La dure réalité des systèmes existants

On pourrait penser qu’avec tous les progrès technologiques que nous avons accomplis, les entreprises se sont totalement détournées des systèmes obsolètes. Pourtant, nous en sommes encore là : les banques utilisent toujours COBOL, les hôpitaux s’appuient sur des dossiers médicaux électroniques encombrants et les agences gouvernementales fonctionnent sur des technologies antérieures à l’internet.

Ces systèmes sont anciens et profondément ancrés dans les fonctions essentielles des industries qui ne peuvent pas se permettre de temps d’arrêt. Dans de nombreux cas, les anciennes technologies ont été conçues pour être plus fiables que flexibles et, alors que de nouveaux outils sont ajoutés, les anciens systèmes restent au cœur des opérations.

Nick Godfrey, directeur principal chez Google Cloud, le dit simplement : la technologie ne disparaît pas avec l’arrivée d’une nouveauté. Au contraire, les entreprises se retrouvent avec un patchwork d’anciennes et de nouvelles technologies, ce qui rend leurs piles informatiques de plus en plus complexes.

Joel Burleson-Davis, SVP chez Imprivata, ajoute que des secteurs comme la banque et la santé dépendent encore de ces systèmes car ils constituent le cœur des opérations quotidiennes. Les chiffres le prouvent : un rapport de 2019 du Government Accountability Office a révélé que les systèmes informatiques fédéraux critiques avaient entre 8 et 51 ans et que leur maintien en service coûtait 337 millions de dollars par an. Dans le même temps, 74 % des entreprises de fabrication et d’ingénierie s’appuient encore sur des systèmes existants.

« Ainsi, alors que l’innovation est en marche, les systèmes existants ne vont pas disparaître du jour au lendemain. Ils sont trop profondément intégrés, trop critiques et trop coûteux pour être remplacés d’un seul coup. »

Le coût du changement par rapport au coût de l’immobilisme

Si l’argent n’était pas un problème, les entreprises se seraient mises à niveau depuis longtemps. Mais le remplacement d’une technologie ancienne n’est pas seulement une question de prix. Il s’agit des temps d’arrêt, des interruptions et de la nécessité de s’assurer que le nouveau système fonctionne réellement. Les entreprises évoluent dans un monde en temps réel, et une heure d’interruption peut se traduire par des millions de dollars perdus. Austin Allen, directeur chez Airlock Digital, compare cela à changer un pneu en conduisant : c’est techniquement possible, mais incroyablement risqué.

La charge financière n’est pas une plaisanterie. En 2023, les entreprises dépenseront en moyenne 2,7 millions de dollars pour mettre à niveau leurs systèmes existants, selon SnapLogic. Et il ne s’agit là que du coût du changement, sans compter la perte de productivité, la formation du personnel ou la résolution des inévitables problèmes liés à la mise en œuvre de nouveaux logiciels.

S’en tenir aux systèmes existants n’est pas bon marché non plus. Les anciens systèmes nécessitent une maintenance spécialisée, les fournisseurs peuvent ne plus les prendre en charge et, en cas de panne, la réparation est à la fois coûteuse et longue. Et puis, il y a le plus grand risque de tous : la sécurité.

Les systèmes existants et le plus grand pari de la cybersécurité

Imaginez que vous protégiez votre entreprise avec un système de sécurité conçu dans les années 1980. C’est essentiellement ce que font les entreprises lorsqu’elles continuent à s’appuyer sur des technologies dépassées. Les systèmes existants ont été conçus à une époque où les cybermenaces étaient beaucoup moins avancées. Ils n’ont pas été conçus pour faire face aux attaques sophistiquées d’aujourd’hui, ce qui en fait le maillon faible du dispositif de sécurité d’une entreprise.

Les cybercriminels le savent. Ils recherchent activement les vulnérabilités des systèmes obsolètes, car elles sont plus faciles à exploiter. Une fois à l’intérieur, ils se déplacent latéralement, accédant ainsi à des données plus critiques. Et lorsqu’une brèche se produit, c’est un désastre financier et de réputation. Selon le rapport 2024 Cost of a Data Breach Report d’IBM, une violation de données coûte en moyenne 4,88 millions de dollars.

