{"id":34279,"date":"2025-10-10T18:39:00","date_gmt":"2025-10-10T13:09:00","guid":{"rendered":"https:\/\/www.tjc-group.com\/blogs\/la-strategique-imperative-decommissionnement-des-systemes-legacy-pour-une-meilleure-cybersecurite\/"},"modified":"2025-03-28T19:09:40","modified_gmt":"2025-03-28T13:39:40","slug":"la-strategique-imperative-decommissionnement-des-systemes-legacy-pour-une-meilleure-cybersecurite","status":"publish","type":"blog","link":"https:\/\/www.tjc-group.com\/fr\/blogs\/la-strategique-imperative-decommissionnement-des-systemes-legacy-pour-une-meilleure-cybersecurite\/","title":{"rendered":"La mise hors service des anciens syst\u00e8mes pour une meilleure cybers\u00e9curit\u00e9 | TJC Group"},"content":{"rendered":"\n

Les auteurs : Laura Parri Royo,<\/a> directrice marketing chez TJC Group, et Audren Butery<\/a>, consultante SAP chez TJC Group. <\/p>\n\n\n\n

<\/p>\n\n\n\n

Le d\u00e9commissionnement des syst\u00e8mes legacy est l’un des domaines de la gestion de l’infrastructure informatique qui est le plus souvent n\u00e9glig\u00e9. Compar\u00e9 \u00e0 d’autres projets, il n’est pas vraiment passionnant ni \u00e0 la pointe de la technologie, et cette tendance n’est donc pas surprenante. Pourtant, dans le monde d’aujourd’hui, o\u00f9 les niveaux de cybercriminalit\u00e9 continuent de cro\u00eetre de mani\u00e8re exponentielle, il s’agit probablement de l’erreur la plus co\u00fbteuse qu’un directeur de la technologie puisse commettre. Le d\u00e9mant\u00e8lement des syst\u00e8mes legacy est une question strat\u00e9gique pour l’informatique, et ce pour de nombreuses raisons.<\/p>\n\n\n\n

Cet article explique pourquoi ce sujet est si important d’un point de vue strat\u00e9gique et, si vous envisagez de mettre hors service vos syst\u00e8mes <\/a>legacy dans le cadre du passage \u00e0 S\/4 HANA, comment trouver des solutions qui simplifient consid\u00e9rablement l’ensemble du projet.<\/strong><\/p>\n\n\n\n

Les syst\u00e8mes legacy attirent les pirates informatiques<\/h2>\n\n\n\n

La s\u00e9curit\u00e9 est en t\u00eate de liste des facteurs de risque. Les organisations dont les syst\u00e8mes anciens ne sont pas contr\u00f4l\u00e9s peuvent \u00eatre particuli\u00e8rement vuln\u00e9rables aux attaques des pirates et des cybercriminels, mais ce n’est pas tout. Cet article pr\u00e9sente un exemple concret d’une entreprise am\u00e9ricaine dont les syst\u00e8mes legacy ont \u00e9t\u00e9 l’\u00e9picentre du ransomware<\/a>. \u00c0 l’heure o\u00f9 de nombreux utilisateurs de SAP ECC \u00e9valuent la meilleure voie de migration vers SAP S\/4 HANA, les entreprises peuvent \u00eatre tent\u00e9es de “ne rien faire” avec leur ancien syst\u00e8me ERP. Mais outre les risques de s\u00e9curit\u00e9, il existe de nombreuses autres bonnes raisons d’investir dans le d\u00e9mant\u00e8lement des syst\u00e8mes legacy <\/a>avec des experts.<\/p>\n\n\n\n

\n

Les donn\u00e9es existantes peuvent repr\u00e9senter un risque \u00e9lev\u00e9 pour la cybers\u00e9curit\u00e9, car elles ne sont pas n\u00e9cessairement crypt\u00e9es ou prot\u00e9g\u00e9es par d’autres contr\u00f4les d’acc\u00e8s.
Les syst\u00e8mes legacy sont susceptibles de recevoir des attaques de pirates informatiques s’ils ne sont pas mis \u00e0 jour. <\/em><\/p>\n<\/blockquote>\n\n\n\n

