L’impératif stratégique : L’arrêt des systèmes legacy pour une meilleure cybersécurité

02-07-2024 | 8 | Cybersécurité, Décommissionnement des systèmes legacy, Enterprise Legacy System Application (ELSA)

Les auteurs : Laura Parri Royo, directrice marketing chez TJC Group, et Audren Butery, consultante SAP chez TJC Group.

La sécurité est en tête de liste des facteurs de risque. Les organisations dont les systèmes anciens ne sont pas contrôlés peuvent être particulièrement vulnérables aux attaques des pirates et des cybercriminels, mais ce n’est pas tout. Cet article présente un exemple concret d’une entreprise américaine dont les systèmes legacy ont été l’épicentre du ransomware. À l’heure où de nombreux utilisateurs de SAP ECC évaluent la meilleure voie de migration vers SAP S/4 HANA, les entreprises peuvent être tentées de « ne rien faire » avec leur ancien système ERP. Mais outre les risques de sécurité, il existe de nombreuses autres bonnes raisons d’investir dans le démantèlement des systèmes legacy avec des experts.

Le suivi des correctifs et des mises à jour des systèmes est un véritable défi pour les professionnels de l’informatique, comme l’indique le rapport SAPinsider Cybersecurity Report 2023. Malheureusement, c’est le pain et le beurre des équipes de sécurité informatique qui travaillent sur les systèmes SAP ; la liste des vulnérabilités SAP à surveiller de près est longue. Le RSSI du groupe TJC en a parlé dans cet article : Les vulnérabilités de SAP et les raisons pour lesquelles il n’est pas sûr de conserver des données anciennes dans un vieux système SAP.

Figure 1 Vulnérabilités SAP, CVE. Source : Détails CVE.

Pour les organisations qui migrent vers SAP S/4HANA, SAP mettra fin à la maintenance d’ici 2027 – 2025 pour celles qui utilisent EPH5. Attention, les systèmes non corrigés sont l’un des plus grands défis auxquels les organisations sont confrontées pour sécuriser leurs systèmes SAP, selon le rapport de cybersécurité de SAPinsider de 2023. C’est pourquoi la fin de la maintenance des systèmes SAP legacy et/ou l’absence de correctifs est devenue un problème de sécurité.

SAP et ses clients ECC se trouvent donc dans une position délicate. SAP pourrait à nouveau retarder les dates de fin de maintenance, mais si c’est le cas, ils attendront le plus longtemps possible. C’est pourquoi nous vous conseillons d’élaborer un plan pour gérer les systèmes hérités et les données historiques de la manière la plus rentable et la plus conforme. Contactez-nous si vous avez des questions.

Tout d’abord, examinons les implications en termes de sécurité de l’utilisation indéfinie des systèmes legacy. Nous avons déjà évoqué les risques de vulnérabilité. Les systèmes legacy sont beaucoup plus exposés aux atteintes à la sécurité des données car ils ne reçoivent plus de mises à jour ni de correctifs de la part des fournisseurs. Même si un fournisseur propose encore des mises à jour, l’organisation utilisatrice a peut-être cessé de les mettre en œuvre – une autre erreur courante -, peut-être parce qu’elle ne dispose plus des compétences adéquates en interne ou simplement parce que les nouveaux systèmes retiennent toute l’attention. Cette pratique expose fortement les données critiques aux cybermenaces et constitue l’un des moyens les plus courants utilisés par les pirates pour franchir le pare-feu d’une entreprise.

Les violations de données sont actuellement l’une des cibles qui se développent le plus rapidement pour les pirates informatiques. Selon le professeur Stuart Madnick, expert au MIT, « les violations de données continuent d’augmenter d’année en année et on a mesuré une augmentation de 20 % des violations de données entre 2022 et 2023 ». Dans le cadre de cette étude menée par la Harvard Business Review, il a été identifié que l’un des moyens les plus populaires pour les pirates d’accéder aux données est de combler les lacunes de sécurité dans les systèmes des fournisseurs, et en particulier dans les systèmes legacy.

Outre les implications en matière de sécurité, il existe également des considérations de conformité lorsque les systèmes legacy ne sont pas contrôlés. Ces aspects sont tout aussi critiques. Le maintien en service de systèmes obsolètes au lieu de leur mise hors service peut conduire à la non-conformité avec les normes réglementaires modernes telles que le GDPR, exposant une organisation à une amende de plusieurs millions d’euros et à des poursuites judiciaires de la part des autorités de réglementation. Nous avons écrit sur les graves risques financiers des amendes GDPR dans le passé.

