Le coût caché de la négligence : ignorer les correctifs logiciels peut ruiner votre entreprise

Les dangers prennent donc de multiples visages et vont bien au-delà de la simple paralysie d’un réseau par un virus. Si les entreprises qui ne se protègent pas suffisamment risquent de compromettre gravement l’intégrité de leurs données, elles exposent également la continuité de leur exploitation et leur image. L’atteinte à la réputation que les entreprises subissent alors peut affecter à long terme leurs relations avec leurs clients et partenaires commerciaux. Certaines attaques particulièrement critiques ciblent les données sensibles des entreprises, et font davantage que de « simplement » les chiffrer.

L’attaquant contourne les dispositifs de protection de l’entreprise

Les stratégies d’évasion mettent en œuvre des techniques par lesquelles les attaquants déjouent les mécanismes et contrôles de sécurité pour s’introduire dans les réseaux et systèmes sans être détectés. Ces tactiques regroupent différentes méthodes, telles que la dissimulation de logiciels malveillants, l’exploitation de vulnérabilités zero-day ou le chiffrement du trafic de données, qui permettent à l’attaquant de ne pas être repéré par les systèmes de détection (IDS) et de prévention (IPS) des intrusions. En tardant à mettre à jour les applications et systèmes d’exploitation, les développeurs laissent ainsi une porte d’accès largement ouverte aux attaquants. 

Négliger d’apporter des correctifs aux logiciels peut alors entraîner des coûts importants, qui dépassent souvent de loin le budget de la maintenance et de l’actualisation régulières des systèmes. Dans un monde de plus en plus connecté, les failles de sécurité qui ne sont pas corrigées augmentent le risque de cyberattaque, de vol de données et d’interruption de l’exploitation. Les entreprises qui omettent d’actualiser régulièrement leurs logiciels seront plus susceptibles d’être victimes de pertes financières, mais aussi d’une grave détérioration de leur réputation.

Sans correctif, un logiciel peut coûter cher

Commençons par le plus critique : une attaque exploitant une vulnérabilité non corrigée occasionne des coûts directs. Les cybercriminels utilisent des failles connues pour s’introduire dans les systèmes et dérober des données sensibles, pour installer des logiciels de rançonnage ou pour d’autres activités malveillantes. Ces attaques peuvent mettre en péril l’intégrité et la disponibilité des données et des services, et provoquer des périodes d’indisponibilité des systèmes. Ces arrêts ont une incidence sur le chiffre d’affaires, et la réparation des dommages se révèle souvent plus coûteuse que les investissements qui auraient permis d’appliquer des correctifs. De plus, si les entreprises victimes n’ont pas respecté la réglementation sur la protection des données, elles risquent de lourdes pénalités ou des frais judiciaires.

Un logiciel obsolète, sans correctif, est un frein pour l’entreprise

Si l’attaque a des conséquences financières directes, elle entraîne également des coûts cachés. En effet, en l’absence de correctifs, les performances du système se dégradent progressivement. Un logiciel obsolète ou défaillant non seulement freine l’efficacité de l’entreprise, mais augmente aussi le budget de la maintenance. Les administrateurs doivent consacrer davantage de temps et de ressources à la correction des problèmes, ce que l’installation de mises à jour aurait permis d’éviter. Sans compter le fait que les systèmes anciens sont plus susceptibles de connaître des plantages ou des problèmes d’incompatibilité avec les technologies récentes, et qu’ils exigent donc des interventions manuelles plus fréquentes pour le suivi et la maintenance.

La perte d’image est une autre conséquence de l’absence de correctifs. Les clients et partenaires commerciaux perdent rapidement confiance dans une entreprise dont les systèmes ne sont pas suffisamment protégés. Dévoilé au grand public, un incident de sécurité peut durablement porter atteinte à la réputation de l’entreprise qui en est victime. Dans bien des cas, les clients se tourneront vers un concurrent plus rigoureux en matière de sécurité informatique, et l’entreprise devra faire face à un recul de ses ventes et de ses parts de marché. 

L’incident CrowdStrike en 2024 a révélé au grand jour la faiblesse des systèmes obsolètes

À la mi-juillet 2024, une mise à jour défectueuse des logiciels de sécurité CrowdStrike a rendu indisponibles quelque 9 millions de PC utilisant Windows dans le monde, affectant notamment des systèmes de la compagnie Delta Airlines. D’après Microsoft, les systèmes d’exploitation et les architectures réseau utilisés par Delta Airlines étaient anciens et ne permettaient plus l’intégration optimale et fluide des solutions de sécurité basées sur le Cloud. Une telle configuration complique l’implémentation de mesures de sécurité performantes, mais fragilise également l’entreprise face aux cyberattaques et aux incidents techniques.

En considérant l’état actuel du paysage des menaces, ne pas dépendre de systèmes obsolètes doit être une préoccupation majeure des organisations. Microsoft avance que Delta Airlines aurait été en mesure de maîtriser plus rapidement la situation, voire de l’éviter purement et simplement, si l’entreprise avait modernisé ses infrastructures informatiques. Bien souvent, les vieux systèmes sont plus compliqués à corriger et les solutions appliquées doivent tenir compte de problèmes de compatibilité qui peuvent dégrader l’efficacité des mesures de sécurité déployées.

