Comment mesurer l’obsolescence de sa protection cybersécurité ?

La sécurité d’un système d’information n’est jamais figée et ceci dans tous les environnements (IT et OT, Cloud ou On-Premise). Elle évolue, s’érode, parfois sans bruit. Jusqu’au jour où elle cède. Pour les DSI, le danger n’est pas toujours dans l’attaque, mais dans la croyance que les dispositifs en place protègent encore efficacement. Le véritable risque ? S’appuyer sur une sécurité devenue obsolète, parce que vieillissante, non maintenue, ou tout simplement dépassée.

Dans un contexte où les attaques se professionnalisent, où les surfaces d’attaques s’élargissent et où la réglementation se durcit, il devient essentiel de savoir, à tout moment, dans quel état se trouve sa protection. Et de répondre à cette question simple, mais structurante : jusqu’où ma cybersécurité est-elle encore capable de jouer son rôle ?

L’obsolescence, un processus insidieux

Parler d’obsolescence en cybersécurité ne revient pas à dire qu’un système est inutilisable. Cela signifie qu’il a perdu sa capacité à répondre aux menaces actuelles. L’ennui, c’est que cette perte de capacité est rarement visible. Elle est progressive, diffuse, souvent masquée par le bon fonctionnement apparent des outils ou par l’absence d’incidents majeurs.

Un pare-feu fonctionne encore. Un EDR remonte des alertes. Une console SOC affiche des logs. Mais que se passe-t-il en coulisse ? La fin de support d’un module critique. Une vulnérabilité non patchée. Un script de corrélation devenu inopérant. Une incompatibilité avec une architecture cloud moderne. Petit à petit, l’infrastructure perd en résilience. Et c’est tout l’édifice qui devient friable.

Le rôle stratégique de l’inventaire

Pour mesurer l’obsolescence de sa protection, il faut d’abord en connaître la structure exacte. Cela suppose un inventaire exhaustif du patrimoine cyber : équipements, logiciels, services de sécurité managés, appliances réseau, outils de supervision, systèmes de détection et de réponse, mais aussi processus humains ou organisationnels.

L’idéal est de s’appuyer sur une CMDB rigoureuse, à jour, reliée à des outils d’analyse de vulnérabilités ou de gestion de cycle de vie. Car sans visibilité complète, l’obsolescence reste un risque théorique, difficile à qualifier. Un peu comme vouloir évaluer la vétusté d’un bâtiment sans en avoir le plan.

Construire une matrice d’obsolescence cyber adaptée

Une fois le patrimoine identifié, reste à construire une grille d’évaluation pertinente. Cette matrice doit s’adapter au contexte spécifique de l’entreprise : taille de l’environnement, criticité des composants, niveau de conformité attendu, dépendance à certaines technologies, etc.

Parmi les critères à intégrer :

• L’âge et le cycle de vie des composants, avec une attention particulière portée aux dates de fin de support éditeur.

• L’existence de vulnérabilités connues, y compris celles sans correctif déjà disponible.

• Le niveau de compatibilité avec les autres briques du système d’information ou les évolutions prévues (cloudification, travail hybride, nouveaux outils collaboratifs…).

• Le coût de maintenance, non seulement financier, mais aussi en charge opérationnelle.

• La valeur d’usage, c’est-à-dire l’écart entre ce que l’outil est censé faire et ce qu’il fait réellement.

• La dette fonctionnelle et technique, notamment sur les applications internes ou les développements spécifiques.

Tableau d'évaluation de l'obsolescence cyber de votre entreprise

Formaliser une carte des risques

Évaluer l’obsolescence ne suffit pas : encore faut-il la représenter, la mettre en perspective, en tirer des enseignements opérationnels. C’est là qu’intervient la cartographie. Elle permet de visualiser les zones critiques, de hiérarchiser les risques et de faire dialoguer les équipes techniques avec les directions métiers et financières.

Cette cartographie croise les données issues des inventaires et de la matrice avec les retours d’expérience terrain : incidents récurrents, besoins d’évolution non couverts, incohérences d’architecture. Elle sert de base à la décision, au pilotage budgétaire, à la priorisation des actions correctives. Elle permet aussi d’anticiper : ce qui est maintenu aujourd’hui pourrait ne plus l’être dans six mois.