Le problème est que de nombreuses organisations n’ont même pas une idée claire de la manière dont leurs systèmes existants sont intégrés dans leur infrastructure informatique plus large. Jen Curry Hendrickson, SVP chez DataBank, souligne que de nombreuses entreprises ne disposent pas d’une documentation appropriée sur la manière dont leurs systèmes interagissent. Sans cette visibilité, la correction des vulnérabilités devient un jeu de devinettes.

Il n’existe pas de bouton magique pour résoudre ce problème, mais les entreprises peuvent prendre des mesures intelligentes. L’accès de confiance zéro – où aucun système ou utilisateur n’est automatiquement approuvé – est un moyen de limiter l’exposition. L’isolation des systèmes existants du reste du réseau et la désactivation des fonctions inutiles sont également utiles. Parfois, la solution est étonnamment simple – Burleson-Davis note que de nombreuses entreprises utilisent plusieurs versions du même logiciel de virtualisation sans s’en rendre compte. Le simple fait de consolider ces versions peut réduire considérablement les risques de sécurité.

« Si un système existant ne peut pas être remplacé immédiatement, il doit être verrouillé. Sinon, ce n’est qu’une question de temps avant qu’il ne devienne une porte ouverte pour les attaquants. »

Connaître votre pile technologique ou en payer le prix

Vous ne pouvez pas réparer ce que vous ne comprenez pas. C’est le problème central lorsqu’il s’agit de gérer les risques liés aux systèmes existants. Toutes les entreprises veulent croire que leur infrastructure informatique est bien structurée et bien documentée. En réalité ? Il s’agit généralement d’un fouillis de systèmes qui se chevauchent, d’intégrations non documentées et de processus obsolètes que personne ne se souvient avoir mis en place au départ.

La première étape de la sécurisation des systèmes existants consiste à comprendre exactement ce qui fonctionne, comment les données circulent entre les systèmes et où se trouvent les points faibles. Cela semble simple, mais comme le souligne Jen Curry Hendrickson, SVP chez DataBank, la plupart des entreprises ne disposent pas d’une documentation complète de leur pile technologique. Il s’agit là d’un énorme angle mort en matière de gestion des risques.

Une fois que vous avez dressé la carte du système, vous devez vous poser les questions difficiles. Ce système peut-il être corrigé ? Est-il encore pris en charge par le fournisseur ? Si un pirate accède au système, avec quelle facilité peut-il se déplacer dans le réseau ? Nick Godfrey, de Google Cloud, fait remarquer que les technologies existantes n’ont pas été conçues pour le paysage actuel des menaces, ce qui signifie que les entreprises sont confrontées à une surface d’attaque plus vaste et plus complexe que jamais.

Quelle est la solution ? Commencez par une hygiène de sécurité de base. Austin Allen, d’Airlock Digital, suggère de renforcer les systèmes existants en désactivant les fonctions inutilisées du système d’exploitation : si une fonction n’est pas nécessaire aux activités de l’entreprise, elle ne doit pas fonctionner.

Joel Burleson-Davis souligne également que les entreprises découvrent souvent des gains faciles, comme la consolidation des versions redondantes des logiciels, ce qui réduit instantanément les risques. La clé, c’est la visibilité. Sans une compréhension complète de votre pile technologique, vous avancez à l’aveuglette, ce qui est dangereux.

Remplacer les systèmes existants sans tout casser

Supposons qu’une entreprise décide d’arracher le sparadrap et de remplacer un système existants. En théorie, c’est la meilleure solution pour assurer la sécurité et l’efficacité à long terme. Mais dans la pratique, c’est rarement aussi simple.

Tout d’abord, il y a le coût. Nous avons déjà établi que le remplacement des anciennes technologies n’est pas bon marché, mais au-delà de cela, les entreprises doivent prendre en compte les défis liés à la main-d’œuvre. Les anciens systèmes requièrent des connaissances spécialisées, souvent de la part d’employés qui travaillent dans l’entreprise depuis des dizaines d’années ou de consultants externes qui coûtent une fortune. Parallèlement, les nouvelles technologies requièrent un ensemble de compétences totalement différent. Il est rare de trouver des personnes qui comprennent les deux, et la formation des employés existants prend du temps.

Vient ensuite le défi logistique que représente le passage à l’euro. Un comité consultatif sur le changement (CCC) – une équipe d’experts chargée de superviser la transition – peut aider à répondre à des questions cruciales :

  • Combien de temps durera la transition ?