Considérons les coûts, car un article explorant les conséquences du non-démantèlement des systèmes historiques serait incomplet s’il ne prenait pas en compte les implications en termes de rentabilité. Nous sommes au cœur d’une pénurie de compétences informatiques et les experts prévoient qu’elle va continuer à s’intensifier .
According to IDC
La pénurie croissante de compétences en technologies de l’information a un impact sur les entreprises de tous les secteurs et de toutes les régions. Près de deux tiers des cadres interrogés dans le cadre d’un récent rapport de recherche ont déclaré que le manque de compétences avait entraîné des objectifs de croissance du chiffre d’affaires non atteints, des problèmes de qualité et une baisse générale de la satisfaction de la clientèle. IDC prévoit que d’ici 2026, plus de 90 % des organisations du monde entier ressentiront les effets de la crise des compétences informatiques, ce qui se traduira par des pertes de l’ordre de 5 500 milliards de dollars.

Il est difficile d’employer et de conserver de bons professionnels de l’informatique dans le meilleur des cas, et lorsque leurs compétences sont plus spécialisées, la situation devient encore plus problématique. De nombreux systèmes legacy dépendent d’un petit groupe d’experts informatiques au sein d’une organisation pour leur maintenance, ce qui pose un risque si ces ressources deviennent indisponibles. Plutôt que d’immobiliser des budgets informatiques essentiels avec des compétences patrimoniales, la mise hors service de systèmes legacy ou applications permet de réaffecter les ressources informatiques à des projets plus stratégiques qui contribueront de manière positive à la croissance et à l’innovation de l’entreprise.

L’autre facteur très important à prendre en compte est le coût environnemental (et le gaspillage) de l’alimentation inutile des systèmes legacy. Il est bien connu que les centres de données sont devenus les plus gros consommateurs d’électricité dans le monde d’aujourd’hui et que le volume de données stockées ne cesse d’augmenter, tout comme les niveaux de consommation d’énergie. Le fait de maintenir en activité des systèmes legacy alors qu’ils pourraient être mis hors service gaspille beaucoup d’énergie et, à l’heure où les entreprises sont partout sous pression pour réduire leur empreinte carbone, il pourrait s’agir d’une victoire facile. Nous avons écrit sur l’impact positif sur le carbone de la gestion du volume de données. l’impact positif sur le carbone de la gestion du volume de données dans le passé.

Après avoir illustré l’importance de la mise hors service des systèmes legacy, quelles mesures les professionnels de l’informatique peuvent-ils prendre pour rendre le processus de mise hors service aussi simple que possible ? L’une des principales objections formulées par les entreprises qui envisagent de mettre hors service leurs systèmes legacy est la suivante : « Que se passera-t-il si nous avons à nouveau besoin de ces données ? Cette préoccupation est compréhensible, surtout si l’on considère que les organisations de certains secteurs doivent conserver des documents historiques à des fins fiscales, d’audit ou de conformité. Heureusement, il existe des solutions dédiées à cet effet, notamment ELSA de TJC Group.

L’article suivant apporte un éclairage sur la manière de retirer un ancien système, de l’extinction à la mise hors service : https://www.tjc-group.com/blogs/legacy-systems-a-journey-from-sunsetting-to-decommissioning/

ELSA (Enterprise Legacy System Application) est une solution unique, certifiée par SAP, qui simplifie au maximum l’accès à tous les systèmes SAP et non SAP qui ne sont plus nécessaires pour les transactions commerciales quotidiennes. Développée exclusivement par TJC pour surmonter les défis de décommissionnement lors de la migration vers S/4 HANA ou tout autre ERP, elle peut être fournie sur site via SAP Business Technology Platform ou en tant que SaaS.

ELSA permet aux utilisateurs finaux d’accéder facilement aux données, documents et transactions historiques après l’arrêt d’un ancien système ERP. Permettre aux utilisateurs finaux d’obtenir un accès direct est important car cela garantit que les services informatiques ne sont pas chargés de faciliter l’accès aux données existantes, ce qui représente une perte de temps pour les ressources informatiques.

La solution est suffisamment puissante pour mettre hors service 100 % des systèmes legacy au sein d’une organisation – qu’il s’agisse d’une seule base de données ERP ou de centaines d’applications – et peut maintenir des journaux de traçabilité complets pour garantir la conformité future avec les lois fiscales locales et les réglementations en matière de confidentialité des données, y compris les lois sur la confidentialité des données. ELSA peut également être intégré à des solutions d’archivage de données automatisées, afin de garantir la mise en œuvre d’une gestion complète du cycle de vie des informations, ce qui permet à votre organisation de maîtriser durablement la croissance du volume de données.

Investir dans le démantèlement des systèmes legacy est une activité stratégique importante pour toutes les grandes organisations. Il permet d’atténuer les risques en matière de sécurité et de conformité et de réduire les coûts et l’empreinte carbone. Heureusement, des technologies de pointe sont aujourd’hui disponibles pour résoudre ce problème. Considérez les avantages pour votre organisation et discutez avec les experts des prochaines étapes.

Sources d’information