Quelque part dans votre réseau fonctionne probablement un système qui ne reçoit plus de mises à jour de sécurité depuis des mois, voire des années. Il fonctionne, personne ne s’en plaint, et c’est précisément là que réside le problème. Les logiciels en fin de vie sont l’une des failles de sécurité les plus fréquentes et en même temps les plus sous-estimées dans les réseaux des PME suisses.
End-of-Life (EOL) signifie que l’éditeur ne publie plus de mises à jour de sécurité. Chaque nouvelle vulnérabilité découverte dans ce logiciel restera ouverte à jamais. Pas de patch, pas de correctif, pas d’aide de l’éditeur. Le logiciel devient une porte d’entrée ouverte en permanence.
Le paysage EOL actuel : ce qui est concerné aujourd’hui
La liste des produits récemment abandonnés ou bientôt en fin de support est longue, et elle concerne des composants d’infrastructure centraux que l’on trouve dans pratiquement toutes les PME.
Windows Server 2012 et 2012 R2
Le support étendu a pris fin en octobre 2023. Pourtant, de nombreuses instances fonctionnent encore dans les PME suisses, souvent comme serveur de fichiers, serveur d’impression ou pour des applications métier spécialisées. Sans les Extended Security Updates (ESU) de Microsoft, il n’y a plus de patches. Et même les programmes ESU payants ont une durée limitée.
Windows Server 2016
Le support principal a pris fin en janvier 2022, le support étendu court encore jusqu’en janvier 2027. Cela semble loin, mais les migrations nécessitent de la planification, des tests et du budget. Ceux qui ne planifient pas maintenant devront migrer sous pression.
PHP 7.x
PHP 7.4 a atteint sa fin de vie en novembre 2022. PHP 8.0 a suivi en novembre 2023, PHP 8.1 en décembre 2025. Pourtant, selon les statistiques, plus de 40 pour cent de tous les sites PHP fonctionnent encore sur des versions sans support de sécurité actif. Dans le paysage des PME suisses, où de nombreux sites web reposent sur WordPress, Joomla ou des applications PHP individuelles, le taux est similaire.
Microsoft Exchange Server 2013 et 2016
Exchange 2013 a atteint sa fin de vie en avril 2023. Exchange 2016 et 2019 suivent en octobre 2025. Les serveurs Exchange sont particulièrement critiques car ils sont directement accessibles depuis Internet et ont été à plusieurs reprises la cible d’attaques graves par le passé. ProxyLogon et ProxyShell n’en sont que les exemples les plus connus.
OpenSSL 1.x
OpenSSL 1.1.1 a atteint sa fin de vie en septembre 2023. La bibliothèque est utilisée par d’innombrables applications et services pour la communication chiffrée. De nombreuses appliances, systèmes embarqués et anciennes distributions Linux utilisent encore OpenSSL 1.x, souvent sans que l’administrateur en soit conscient.
Autres produits fréquemment concernés
- CentOS 7 : EOL depuis juin 2024 — encore largement utilisé comme OS serveur
- Ubuntu 18.04 LTS : Le support standard a pris fin en mai 2023
- Java 8 : Les mises à jour publiques d’Oracle pour une utilisation commerciale ont pris fin dès 2019
- Apache 2.2 : Sans mises à jour de sécurité depuis 2018, mais encore actif sur de nombreux serveurs web
- jQuery 1.x et 2.x : Intégré dans des millions de sites web, avec des vulnérabilités XSS connues
- VMware vSphere 6.x : Fin du support général atteinte — les patches ne sont disponibles qu’avec un support prolongé
La réalité des PME suisses
Pourquoi ces systèmes fonctionnent-ils encore ? Les raisons se répètent à chaque audit :
« Mais ça fonctionne encore. » L’argument le plus dangereux en sécurité informatique. La fonctionnalité n’a rien à voir avec la sécurité. Un Windows Server 2012 qui fournit des fichiers de manière fiable reste une porte ouverte pour les attaquants.
Dépendance aux applications métier. Un logiciel métier spécialisé ne fonctionne que sous Windows Server 2016. L’éditeur a cessé le développement ou exige des coûts de licence élevés pour une mise à niveau. Alors, l’ancien système reste en place.
Pas de budget pour la migration. La migration d’un serveur Exchange vers Microsoft 365 ou un Exchange actuel demande du temps et de l’argent. Tant que « rien ne se passe », le budget est utilisé à d’autres fins.
Personne ne le sait. Dans les environnements informatiques qui ont évolué organiquement, on perd facilement la vue d’ensemble. Le serveur Linux qu’un ancien collaborateur a installé il y a six ans tourne silencieusement, avec une version PHP qui ne reçoit plus de mises à jour depuis trois ans.
Le risque réel : ce que les attaquants font avec les logiciels EOL
Les attaquants recherchent spécifiquement les logiciels en fin de vie, car ils savent que les vulnérabilités découvertes ne seront jamais corrigées. L’approche est systématique :
- Scans automatisés : Des bots scannent en permanence Internet à la recherche de logiciels obsolètes. Des outils comme Shodan et Censys rendent les résultats consultables publiquement.
