New call-to-action

Systèmes Legacy | Obsolescence ne rime pas avec sécurité

02-11-2023 | < 1 lecture minimale | Cybersécurité, Décommissionnement des systèmes legacy

Auteur: Yannick Thommassier, CISO of TJC Group

On pourrait croire que les systèmes obsolètes ne sont plus jamais concernés par de nouvelles vulnérabilités parce qu’ils ont atteint leur dernier niveau de mise à jour disponible et qu’aucun chercheur en sécurité ou hacker ne va essayer de les corrompre.

Mais il n’en est rien puisque des vulnérabilités récentes, découvertes sur une librairie, peuvent finalement concerner toutes les versions présentes et passées de celle-ci.

Prenons comme exemple les vulnérabilités récentes CVE-2023-38545 et CVE-2023-38546 concernant la librairie cURL[LP1] [LP2] .

Ces vulnérabilités ne sont certes pas triviales à exploiter et nécessitent la satisfaction de plusieurs conditions pour cela. Mais elles illustrent, cependant, la problématique que représente la découverte d’une vulnérabilité impactant toutes les versions précédentes d’une librairie.

La correction d’anciennes versions de cette librairie technique, embarquée dans bon nombre de systèmes devenus obsolètes avec le temps et plus maintenus, n’est pas du tout assurée. 

Il faut alors espérer un hypothétique portage arrière (back port) des corrections sur le code source de ces versions antérieures de la librairie, pour demeurer en sécurité. Cela peut prendre du temps et provoquer des incompatibilités résultantes : la montée de version d’une librairie sur un système obsolète n’étant pas chose facile.

C’est pourquoi, maintenir un système informatique obsolète, même à jour des derniers correctifs diffusés par l’éditeur, n’est pas sûr dans le temps. La conservation à moyen ou longs termes des données dans ces systèmes n’est donc pas dans risque de sécurité.

Il est donc nécessaire d’envisager le décommissionnement de ces systèmes et le transfert de leurs données dans un service d’archivage prévu à cet effet, moderne, robuste et maintenu à jour, afin de conserver les données avec le meilleur niveau de sécurité.

L’article suivant pourrait également vous intéresser :
https://www.tjc-group.com/fr/blogs/est-il-prudent-de-conserver-des-anciennes-donnees-dans-un-systeme-legacy-sap/

Retour à tous les blogs
Application de système hérité d'entreprise (ELSA) Archivage des données SAP Carrières conformité des entreprises au gouvernement Conformité RGPD Conformité SAF-T Cybersécurité DART Décommissionnement des systèmes legacy Durabilité Événement Fichier des Écritures Comptables (FEC) Gestion des données Migration S/4HANA Gestion des données SAP Gestion du cycle de vie des informations SAP Groupe TJC Points forts de SAP Préparation fiscale et d'audit SAP BTP Tendances informatiques
April 2024March 2024February 2024January 2024December 2023November 2023October 2023September 2023August 2023July 2023June 2023May 2023April 2023March 2023February 2023January 2023December 2022November 2022October 2022September 2022August 2022June 2022April 2022March 2022February 2022December 2021November 2021October 2021September 2021July 2021June 2021May 2021April 2021March 2021February 2021January 2021December 2020November 2020October 2020September 2020August 2020June 2020May 2020April 2020March 2020February 2020January 2020December 2019October 2019September 2019July 2019November 2018August 2018July 2018June 2018April 2018February 2018December 2017May 2017February 2016December 2015May 2015February 2014March 2013

Articles récents

data privacy
Data privacy: Your absolute guide to its importance, regulations, and more

17/04/2024 |  

9 lecture minimale
Shwetha Siddappa - SAP Technical Lead, TJC Group
Team spotlight | Shwetha Siddappa – SAP Technical Consultant

04/04/2024 |  

4 lecture minimale

Plus comme ça

Header for data archiving and cybersecurity

Data archiving and cybersecurity: Working hand-in-hand for vulnerabilities

29/03/2024 |  

6 lecture minimale
Rise with SAP

What are the benefits of RISE with SAP?

05/03/2024 |  

4 lecture minimale
navigating legacy systems decommissioning

A comprehensive guide to navigating legacy system decommissioning

01/03/2024 |  

6 lecture minimale