En choisissant de ne pas investir dans la modernisation de ses systèmes malgré le risque toujours plus prégnant de cyberattaque, Delta Airlines a créé les conditions de l’incident. L’épisode met en lumière un autre aspect critique : les systèmes de la compagnie aérienne manquaient de redondance. De nombreuses entreprises font désormais confiance aux solutions Cloud hybride pour assurer leur sécurité, Delta Airlines continue de dépendre fortement d’infrastructures locales. Obsolètes, ses architectures empêchent l’entreprise de réagir rapidement en cas de problème ou de restaurer ses systèmes automatiquement.

L’incident dont a été victime Delta Airlines montre que négliger ses infrastructures informatiques expose non seulement à des interruptions, mais limite aussi la capacité de réagir efficacement, même avec des prestataires leaders en sécurité. La critique portée par Microsoft souligne combien il est important de mettre à jour régulièrement ses systèmes informatiques pour accompagner l’évolution constante des menaces et circonscrire dans un cadre sûr, la dépendance envers des prestataires tiers.

L’impact de la réglementation est un autre facteur à prendre en compte. De nombreux secteurs sont soumis à un cadre réglementaire strict, visant à assurer la sécurité informatique et la protection des données. Tout manquement à ces contraintes, notamment pour n’avoir pas mis à niveau leurs systèmes, expose les entreprises à des pénalités financières considérables. Les autorités de contrôle sont de plus en plus enclines à sanctionner les entreprises qui ne respectent pas leurs obligations en matière de cybersécurité.

Stratégies de réaction aux incidents et compétences informatiques en interne

L’épisode Delta Airlines a également révélé de manière frappante l’insuffisance du plan de réponse aux incidents dans l’entreprise. Si les solutions de sécurité externes comme celles de CrowdStrike ont un rôle décisif à jouer, l’incident a montré que Delta Airlines n’était pas suffisamment préparée en interne à faire face aux situations de crise informatique. Les stratégies actuelles de réponse aux incidents exigent un degré élevé de collaboration avec les partenaires extérieurs, mais aussi des équipes bien formées en interne, capables d’analyser rapidement un incident et de décider des ripostes qu’il convient de déployer, notamment au moyen de mises à jour. On a appris que pendant l’incident, Delta Airlines n’avait eu que peu de possibilités pour s’attaquer immédiatement au problème, étant donné que les compétences de ses équipes, autant que les procédures appliquées, reposaient sur des technologies datées.

Les développements récents dans le secteur de la sécurité des systèmes d’information établissent sans ambiguïté l’importance de combiner des solutions de pointe pour la détection des menaces depuis l’extérieur à des compétences en interne pour assurer une réaction rapide. Les entreprises qui s’appuient exclusivement sur des prestataires tiers, en omettant de renforcer simultanément leurs propres services informatique et sécurité, risquent de tarder à réagir en cas d’attaque ou de défaillance technique. De telles lacunes peuvent prolonger les périodes d’indisponibilité, mais également accentuer l’impact de l’incident sur l’activité commerciale de l’entreprise, comme l’a montré le cas Delta Airlines. On voit donc, et c’est l’un des principaux enseignements à tirer de cet épisode, qu’il convient d’améliorer en permanence les compétences internes de l’organisation dans les domaines de l’analyse des menaces, du dépannage et de la gestion des situations de crise.

En négligeant la mise à jour des logiciels, l’organisation accumule une dette technique à long terme

La dette technique est un aspect essentiel, quoique souvent sous-estimé, du retard dans l’actualisation des logiciels, qui grève à long terme les systèmes informatiques. L’entreprise contracte une dette technique dès lors qu’elle reporte des mises à jour importantes et des interventions de maintenance nécessaires. En conséquence, ses infrastructures informatiques deviennent de plus en plus obsolètes et difficiles à gérer. La sécurité est immédiatement compromise, et les coûts d’exploitation augmentent. Si l’absence de correctifs se prolonge, l’environnement système devient toujours plus complexe et fragile et l’application de correctifs sera de plus en plus problématique, avec un risque important de problèmes de compatibilité ou de pannes.

À long terme, l’entreprise sera contrainte d’investir lourdement pour combler son retard et annuler cette dette. Il lui faudra ainsi absorber le coût croissant des prestations des experts assurant la maintenance des systèmes obsolètes, et remplacer ces systèmes par de nouvelles technologies. Ce retard nuit à l’agilité de l’entreprise, car les logiciels obsolètes compliquent l’introduction de nouvelles solutions et réduisent sa capacité à suivre les évolutions du marché. Bien souvent, les projets d’infrastructure de grande ampleur nécessaires pour combler les lacunes techniques accumulées se révèlent plus coûteux que les économies réalisées à court terme en reportant l’application de correctifs.

Rapport 2024 de Crowdstrike : https://www.crowdstrike.fr/ressources/infographies/global-threat-report-2024/