- Développement d’exploits sans pression temporelle : Dès qu’une nouvelle vulnérabilité dans un logiciel EOL est connue, les attaquants peuvent développer des exploits sans course contre la montre. Il n’y aura jamais de patch.
- Tête de pont dans le réseau : Un système EOL compromis sert de point de départ pour un mouvement latéral dans le réseau. De là, les systèmes actuels et bien protégés sont attaqués.
- Déploiement de ransomware : De nombreux groupes de ransomware utilisent des vulnérabilités connues dans des logiciels obsolètes comme point d’accès initial. Le groupe « LockBit » a utilisé à plusieurs reprises des serveurs Exchange non patchés comme porte d’entrée.
Implications de la nLPD : risques juridiques
La nouvelle Loi fédérale sur la Protection des Données (nLPD), en vigueur depuis septembre 2023, exige des « mesures techniques et organisationnelles appropriées » pour la protection des données personnelles. L’exploitation de logiciels sans mises à jour de sécurité est difficilement défendable comme « appropriée », en particulier lorsque ces logiciels traitent des données personnelles.
En cas de violation de la protection des données, la question sera posée : « Auriez-vous pu empêcher l’incident ? » Si la réponse est « Oui, grâce à une mise à jour logicielle disponible et raisonnablement exigible », la question de la responsabilité devient rapidement délicate.
Les cas particulièrement critiques :
- Serveurs de messagerie avec des données clients sur un Exchange EOL
- Serveurs web avec des portails clients sur un PHP obsolète
- Serveurs de fichiers avec des données du personnel sur Windows Server 2012
- Systèmes CRM sur des serveurs de bases de données obsolètes
Détecter les logiciels EOL : l’inventaire comme fondement
La première étape est la détection systématique. La vérification manuelle de chaque système est chronophage et sujette aux erreurs. Les scanners de vulnérabilités automatisés peuvent identifier de manière fiable les produits en fin de vie, et des systèmes dont personne ne soupçonnait l’existence y sont souvent découverts.
Les plateformes de scan modernes détectent plus de 300 produits EOL différents et comparent automatiquement les versions installées avec les cycles de vie des éditeurs. Le résultat est une liste claire : quel logiciel est encore sous support ? Lequel ne l’est plus ? Quelle est l’urgence de la migration ?
Stratégies de migration pour les PME
La migration des logiciels EOL ne doit pas être planifiée comme un projet titanesque. Une approche pragmatique :
1. Priorisation basée sur le risque : Les systèmes accessibles depuis Internet ou qui traitent des données sensibles ont la priorité la plus élevée. Un serveur d’impression interne sans accès réseau est moins urgent que le serveur web public.
2. Mesures compensatoires pour la période de transition : Lorsqu’une migration immédiate n’est pas possible, la segmentation réseau, des règles de pare-feu strictes et une surveillance renforcée aident à réduire le risque. Ces mesures ne remplacent pas la migration, mais permettent de gagner du temps.
3. Évaluer la migration vers le cloud : Pour de nombreux services, en particulier la messagerie et le stockage de fichiers, le passage à des services cloud est souvent moins coûteux et plus sûr qu’une mise à niveau locale. Microsoft 365 au lieu d’Exchange On-Premise, SharePoint Online au lieu d’un serveur de fichiers Windows.
4. Remettre en question les applications métier : Si une application métier est la seule raison d’un système d’exploitation obsolète, la discussion avec l’éditeur du logiciel doit avoir lieu. Il existe souvent des chemins de migration qui n’ont pas été communiqués, ou des alternatives sur le marché.
5. Planifier le budget à long terme : Les cycles de vie informatiques sont prévisibles. Si Windows Server 2016 atteint sa fin de vie en janvier 2027, le budget doit être planifié pour 2026, pas en décembre 2026.
Surveillance continue plutôt que vérification ponctuelle
De nouveaux logiciels atteignent constamment leur fin de vie. Ce qui est actuel aujourd’hui peut être sans support dans 12 mois. C’est pourquoi une vérification ponctuelle ne suffit pas. Des scans automatisés réguliers garantissent que les logiciels nouvellement ajoutés ou nouvellement abandonnés sont immédiatement détectés.
Conclusion
Les logiciels en fin de vie ne sont pas un risque théorique. Ils constituent un point faible concret et mesurable que les attaquants exploitent activement. La bonne nouvelle : les logiciels EOL sont détectables et la remédiation est planifiable. Il suffit de la volonté de regarder, et des bons outils pour garder la vue d’ensemble.
ExposIQ détecte automatiquement plus de 300 produits en fin de vie et indique clairement quels systèmes de votre réseau fonctionnent sans support de sécurité. Combiné avec l’évaluation CVSS, EPSS et KEV, vous voyez immédiatement où se situe le risque le plus élevé. Hébergement suisse, conforme à la nLPD, à partir de CHF 99 par mois. En savoir plus sur exposiq.ch.
