Quelque part dans votre r\u00e9seau fonctionne probablement un syst\u00e8me qui ne re\u00e7oit plus de mises \u00e0 jour de s\u00e9curit\u00e9 depuis des mois, voire des ann\u00e9es. Il fonctionne, personne ne s’en plaint, et c’est pr\u00e9cis\u00e9ment l\u00e0 que r\u00e9side le probl\u00e8me. Les logiciels en fin de vie sont l’une des failles de s\u00e9curit\u00e9 les plus fr\u00e9quentes et en m\u00eame temps les plus sous-estim\u00e9es dans les r\u00e9seaux des PME suisses.<\/p>\n
End-of-Life (EOL) signifie que l’\u00e9diteur ne publie plus de mises \u00e0 jour de s\u00e9curit\u00e9. Chaque nouvelle vuln\u00e9rabilit\u00e9 d\u00e9couverte dans ce logiciel restera ouverte \u00e0 jamais. Pas de patch, pas de correctif, pas d’aide de l’\u00e9diteur. Le logiciel devient une porte d’entr\u00e9e ouverte en permanence.<\/p>\n
La liste des produits r\u00e9cemment abandonn\u00e9s ou bient\u00f4t en fin de support est longue, et elle concerne des composants d’infrastructure centraux que l’on trouve dans pratiquement toutes les PME.<\/p>\n
Le support \u00e9tendu a pris fin en octobre 2023. Pourtant, de nombreuses instances fonctionnent encore dans les PME suisses, souvent comme serveur de fichiers, serveur d’impression ou pour des applications m\u00e9tier sp\u00e9cialis\u00e9es. Sans les Extended Security Updates (ESU) de Microsoft, il n’y a plus de patches. Et m\u00eame les programmes ESU payants ont une dur\u00e9e limit\u00e9e.<\/p>\n
Le support principal a pris fin en janvier 2022, le support \u00e9tendu court encore jusqu’en janvier 2027. Cela semble loin, mais les migrations n\u00e9cessitent de la planification, des tests et du budget. Ceux qui ne planifient pas maintenant devront migrer sous pression.<\/p>\n
PHP 7.4 a atteint sa fin de vie en novembre 2022. PHP 8.0 a suivi en novembre 2023, PHP 8.1 en d\u00e9cembre 2025. Pourtant, selon les statistiques, plus de 40 pour cent de tous les sites PHP fonctionnent encore sur des versions sans support de s\u00e9curit\u00e9 actif. Dans le paysage des PME suisses, o\u00f9 de nombreux sites web reposent sur WordPress, Joomla ou des applications PHP individuelles, le taux est similaire.<\/p>\n
Exchange 2013 a atteint sa fin de vie en avril 2023. Exchange 2016 et 2019 suivent en octobre 2025. Les serveurs Exchange sont particuli\u00e8rement critiques car ils sont directement accessibles depuis Internet et ont \u00e9t\u00e9 \u00e0 plusieurs reprises la cible d’attaques graves par le pass\u00e9. ProxyLogon et ProxyShell n’en sont que les exemples les plus connus.<\/p>\n
OpenSSL 1.1.1 a atteint sa fin de vie en septembre 2023. La biblioth\u00e8que est utilis\u00e9e par d’innombrables applications et services pour la communication chiffr\u00e9e. De nombreuses appliances, syst\u00e8mes embarqu\u00e9s et anciennes distributions Linux utilisent encore OpenSSL 1.x, souvent sans que l’administrateur en soit conscient.<\/p>\n
Pourquoi ces syst\u00e8mes fonctionnent-ils encore ? Les raisons se r\u00e9p\u00e8tent \u00e0 chaque audit :<\/p>\n
\u00ab Mais \u00e7a fonctionne encore. \u00bb<\/strong> L’argument le plus dangereux en s\u00e9curit\u00e9 informatique. La fonctionnalit\u00e9 n’a rien \u00e0 voir avec la s\u00e9curit\u00e9. Un Windows Server 2012 qui fournit des fichiers de mani\u00e8re fiable reste une porte ouverte pour les attaquants.<\/p>\n D\u00e9pendance aux applications m\u00e9tier.<\/strong> Un logiciel m\u00e9tier sp\u00e9cialis\u00e9 ne fonctionne que sous Windows Server 2016. L’\u00e9diteur a cess\u00e9 le d\u00e9veloppement ou exige des co\u00fbts de licence \u00e9lev\u00e9s pour une mise \u00e0 niveau. Alors, l’ancien syst\u00e8me reste en place.<\/p>\n Pas de budget pour la migration.