiciels obsolètes peuvent entraîner des problèmes de conformité et des problèmes juridiques susceptibles de déboucher sur des amendes incroyablement coûteuses.
Risques pour la sécurité
Enfin, nous abordons le principal problème lié à l'utilisation de logiciels en fin de vie : les risques de sécurité importants liés à l'utilisation de logiciels qui ne sont plus pris en charge. Par définition, les systèmes d'exploitation en fin de vie ne recevront pas de correctifs de sécurité ni de mises à jour de la part du fabricant d'origine, ce qui protégerait les utilisateurs contre les vulnérabilités connues.
Au lieu de cela, ces risques de sécurité seront connus du public, y compris des pirates informatiques, mais il n'y aura pas de correctif fourni par le fournisseur pour protéger les utilisateurs contre le risque lorsque les pirates décideront de l'exploiter. Un seul bogue critique qui n'est pas corrigé en raison d'un manque de soutien officiel peut conduire à une violation coûteuse de la cybersécurité.
Pourquoi les entreprises finissent-elles par s'appuyer sur des logiciels en fin de vie ?
Les problèmes qui peuvent survenir lorsque les entreprises s'appuient sur un système d'exploitation non pris en charge sont manifestement importants, mais les logiciels en fin de vie restent courants dans les environnements d'entreprise. C'est compréhensible, dans une certaine mesure, car il existe des raisons rationnelles de s'appuyer sur des logiciels non pris en charge.
Exigences spécifiques à la charge de travail
Il peut arriver que des fonctions, des capacités ou des caractéristiques spécifiques d'un système d'exploitation en fin de vie soient abandonnées au fur et à mesure que le fournisseur procède à des mises à jour. Parfois, les entreprises dépendent de ces fonctionnalités pour leurs solutions, et le fait que le nouveau système d'exploitation ne dispose pas de ces fonctionnalités peut signifier que les solutions tombent en panne, ou que des efforts correctifs coûteux sont nécessaires pour maintenir la fonctionnalité.
Dans ce cas, les entreprises peuvent se retrouver dans une situation difficile : elles ne peuvent pas migrer vers un système d'exploitation pris en charge parce qu'elles ne sont pas en mesure de concevoir une solution de contournement qui garantisse la continuité du fonctionnement sous le nouveau système d'exploitation.
Les ressources sont limitées
Les solutions technologiques consistent le plus souvent à essayer d'en faire le plus possible avec le moins possible. Il en résulte que les entreprises tentent de déplacer des fonds pour répondre à des priorités concurrentes. Souvent, la mise à jour des logiciels est considérée comme une priorité moindre par rapport aux nouvelles fonctionnalités souhaitées ou aux coûts d'exploitation quotidiens.
Le fait est que, dans la compétition pour les ressources, il peut y avoir des priorités plus importantes que la mise à niveau d'un système d'exploitation parfaitement fonctionnel, même s'il est arrivé en fin de vie. C'est aussi une question de temps : l'entreprise dispose-t-elle du personnel nécessaire pour effectuer les mises à niveau en toute confiance ?
Les défis de la migration
Les problèmes potentiels liés à l'exécution d'une migration sont étroitement liés à la limitation des ressources. En particulier dans le cas de déploiements à très grande échelle, la migration devient si complexe et si difficile qu'il peut sembler qu'il n'y a pas de solution réaliste pour mettre à niveau un système d'exploitation - et que le maintien du système d'exploitation existant est l'option la plus sensée.
Cela peut également se produire lorsque la migration concerne des systèmes complexes, en interaction, qui s'étendent sur plusieurs départements et sur des organisations indépendantes. En fait, dans de rares cas, les risques liés à la migration peuvent l'emporter sur les risques de sécurité associés à un système d'exploitation non pris en charge.
Manque de responsabilité
Enfin, pour certaines entreprises, la responsabilité est un défi. En d'autres termes, il n'y a pas de partie responsable en dernier ressort de la gestion de la fin de vie des logiciels. Cette situation peut être due à un manque de leadership ou à une mauvaise structure organisationnelle.
Il peut également s'agir d'une question pratique. Par exemple, il peut arriver qu'aucune partie n'ait autorité sur les solutions technologiques. C'est notamment le cas lorsque les capacités technologiques sont partagées. Dans ces circonstances, les entreprises peuvent constater que personne n'est prêt à assumer le risque ou la responsabilité de la migration et, par conséquent, la migration n'est jamais effectuée.