  • Quel est le plan de secours en cas de problème ?

  • Quel sera l’impact sur le flux de données entre les différents systèmes ?

Les choses vont mal tourner. Austin Allen insiste sur l’importance d’une stratégie de retour en arrière : si le nouveau système échoue, il doit y avoir un moyen de revenir à l’ancien sans chaos. C’est là que de nombreuses entreprises commettent des erreurs en pensant que la transition se fera en douceur.

Au-delà des équipes informatiques, le plus grand obstacle est souvent l’adoption par les utilisateurs finaux. Quel que soit le degré d’avancement du nouveau système, si les employés refusent de l’utiliser, l’ensemble du projet est mort à l’arrivée. Joel Burleson-Davis souligne que dans le secteur de la santé, par exemple, l’introduction d’un nouveau logiciel sans consulter les médecins et les infirmières est un échec garanti. Les gens résistent au changement, surtout lorsqu’il perturbe leur flux de travail.

Et puis, il y a le risque de dépendance à l’égard d’un fournisseur. Jen Curry Hendrickson prévient que les entreprises s’enthousiasment souvent pour une nouvelle technologie, avant de se rendre compte trop tard qu’elles sont devenues dépendantes de l’écosystème d’un seul fournisseur. Une fois que vous êtes enfermé, il peut être encore plus difficile de changer de fournisseur par la suite.

« Quelle est donc la meilleure stratégie ? Avancez prudemment, prévoyez l’échec et assurez-vous que la transition est motivée par les besoins de l’entreprise, et pas seulement par des mises à niveau informatiques. »

Une vue d’ensemble

En fin de compte, le remplacement des systèmes existants est plus qu’un problème informatique, c’est une transformation organisationnelle. Et comme tout changement majeur, il nécessite un leadership à tous les niveaux, de la salle du conseil d’administration au département informatique.

Nick Godfrey, de Google Cloud, résume bien la situation : la modernisation est un travail de longue haleine, et il y aura des compromis en cours de route. Les entreprises ont besoin d’une « étoile polaire », c’est-à-dire d’une vision claire de la réussite et d’une stratégie pour y parvenir.

Cela signifie qu’il faut obtenir l’adhésion du RSSI, du DSI, du directeur technique et des dirigeants d’entreprise pour aligner les priorités. Si les équipes de sécurité poussent à la modernisation mais que les dirigeants ne voient pas le retour sur investissement immédiat, le projet est bloqué. De même, si les dirigeants poussent à des mises à niveau rapides sans tenir compte des risques opérationnels et de sécurité, les choses se gâtent.

Plus important encore, la modernisation consiste à changer la façon dont l’organisation envisage l’agilité, la sécurité et la résilience. Les entreprises qui y parviennent bien ne remplacent pas les anciens systèmes par de nouveaux. Au contraire, elles instaurent une culture de l’amélioration continue, en veillant à ce que l’innovation d’aujourd’hui ne devienne pas le problème de demain.

Principaux enseignements pour les dirigeants

  • Dépendance à l’égard des systèmes existants : De nombreuses entreprises s’appuient sur des systèmes obsolètes profondément intégrés dans leurs opérations de base, ce qui rend tout remplacement rapide impossible. Les dirigeants doivent évaluer l’impact de ces systèmes sur les opérations et planifier des mises à niveau stratégiques.

  • Coûts de transition élevés : La mise à niveau des systèmes existants implique des coûts directs importants et des temps d’arrêt potentiels qui peuvent se traduire par des millions de pertes de revenus. Les décideurs doivent mettre en balance ces coûts avec les gains de sécurité et d’efficacité à long terme.

  • Vulnérabilités en matière de cybersécurité : Les systèmes existants ne disposent pas de fonctions de sécurité modernes, ce qui expose les entreprises à des cyberattaques coûteuses et à des violations de données. Donnez la priorité à la mise en œuvre de contrôles solides et à la gestion des correctifs pour atténuer les risques.

  • Modernisation stratégique impérative : La transition des systèmes existants nécessite une approche globale qui comprend l’inventaire des technologies existantes, la planification des temps d’arrêt et l’obtention de l’adhésion des parties prenantes. Les dirigeants doivent former des équipes interfonctionnelles pour guider cette transformation tout en gérant les perturbations opérationnelles.

Alexander Procter

février 18, 2025

11 Min