<\/strong> La migration d’un serveur Exchange vers Microsoft 365 ou un Exchange actuel demande du temps et de l’argent. Tant que \u00ab rien ne se passe \u00bb, le budget est utilis\u00e9 \u00e0 d’autres fins.<\/p>\n Personne ne le sait.<\/strong> Dans les environnements informatiques qui ont \u00e9volu\u00e9 organiquement, on perd facilement la vue d’ensemble. Le serveur Linux qu’un ancien collaborateur a install\u00e9 il y a six ans tourne silencieusement, avec une version PHP qui ne re\u00e7oit plus de mises \u00e0 jour depuis trois ans.<\/p>\n Les attaquants recherchent sp\u00e9cifiquement les logiciels en fin de vie, car ils savent que les vuln\u00e9rabilit\u00e9s d\u00e9couvertes ne seront jamais corrig\u00e9es. L’approche est syst\u00e9matique :<\/p>\n La nouvelle Loi f\u00e9d\u00e9rale sur la Protection des Donn\u00e9es (nLPD), en vigueur depuis septembre 2023, exige des \u00ab mesures techniques et organisationnelles appropri\u00e9es \u00bb pour la protection des donn\u00e9es personnelles. L’exploitation de logiciels sans mises \u00e0 jour de s\u00e9curit\u00e9 est difficilement d\u00e9fendable comme \u00ab appropri\u00e9e \u00bb, en particulier lorsque ces logiciels traitent des donn\u00e9es personnelles.<\/p>\n En cas de violation de la protection des donn\u00e9es, la question sera pos\u00e9e : \u00ab Auriez-vous pu emp\u00eacher l’incident ? \u00bb Si la r\u00e9ponse est \u00ab Oui, gr\u00e2ce \u00e0 une mise \u00e0 jour logicielle disponible et raisonnablement exigible \u00bb, la question de la responsabilit\u00e9 devient rapidement d\u00e9licate.<\/p>\n Les cas particuli\u00e8rement critiques :<\/p>\n La premi\u00e8re \u00e9tape est la d\u00e9tection syst\u00e9matique. La v\u00e9rification manuelle de chaque syst\u00e8me est chronophage et sujette aux erreurs. Les scanners de vuln\u00e9rabilit\u00e9s automatis\u00e9s peuvent identifier de mani\u00e8re fiable les produits en fin de vie, et des syst\u00e8mes dont personne ne soup\u00e7onnait l’existence y sont souvent d\u00e9couverts.<\/p>\n Les plateformes de scan modernes d\u00e9tectent plus de 300 produits EOL diff\u00e9rents et comparent automatiquement les versions install\u00e9es avec les cycles de vie des \u00e9diteurs. Le r\u00e9sultat est une liste claire : quel logiciel est encore sous support ? Lequel ne l’est plus ? Quelle est l’urgence de la migration ?<\/p>\n La migration des logiciels EOL ne doit pas \u00eatre planifi\u00e9e comme un projet titanesque. Une approche pragmatique :<\/p>\n 1. Priorisation bas\u00e9e sur le risque :<\/strong> Les syst\u00e8mes accessibles depuis Internet ou qui traitent des donn\u00e9es sensibles ont la priorit\u00e9 la plus \u00e9lev\u00e9e. Un serveur d’impression interne sans acc\u00e8s r\u00e9seau est moins urgent que le serveur web public.<\/p>\n 2. Mesures compensatoires pour la p\u00e9riode de transition :<\/strong> Lorsqu’une migration imm\u00e9diate n’est pas possible, la segmentation r\u00e9seau, des r\u00e8gles de pare-feu strictes et une surveillance renforc\u00e9e aident \u00e0 r\u00e9duire le risque. Ces mesures ne remplacent pas la migration, mais permettent de gagner du temps.<\/p>\n 3. \u00c9valuer la migration vers le cloud :<\/strong> Pour de nombreux services, en particulier la messagerie et le stockage de fichiers, le passage \u00e0 des services cloud est souvent moins co\u00fbteux et plus s\u00fbr qu’une mise \u00e0 niveau locale. Microsoft 365 au lieu d’Exchange On-Premise, SharePoint Online au lieu d’un serveur de fichiers Windows.