Sélection de la langue

Produits obsoletes - ITSAP.00.095

Les organisations investissent de manière considérable dans les biens de technologie de l’information (TI) qui appuient les besoins opérationnels. Ces derniers, dont le matériel et les logiciels, ont une durée de vie déterminée et deviennent éventuellement dépassés ou obsolètes. Bien que les produits obsolètes puissent encore répondre aux exigences opérationnelles, leur utilisation continue peut introduire des risques opérationnels qui ne sont pas toujours apparents.

Nous recommandons à votre organisation de mettre fin à l’utilisation des produits une fois qu’ils ne sont plus pris en charge. Vous devrez tenir compte de la nécessité de prévoir une période de transition en vue du remplacement ou de la mise à jour de vos biens de TI. La présente publication offre des conseils en vue d’aider votre organisation à identifier les produits obsolètes, à gérer les risques qui s’y rapportent et à passer de manière sécuritaire à des solutions de rechange prises en charge.

Sur cette page

Comprendre les produits obsolètes

Les produits dits obsolètes sont des produits qui ne sont plus fabriqués par le fournisseur qui les a initialement conçus. Les fournisseurs peuvent cesser de les offrir ou les éliminer pour des raisons financières ou opérationnelles stratégiques. Dans la pratique, des produits peuvent aussi devenir obsolètes lorsque :

  • ils atteignent la date de la fin du soutien ou de la fin de leur durée de vie;
  • les systèmes d’exploitation, les micrologiciels ou les piles de logiciels sous-jacents ne sont plus entretenus;
  • ils ne sont plus en mesure de satisfaire aux exigences en matière de sécurité ou de conformité, ou de prendre en charge des mécanismes de défense.

Pourquoi les produits obsolètes présentent des risques élevés

Les risques peuvent augmenter lorsque les produits vieillissent et ne satisfont plus aux exigences de sécurité et aux exigences opérationnelles et réglementaires. Dans bon nombre de cas, les produits plus anciens ou qui ne sont plus pris en charge sont plus difficiles à rendre sécuritaires et à remettre en service, et le fait de continuer à les utiliser peut entraîner des risques pour votre organisation. Voici certains des risques les plus fréquents et les plus potentiellement importants associés aux produits obsolètes.

Vulnérabilités informatiques : Les produits qui ne sont plus pris en charge ne reçoivent plus les correctifs de sécurité ou les mises à jour, ce qui les rend vulnérables et plus faciles à exploiter.

Plantage et inaccessibilité du système : Les logiciels et le matériel peuvent devenir moins fiables avec l’âge sur les plateformes plus récentes, ce qui augmente la probabilité de plantages, de problèmes de performance et d’indisponibilité.

Augmentation des coûts financiers : Entretenir des produits obsolètes nécessite souvent des ententes de soutien haut de gamme, des solutions de contournement sur mesure et des ressources internes supplémentaires.

Conformité juridique et réglementaire : Exploiter des technologies non prises en charge peut enfreindre les exigences de sécurité, ce qui peut mener à l’identification de problèmes lors des vérifications, à des sanctions ou à l’exercice de responsabilités légales.

Risques liés à la chaîne d’approvisionnement et aux tiers : Les composants obsolètes intégrés dans des produits ou des services de fournisseurs peuvent introduire des vulnérabilités échappant au contrôle direct de l’organisation.

Incompatibilité avec les contrôles de sécurité modernes : Les systèmes plus anciens peuvent ne pas prendre en charge les normes de chiffrement, les méthodes d’authentification, les outils de connexion ou de surveillance.

Limites concernant la reprise en cas d’incident : Les systèmes désuets peuvent ne pas permettre une intervention, une correction ou une restauration à la suite d’un incident de sécurité.

Disponibilité limitée de soutien compétent : Lorsque les produits tombent en désuétude, il peut être difficile de trouver du personnel de TI possédant les connaissances requises pour en assurer le soutien et la maintenance.

Secteurs de risques prioritaires

Vulnérabilités découlant de l’intelligence artificielle (IA) : Les progrès réalisés en matière d’IA accélèrent la vitesse et l’échelle auxquelles des vulnérabilités logicielles peuvent être identifiées. Les outils d’IA peuvent déceler un grand nombre de problèmes inconnus dans l’ensemble des systèmes et des applications, ce qui réduit la durée entre la découverte et l’exploitation des failles.