Le suivi des correctifs et des mises \u00e0 jour des syst\u00e8mes est un v\u00e9ritable d\u00e9fi pour les professionnels de l’informatique, comme l’indique le rapport SAPinsider Cybersecurity Report 2023. <\/strong>Malheureusement, c’est le pain et le beurre des \u00e9quipes de s\u00e9curit\u00e9 informatique qui travaillent sur les syst\u00e8mes SAP ; la liste des vuln\u00e9rabilit\u00e9s SAP \u00e0 surveiller de pr\u00e8s est longue.\nLe RSSI du groupe TJC en a parl\u00e9 dans cet article : Les vuln\u00e9rabilit\u00e9s de SAP et les raisons pour lesquelles il n’est pas s\u00fbr de conserver des donn\u00e9es anciennes dans un vieux syst\u00e8me SAP<\/a>. <\/p>\n\n\n\n

<\/p>\n\n\n\n

\"\"
Figure 1 Vuln\u00e9rabilit\u00e9s SAP, CVE.\nSource : D\u00e9tails CVE. <\/figcaption><\/figure>\n\n\n\n

La date limite de maintenance du SAP ECC approche<\/h2>\n\n\n\n

Pour les organisations qui migrent vers SAP S\/4HANA, SAP mettra fin \u00e0 la maintenance d’ici 2027 – 2025 pour celles qui utilisent EPH5. Attention, les syst\u00e8mes non corrig\u00e9s sont l’un des plus grands d\u00e9fis auxquels les organisations sont confront\u00e9es pour s\u00e9curiser leurs syst\u00e8mes SAP, selon le rapport de cybers\u00e9curit\u00e9 de SAPinsider de 2023. C’est pourquoi la fin de la maintenance des syst\u00e8mes SAP legacy et\/ou l’absence de correctifs est devenue un probl\u00e8me de s\u00e9curit\u00e9.<\/p>\n\n\n\n

SAP et ses clients ECC se trouvent donc dans une position d\u00e9licate. SAP pourrait \u00e0 nouveau retarder les dates de fin de maintenance, mais si c’est le cas, ils attendront le plus longtemps possible. C’est pourquoi nous vous conseillons d’\u00e9laborer un plan pour g\u00e9rer les syst\u00e8mes h\u00e9rit\u00e9s et les donn\u00e9es historiques de la mani\u00e8re la plus rentable et la plus conforme. Contactez-nous<\/a> si vous avez des questions.<\/p>\n\n\n\n

\u00c9vitez une violation de donn\u00e9es dans votre organisation<\/h2>\n\n\n\n

Tout d’abord, examinons les implications en termes de s\u00e9curit\u00e9 de l’utilisation ind\u00e9finie des syst\u00e8mes legacy. Nous avons d\u00e9j\u00e0 \u00e9voqu\u00e9 les risques de vuln\u00e9rabilit\u00e9. Les syst\u00e8mes legacy sont beaucoup plus expos\u00e9s aux atteintes \u00e0 la s\u00e9curit\u00e9 des donn\u00e9es car ils ne re\u00e7oivent plus de mises \u00e0 jour ni de correctifs de la part des fournisseurs. M\u00eame si un fournisseur propose encore des mises \u00e0 jour, l’organisation utilisatrice a peut-\u00eatre cess\u00e9 de les mettre en \u0153uvre – une autre erreur courante -, peut-\u00eatre parce qu’elle ne dispose plus des comp\u00e9tences ad\u00e9quates en interne ou simplement parce que les nouveaux syst\u00e8mes retiennent toute l’attention. Cette pratique expose fortement les donn\u00e9es critiques aux cybermenaces et constitue l’un des moyens les plus courants utilis\u00e9s par les pirates pour franchir le pare-feu d’une entreprise.<\/p>\n\n\n\n