Centos 6 : un exemple de conservation d'un système d'exploitation en fin de vie
Fin 2020, Red Hat a annoncé qu'il ne produirait plus la version dérivée de Red Hat Enterprise Linux, CentOS, en tant que version stable. Red Hat a essentiellement accéléré la fin de vie de l'ensemble du produit CentOS en tant que version stable. En d'autres termes, les entreprises qui s'appuient sur CentOS 6 n'ont plus aucune possibilité de mise à niveau réaliste.
La seule option pour ces entreprises était de passer à un autre système d'exploitation ou de payer pour Red Hat Enterprise Linux. Cette situation autour de CentOS 6 est typique des raisons que certaines entreprises peuvent invoquer pour continuer à utiliser un système d'exploitation qui n'est pas pris en charge.
Ce n'est pas une façon déraisonnable de penser aux systèmes d'exploitation en fin de vie, mais le fait que le chemin de mise à niveau depuis CentOS 6 soit difficile ne devrait pas l'emporter sur le fait que dépendre de CentOS 6 crée d'importants risques de sécurité.
Des possibilités d'exploitation infinies
Même s'il existe des raisons valables d'envisager l'utilisation d'un système d'exploitation en fin de vie, le problème reste que de nouvelles failles de sécurité ne cessent d'apparaître - et que les logiciels en fin de vie non corrigés ne font qu'ouvrir la porte.
Prenons l'exemple de la menace émergente des mineurs de crypto-monnaie. À un rythme rapide, les pirates informatiques ont commencé à déployer des logiciels de minage de crypto-monnaie gourmands en ressources par le biais de méthodes illicites, à savoir en profitant des faiblesses de Windows et de Linux pour installer des logiciels qui permettent aux pirates de réaliser des profits aux dépens de l'entreprise qui possède et exploite les ressources informatiques.
Il s'agit d'une menace particulièrement insidieuse, qui illustre les conséquences inattendues que peut avoir l'utilisation de logiciels obsolètes et non pris en charge. Dans ce cas, un système d'exploitation en fin de vie non corrigé peut signifier que les ressources d'une entreprise sont détournées pour le minage de crypto-monnaie, ce qui entraîne des dépenses plus élevées et des problèmes de fiabilité et de disponibilité.
Envisager plutôt un soutien étendu
Il existe une solution pour certains systèmes d'exploitation en fin de vie. Tout d'abord, certains fournisseurs proposent un support étendu, c'est-à-dire la possibilité de payer, parfois des sommes assez importantes, pour bénéficier d'un support continu pour un système d'exploitation qui ne bénéficie plus d'un support général. C'est ce qu'on appelle le support étendu du cycle de vie (ELS). Lorsque les fournisseurs le proposent, tous les clients qui profitent de l'assistance étendue resteront conformes et sécurisés, mais à un certain prix.
Dans certains cas, des tiers proposent une assistance étendue pour un système d'exploitation. Par exemple, chez TuxCare, nous offrons un support étendu du cycle de vie pour une gamme de systèmes d'exploitation de serveurs basés sur Linux, y compris les versions en fin de vie de CentOS, Oracle Linux et Ubuntu.
L'assistance étendue du cycle de vie de TuxCare comprend un correctif complet des vulnérabilités afin de garantir que toute nouvelle vulnérabilité découverte dans un système d'exploitation supporté, tel que CentOS 6, est immédiatement couverte par un correctif de TuxCare.
De plus, l'assistance de TuxCare est disponible à un prix bien inférieur à celui de l'assistance d'un fournisseur équivalent. Par exemple, notre ELS CentOS 6 ne représente qu'une fraction du prix de l'équivalent Red Hat.
Quoi qu'il en soit, les entreprises qui achètent un support étendu se donnent beaucoup de temps pour mettre à niveau ou migrer le système d'exploitation dont elles dépendent. Grâce à l'ELS, les entreprises peuvent obtenir les ressources nécessaires pour effectuer la migration, la planifier avec soin ou simplement trouver des solutions de remplacement. Plus important encore, l'ELS couvre les entreprises contre les risques de sécurité pendant que le système d'exploitation en fin de vie est en place.