Appareils périphériques connectés à Internet : Les pare-feu, les routeurs, les passerelles de réseaux privés virtuels, les points d’accès sans fil et les équilibreurs de charge représentent des catégories de technologies obsolètes à haut risque. Ces dispositifs situés à l’extrémité des réseaux (à leur frontière) traitent du trafic sensible et sont directement exposés aux menaces externes. Cela en fait des points d’entrée courants pour les compromissions. Les dispositifs de ce type qui sont obsolètes ne devraient pas continuer d’être utilisés de manière courante en contexte de production, et ne devraient l’être que pendant de courtes périodes de transition gérées en tant que telles.

Conjointement, ces facteurs accroissent les risques dans l’ensemble des environnements. Les systèmes très exposés deviennent plus faciles à cibler, tandis que toutes les technologies désuètes deviennent rapidement non sécurisées. Cela réduit la durée de vie sécuritaire des logiciels, qui se termine parfois bien avant la date de fin de soutien du produit. Entretenir les technologies actuelles et celles qui sont prises en charge, et mettre en priorité le remplacement des systèmes exposés ou cruciaux est essentiel pour réduire les risques et favoriser globalement la sécurité.

Se défaire des produits obsolètes

La gestion des produits obsolètes nécessite une action planifiée plutôt que des correctifs ponctuels. Lorsque le soutien et la compatibilité ne sont plus assurés, les risques associés aux produits obsolètes continuent de croître si les systèmes demeurent fonctionnels. Les seuls contrôles techniques peuvent ne pas suffire à éliminer ce risque. Votre organisation devrait :

  • identifier rapidement les produits obsolètes;
  • planifier et effectuer leur remplacement pour réduire l’impact opérationnel;
  • appliquer des mesures provisoires de réduction des risques uniquement lorsque nécessaire.

Identifier et retracer les produits obsolètes

Pour effectuer une gestion efficace des produits obsolètes, il faut d’abord en assurer la visibilité. Avoir un inventaire exhaustif et à jour peut vous aider à prendre des décisions éclairées et à éviter l’utilisation accidentelle de produits obsolètes. Pour conserver un portrait à jour du statut des produits en ce qui a trait au soutien, les organisations devraient :

  • tenir un inventaire centralisé de l’ensemble du matériel, des logiciels et des composants connectés au réseau;
  • enregistrer le nom des produits, leur version, leur emplacement, leur responsable opérationnel et l’état de la prise en charge assurée par le fournisseur;
  • identifier la date de fin de vie du produit et la date de fin de prise en charge du soutien indiquées par le fournisseur et qui arrivent sous peu à échéance ou qui sont dépassées;
  • identifier de manière proactive les produits et services de remplacement compatibles.

Remplacement et planification de la transition

Le remplacement constitue l’intervention privilégiée par excellence pour les produits obsolètes. Lorsqu’il est planifié, le remplacement réduit les perturbations, évite les modifications d’urgence et limite l’exposition prolongée à des produits obsolètes. Pour favoriser une transition harmonieuse en temps voulu, votre organisation devrait :

  • commencer la planification du remplacement quand les fournisseurs annoncent les dates de fin de vie des produits et avant qu’ils deviennent obsolètes;
  • mettre en priorité les produits qui sont connectés à Internet, cruciaux pour la sécurité ou utilisés dans le traitement d’information sensible;
  • évaluer tôt dans le processus les questions liées à la migration des données et à l’intégration, ainsi que les répercussions opérationnelles;
  • mettre à l’essai les solutions de remplacement pour vous assurer qu’elles satisfont aux exigences de sécurité et aux exigences opérationnelles qui ont cours.

Réduction provisoire des risques pendant la transition

Lorsqu’il n’est pas possible de remplacer immédiatement des produits obsolètes, on peut prendre des mesures à court terme pour réduire l’exposition pendant la transition. Ces mesures n’éliminent pas les risques sous-jacents et ne doivent être utilisées que pendant un laps de temps limité. Consignez et révisez régulièrement les mesures de contrôle temporaires mises en place, et ne les considérez jamais comme des solutions permanentes. Pour assurer des résultats positifs, les organisations devraient :

  • isoler les produits obsolètes sur des segments de réseau restreints, et limiter leur connectivité externe;
  • réduire la surface d’attaque en désactivant les logiciels et les fonctions inutiles;
  • restreindre l’accès et renforcer les contrôles d’authentification et d’autorisation;
  • accroître la surveillance, les contrôles d’authentification et les alertes en vue de déceler les activités suspectes;
  • documenter les mesures de contrôle provisoires et définir un échéancier précis pour le remplacement intégral.