Les violations de donn\u00e9es sont actuellement l’une des cibles qui se d\u00e9veloppent le plus rapidement pour les pirates informatiques. Selon le professeur Stuart Madnick, expert au MIT<\/strong>, “les violations de donn\u00e9es continuent d’augmenter d’ann\u00e9e en ann\u00e9e et on a mesur\u00e9 une augmentation de 20 % des violations de donn\u00e9es entre 2022 et 2023”. Dans le cadre de cette \u00e9tude men\u00e9e par la Harvard Business Review<\/strong><\/a>, il a \u00e9t\u00e9 identifi\u00e9 que l’un des moyens les plus populaires pour les pirates d’acc\u00e9der aux donn\u00e9es est de combler les lacunes de s\u00e9curit\u00e9 dans les syst\u00e8mes des fournisseurs, et en particulier dans les syst\u00e8mes legacy.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

N’enfreignez pas les lois sur la protection de la vie priv\u00e9e <\/h2>\n\n\n\n

Outre les implications en mati\u00e8re de s\u00e9curit\u00e9, il existe \u00e9galement des consid\u00e9rations de conformit\u00e9 lorsque les syst\u00e8mes legacy ne sont pas contr\u00f4l\u00e9s. Ces aspects sont tout aussi critiques. Le maintien en service de syst\u00e8mes obsol\u00e8tes au lieu de leur mise hors service peut conduire \u00e0 la non-conformit\u00e9 avec les normes r\u00e9glementaires modernes telles que le GDPR, exposant une organisation \u00e0 une amende de plusieurs millions d’euros et \u00e0 des poursuites judiciaires de la part des autorit\u00e9s de r\u00e9glementation. Nous avons \u00e9crit sur les graves risques financiers des amendes GDPR<\/a> <\/strong>dans le pass\u00e9.<\/p>\n\n\n\n

\n

“La protection des donn\u00e9es au sein des syst\u00e8mes SAP est une pr\u00e9occupation majeure. Cette importance est raisonnable si l’on consid\u00e8re les donn\u00e9es critiques h\u00e9berg\u00e9es dans ces syst\u00e8mes qui constituent les actifs principaux d’une entreprise, couvrant des \u00e9l\u00e9ments essentiels tels que les informations sur les partenaires et les clients, les documents financiers, les enregistrements de transactions, les connexions bancaires, et m\u00eame les informations personnelles identifiables des employ\u00e9s”.<\/em><\/p>\n\n\n\n

SAPinsider 2024 Buyer’s Guide Cybers\u00e9curit\u00e9<\/strong><\/em><\/p>\n<\/blockquote>\n\n\n\n

Consid\u00e9rons les co\u00fbts, car un article explorant les cons\u00e9quences du non-d\u00e9mant\u00e8lement des syst\u00e8mes historiques serait incomplet s’il ne prenait pas en compte les implications en termes de rentabilit\u00e9. Nous sommes au c\u0153ur d’une p\u00e9nurie de comp\u00e9tences informatiques et les experts pr\u00e9voient qu’elle va continuer \u00e0 s’intensifier .
According to IDC <\/a>La p\u00e9nurie croissante de comp\u00e9tences en technologies de l’information a un impact sur les entreprises de tous les secteurs et de toutes les r\u00e9gions. Pr\u00e8s de deux tiers des cadres interrog\u00e9s dans le cadre d’un r\u00e9cent rapport de recherche ont d\u00e9clar\u00e9 que le manque de comp\u00e9tences avait entra\u00een\u00e9 des objectifs de croissance du chiffre d’affaires non atteints, des probl\u00e8mes de qualit\u00e9 et une baisse g\u00e9n\u00e9rale de la satisfaction de la client\u00e8le. IDC pr\u00e9voit que d’ici 2026, plus de 90 % des organisations du monde entier ressentiront les effets de la crise des comp\u00e9tences informatiques, ce qui se traduira par des pertes de l’ordre de 5 500 milliards de dollars.<\/p>\n\n\n\n

\n

Selon IDC<\/a>, la p\u00e9nurie croissante de comp\u00e9tences informatiques touche les entreprises de tous les secteurs et de toutes les r\u00e9gions.<\/em><\/p>\n<\/blockquote>\n\n\n\n

