Introduction à l’obsolescence des SI
1. L’obsolescence, c’est quoi ?
L’obsolescence informatique concerne certaines parties d’un SI. Le matériel continue d’assurer sa fonction, mais les éléments ne sont plus proposés à la vente et / ou le support n’est plus assuré. Si un logiciel ou un matériel informatique n’a plus de mises à jour régulières, ni de nouvelles fonctionnalités, il devient obsolète par rapport au reste du marché. Progressivement des failles de sécurité apparaissent et la compatibilité avec les autres logiciels ou équipements n’est plus assurée. [source]
2. Qui est concerné ?
Les DSI, les RSSI, les métiers, les équipes techniques.
D’une manière générale, chaque société ayant un parc informatique devra s’occuper de gérer l’obsolescence de celui-ci.
3. Quels sont les risques ?
a. Sécurité
Un système qui n’est plus maintenu par son éditeur est un système qui (dans la majeure partie des cas) ne bénéficiera plus des patchs et donc laissera des failles potentielles non corrigées.
Le RSSI aura pour rôle d’influencer la DSI dans ses choix budgétaires de sorte que cet aspect de la sécurité soit traité au mieux.
b. Opérationnel
Un système qui n’est plus maintenu par son éditeur est un système qui s’expose à des problématiques de type incidentologie. Si la connaissance historique au sein de l’entreprise disparaît, il ne restera que le support de l’éditeur pour intervenir. Celui-ci peut être payé en extension de support (voir risque budgétaire ci-dessous), mais dans certains cas, ce support n’existera plus lui-même.
Ne pas anticiper une migration d’un système obsolète vers un système up-to-date aura potentiellement des impacts lourds au sein même de l’entreprise. Par exemple migrer en urgence des serveurs hébergeant le cœur du métier de l’entreprise aura une incidence forte sur le métier, la DSI, la gestion budgétaire, et aura un impact sur les autres projets puisqu’il faudra sans doute prioriser ce projet (ou embaucher, ce qui aura un impact budgétaire)
c. Budgétaire
Devoir couper du réseau un système en urgence à la suite d’une attaque via une faille qui n’a pas été patchée car le système est obsolète, aura un coût pour le métier (perte du service, impacts clients, perte financière directe, image de l’entreprise, etc)
Devoir négocier avec l’éditeur une extension de support du système peut s’avérer être très onéreux (à titre d’exemple on parle de plusieurs centaines de milliers d’euros pour moins de 200 serveurs Windows 2008, en 2021)
Ne pas oublier la charge de travail qui va augmenter en fonction de la disponibilité. Il faudra sans doute faire appel à des prestataires de services pour gérer ces migrations, ce qui ne sera pas neutre d’un point de vue budget.
4. Quelles solutions ?
Faire un état des lieux des systèmes infra, des logiciels, des licences et extensions de support.
Anticiper un maximum (Windows 2012 sera obsolète dès 2023. Il faut commencer à migrer le parc des 2012 vers du 2016 ou 2019 dès à présent)
Communiquer aux métiers les dates clés et les risques encourus à ne pas faire. Un métier qui ne validera aucun budget pour migrer son outil vers une plate-forme à jour et maintenue est un métier qui se retrouvera au pied du mur tôt ou tard, avec des compétences amoindries (le référent de l’outil qui aura participé à la création du système et qui en connaît tous les rouages ne sera pas forcément toujours présent pour aider à la migration), et des impacts potentiellement lourd : Ne pas faire évoluer un système critique parce qu’il est stable et qu’il a déjà coûté suffisamment cher est une erreur sur le long terme.
Anticiper d’un point de vue budget : Dès la mise en place d’une solution, s’interroger sur la fin de vie de celui-ci (combien d’années, quel support de l’éditeur, faudra-t-il installer une nouvelle version, etc)
Audits récurrents, veille permanente, partage des informations, anticipation, mise en place d’un processus de gestion de l’obsolescence aideront considérablement à réduire les risques.