<\/p>\n 4. Remettre en question les applications m\u00e9tier :<\/strong> Si une application m\u00e9tier est la seule raison d’un syst\u00e8me d’exploitation obsol\u00e8te, la discussion avec l’\u00e9diteur du logiciel doit avoir lieu. Il existe souvent des chemins de migration qui n’ont pas \u00e9t\u00e9 communiqu\u00e9s, ou des alternatives sur le march\u00e9.<\/p>\n 5. Planifier le budget \u00e0 long terme :<\/strong> Les cycles de vie informatiques sont pr\u00e9visibles. Si Windows Server 2016 atteint sa fin de vie en janvier 2027, le budget doit \u00eatre planifi\u00e9 pour 2026, pas en d\u00e9cembre 2026.<\/p>\n De nouveaux logiciels atteignent constamment leur fin de vie. Ce qui est actuel aujourd’hui peut \u00eatre sans support dans 12 mois. C’est pourquoi une v\u00e9rification ponctuelle ne suffit pas. Des scans automatis\u00e9s r\u00e9guliers garantissent que les logiciels nouvellement ajout\u00e9s ou nouvellement abandonn\u00e9s sont imm\u00e9diatement d\u00e9tect\u00e9s.<\/p>\n Les logiciels en fin de vie ne sont pas un risque th\u00e9orique. Ils constituent un point faible concret et mesurable que les attaquants exploitent activement. La bonne nouvelle : les logiciels EOL sont d\u00e9tectables et la rem\u00e9diation est planifiable. Il suffit de la volont\u00e9 de regarder, et des bons outils pour garder la vue d’ensemble.<\/p>\n ExposIQ d\u00e9tecte automatiquement plus de 300 produits en fin de vie et indique clairement quels syst\u00e8mes de votre r\u00e9seau fonctionnent sans support de s\u00e9curit\u00e9. Combin\u00e9 avec l’\u00e9valuation CVSS, EPSS et KEV, vous voyez imm\u00e9diatement o\u00f9 se situe le risque le plus \u00e9lev\u00e9. H\u00e9bergement suisse, conforme \u00e0 la nLPD, \u00e0 partir de CHF 99 par mois. En savoir plus sur exposiq.ch<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Quelque part dans votre r\u00e9seau fonctionne probablement un syst\u00e8me qui ne re\u00e7oit plus de mises \u00e0 jour de s\u00e9curit\u00e9 depuis des mois, voire des ann\u00e9es. Il fonctionne, personne ne s’en plaint, et c’est pr\u00e9cis\u00e9ment l\u00e0 que r\u00e9side le probl\u00e8me. Les logiciels en fin de vie sont l’une des failles de s\u00e9curit\u00e9 les plus fr\u00e9quentes et … Lire plus<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"rank_math_focus_keyword":"logiciel fin de vie pme","rank_math_title":"Logiciels en fin de vie : la bombe \u00e0 retardement dans les r\u00e9seaux PME","rank_math_description":"Windows Server 2012, PHP 7.x, Exchange 2013 \u2013 les logiciels EOL sans correctifs sont l'un des plus grands risques dans les r\u00e9seaux PME.","rank_math_robots":"","rank_math_canonical_url":"","rank_math_primary_category":"","footnotes":""},"categories":[8],"tags":[],"class_list":["post-1157","post","type-post","status-publish","format-standard","hentry","category-it-sicherheit","generate-columns","tablet-grid-50","mobile-grid-100","grid-parent","grid-33"],"_links":{"self":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/posts\/1157","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/comments?post=1157"}],"version-history":[{"count":0,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/posts\/1157\/revisions"}],"wp:attachment":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/media?parent=1157"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/categories?post=1157"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/tags?post=1157"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Le risque r\u00e9el : ce que les attaquants font avec les logiciels EOL<\/h2>\n
\n
Implications de la nLPD : risques juridiques<\/h2>\n
\n
D\u00e9tecter les logiciels EOL : l’inventaire comme fondement<\/h2>\n
Strat\u00e9gies de migration pour les PME<\/h2>\n
Surveillance continue plut\u00f4t que v\u00e9rification ponctuelle<\/h2>\n
Conclusion<\/h2>\n