Mieux utiliser les comp\u00e9tences informatiques<\/h2>\n\n\n\n

Il est difficile d’employer et de conserver de bons professionnels de l’informatique dans le meilleur des cas, et lorsque leurs comp\u00e9tences sont plus sp\u00e9cialis\u00e9es, la situation devient encore plus probl\u00e9matique. De nombreux syst\u00e8mes legacy d\u00e9pendent d’un petit groupe d’experts informatiques au sein d’une organisation pour leur maintenance, ce qui pose un risque si ces ressources deviennent indisponibles. Plut\u00f4t que d’immobiliser des budgets informatiques essentiels avec des comp\u00e9tences patrimoniales, la mise hors service de syst\u00e8mes legacy ou applications<\/strong> permet de r\u00e9affecter les ressources informatiques \u00e0 des projets plus strat\u00e9giques qui contribueront de mani\u00e8re positive \u00e0 la croissance et \u00e0 l’innovation de l’entreprise.<\/p>\n\n\n\n

Ne gaspillez pas l’\u00e9nergie<\/h2>\n\n\n\n

L’autre facteur tr\u00e8s important \u00e0 prendre en compte est le co\u00fbt environnemental (et le gaspillage) de l’alimentation inutile des syst\u00e8mes legacy. Il est bien connu que les centres de donn\u00e9es sont devenus les plus gros consommateurs d’\u00e9lectricit\u00e9 dans le monde d’aujourd’hui et que le volume de donn\u00e9es stock\u00e9es ne cesse d’augmenter, tout comme les niveaux de consommation d’\u00e9nergie. Le fait de maintenir en activit\u00e9 des syst\u00e8mes legacy alors qu’ils pourraient \u00eatre mis hors service gaspille beaucoup d’\u00e9nergie et, \u00e0 l’heure o\u00f9 les entreprises sont partout sous pression pour r\u00e9duire leur empreinte carbone, il pourrait s’agir d’une victoire facile. Nous avons \u00e9crit sur l’impact positif sur le carbone de la gestion du volume de donn\u00e9es. l’impact positif sur le carbone de la gestion du volume de donn\u00e9es<\/strong><\/a> dans le pass\u00e9.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

Meilleure pratique : Comment proc\u00e9der au d\u00e9commissionnement syst\u00e8mes legacy ?<\/h2>\n\n\n\n

Apr\u00e8s avoir illustr\u00e9 l’importance de la mise hors service des syst\u00e8mes legacy, quelles mesures les professionnels de l’informatique peuvent-ils prendre pour rendre le processus de mise hors service aussi simple que possible ? L’une des principales objections formul\u00e9es par les entreprises qui envisagent de mettre hors service leurs syst\u00e8mes legacy est la suivante : “Que se passera-t-il si nous avons \u00e0 nouveau besoin de ces donn\u00e9es ? Cette pr\u00e9occupation est compr\u00e9hensible, surtout si l’on consid\u00e8re que les organisations de certains secteurs doivent conserver des documents historiques \u00e0 des fins fiscales, d’audit ou de conformit\u00e9. Heureusement, il existe des solutions d\u00e9di\u00e9es \u00e0 cet effet, notamment ELSA de TJC Group.<\/p>\n\n\n\n

<\/p>\n\n\n\n

L’article suivant apporte un \u00e9clairage sur la mani\u00e8re de retirer un ancien syst\u00e8me, de l’extinction \u00e0 la mise hors service : https:\/\/www.tjc-group.com\/blogs\/legacy-systems-a-journey-from-sunsetting-to-decommissioning\/<\/a><\/p>\n\n\n\n

Pr\u00e9sentation de l’application “Enterprise Legacy System” (syst\u00e8me patrimonial d’entreprise)<\/h2>\n\n\n\n

ELSA (Enterprise Legacy System Application)<\/a> est une solution unique, certifi\u00e9e par SAP, qui simplifie au maximum l’acc\u00e8s \u00e0 tous les syst\u00e8mes SAP et non SAP qui ne sont plus n\u00e9cessaires pour les transactions commerciales quotidiennes. D\u00e9velopp\u00e9e exclusivement par TJC pour surmonter les d\u00e9fis de d\u00e9commissionnement lors de la migration vers S\/4 HANA ou tout autre ERP, elle peut \u00eatre fournie sur site via SAP Business Technology Platform ou en tant que SaaS.<\/p>\n\n\n\n

\n