Lire entre les lignes : les indicateurs qui comptent

Certains indicateurs doivent être suivis avec rigueur pour faire de cette évaluation un levier de pilotage régulier, et non un audit ponctuel que l’on ressort tous les deux ans.

Le premier est le taux d’obsolescence : quelle part du parc est en fin de vie ou proche de l’être ? Le second, plus concret, est le nombre d’incidents ou de vulnérabilités liés à des composants obsolètes. Vient ensuite l’évolution de la dette IT, qu’il s’agisse de dette applicative ou d’obsolescence matérielle, et qu’on peut projeter à 6, 12 ou 24 mois selon les scénarios de renouvellement ou de migration.

Ces indicateurs, mis en dynamique, permettent de sortir d’une logique de réaction pour entrer dans celle de l’anticipation. Et c’est sans doute là l’un des principaux bénéfices de cette démarche : se donner une longueur d’avance sur la dégradation silencieuse de la posture sécurité.

Quand la protection devient une illusion

L’un des pièges les plus courants pour les entreprises de taille intermédiaire est de croire que la simple présence d’un EDR ou d’un pare-feu de nouvelle génération suffit à assurer leur sécurité. Or, ces solutions sont elles-mêmes dépendantes de leur propre cycle de vie. Un EDR non mis à jour, avec une configuration par défaut ou mal intégré, devient aveugle. Un SIEM sans politique de détection adaptée, sans analystes ou sans règles à jour devient silencieux. Un outil de détection mal calibré génère du bruit inutile, ou pire : passe à côté de l’essentiel.

Dans cette optique, il est nécessaire d’évaluer l’obsolescence non seulement sur les outils, mais aussi sur les usages, les compétences, les processus. Qui analyse les alertes ? À quelle fréquence ? Quelles sont les procédures de remédiation ? Sont-elles testées ? L’obsolescence peut être humaine ou organisationnelle. Et tout aussi critique.

L’enjeu : réconcilier vision stratégique et état de la sécurité

Enfin, mesurer l’obsolescence de sa cybersécurité permet aussi de nourrir une réflexion stratégique plus large. Faut-il migrer vers des services managés ? Remplacer certains outils par des solutions plus intégrées ? Repenser les priorités du schéma directeur ? Renforcer les capacités internes ou s’appuyer sur des partenaires extérieurs ?

Tant que l’entreprise n’a pas une vision claire de ce qui est encore efficace, de ce qui ne l’est plus, et de ce qui sera bientôt inutile, elle avance dans le brouillard. Et ce flou est coûteux. Non seulement en exposition au risque, mais aussi en inefficacité opérationnelle et en surinvestissement mal ciblé.

Mesurer l’obsolescence de sa protection cybersécurité, ce n’est pas faire l’inventaire de ses failles. C’est poser un diagnostic lucide sur l’état de ses défenses, dans toute leur complexité. C’est accepter de regarder la réalité en face, même quand elle dérange. Et c’est surtout s’offrir une capacité d’action : rationnelle, priorisée, pilotée.

L’agilité est devenue une nécessité, il est temps de considérer la cybersécurité non comme un empilement de solutions techniques, mais comme un actif stratégique. À entretenir. À moderniser. Et parfois, à repenser entièrement.

La bonne nouvelle : il n’est pas nécessaire de mener une étude longue et coûteuse pour identifier et traiter son obsolescence. Si l’entreprise se dote d’un SOC managé complet sur tout sa surface d’attaque elle aura non seulement une excellente couverture de sécurité, mais aussi l’accompagnement qui lui permettra d’identifier les root causes des incidents et d’améliorer en continu la configuration des solutions de bases et de ses processus de travail et de contrôle.  

Il ne faut pas un système parfait avant de mettre un SOC complet en place, mais la mise en place du SOC complet sur toute la surface d’attaque, permettra d’atteindre une bonne hygiène de sécurité et la résilience sécurité tant attendue.