Considérations particulières pour les systèmes de contrôle industriels (SCI) et les technologies opérationnelles (TO)

Les SCI et les TO sont conçus pour offrir une grande disponibilité et des opérations sans interruption, et appuient souvent des services essentiels. Leurs cycles de vie sont beaucoup plus longs que ceux des systèmes de TI traditionnels, et leur remplacement peut nécessiter un temps et des efforts considérables pour qu’ils respectent les exigences en matière de fiabilité et de réglementation liées à la sécurité. Au fur et à mesure que les composants vieillissent, les solutions de réparation ou de remplacement se raréfient, et le soutien du fournisseur initial peut ne plus être offert. Cela peut accroître les risques opérationnels.

Lorsqu’il s’agit de gérer des produits obsolètes dans des environnements de SCI et de TO, les organisations devraient prévoir :

  • des stratégies de sauvegarde et d’équipement de rechange tenant compte de la disponibilité restreinte de produits qui ne sont plus remplacés ou pris en charge par un fournisseur;
  • des programmes pour s’assurer que l’organisation dispose à l’interne de suffisamment de ressources formées pour remettre des systèmes en état de fonctionnement à l’aide d’une configuration validée;
  • des pratiques de sécurité appropriées pour les systèmes qui nécessitent une connectivité Internet, infonuagique ou sans fil;
  • la déconnexion des réseaux non fiables pour lesquels une connectivité externe n’est pas nécessaire;
  • un choix de fournisseurs officiels et de processus d’examen tenant compte ce qui suit : transparence en matière de cycle de vie, estimation de l’intervalle moyen entre les défaillances, et préavis des dates de fin du soutien;
  • des contrôles de sécurité à mettre en place avant la date de fin du soutien pour réduire les risques durant les périodes de transition.

Atténuer l’obsolescence future

Réduire les risques à long terme nécessite de prendre en compte l’obsolescence dans les pratiques de gestion des biens et d’approvisionnement. Tenir compte des risques liés au cycle de vie au moment de la sélection contribue à empêcher d’avoir à se fier à des produits obsolètes et favorise la prise de décisions axées sur la durabilité des technologies au fil du temps. Pour favoriser la durabilité à long terme et réduire les risques liés à l’obsolescence, votre organisation devrait :

  • gérer les produits au moyen de processus structurés de gestion des biens qui tiennent compte du cycle de vie complet;
  • lors du choix de produits, tenir compte de la durée du soutien, de la disponibilité des mises à jour et de la maintenance liée à la sécurité;
  • éviter les technologies pour lesquelles le soutien offert est de durée brève, imprécise ou restreinte;
  • favoriser les produits qui offrent une bonne portabilité des données en vue de faciliter les transitions futures;
  • veiller à ce que les produits puissent fonctionner de manière indépendante lorsqu’une connectivité externe n’est pas exigée.

Mettre hors service et éliminer de manière sécuritaire des produits obsolètes

Les produits et systèmes obsolètes doivent être mis hors service de manière sécuritaire afin d’éviter la compromission de données sensibles. La mise hors service devrait avoir lieu rapidement une fois le remplacement effectué. Votre organisation devrait :

  • sauvegarder les données nécessaires avant la mise hors service et les transférer sur les systèmes pris en charge;
  • nettoyer ou détruire les supports de stockage afin d’en supprimer l’information sensible;
  • révoquer les justificatifs d’identité liés au système et retirer le bien des listes de contrôle d’accès et des systèmes de surveillance;
  • éliminer le matériel de façon sécurisée, y compris par destruction physique si cela est approprié;
  • mettre à jour les inventaires et la documentation pour tenir compte de la mise hors service;
  • vérifier la mise hors service au moyen de processus d’examen ou d’approbation;
  • exercer une surveillance suivant la mise hors service en vue de déceler des dépendances ou des répercussions opérationnelles imprévues;

Continuer d’utiliser des produits obsolètes comportera toujours des risques. La seule manière de protéger entièrement votre organisation consiste à mettre hors service toute technologie qui n’est plus prise en charge et à adopter des solutions de remplacement modernes et sécuritaires.

Pour en savoir plus

Date de modification :