Select Page

L’après Windows 2003 : quand ça veut pas, on fait quoi ?

L’après Windows 2003 : quand ça veut pas, on fait quoi ?

Depuis le 14 Juillet 2015, toutes les applications d’entreprises ont migré en masse vers des serveurs Windows 2008. Toutes ? Non ! Certaines résistent encore et toujours à la migration forcée. Des applications –souvent métier et développées spécifiquement pour l’entreprise- qui ne peuvent pas être migrées plongent les DSI et RSSI dans l’impasse.

Car depuis le 14 juillet 2015, on le sait, Microsoft n’assure plus le support Windows 2003, ce qui signifie plus de patching de sécurité pour cette plateforme. C’est aussi vrai pour les plateformes Windows 2000 et NT. Le sujet a largement été couvert par les médias, et ce, très en amont de la date fatidique, et une grande partie des entreprises ont pris leurs dispositions pour faire face à cet arrêt.

Seulement voilà : en informatique, tout ne se passe pas toujours comme prévu.

Trois options choisies, dont une très risquée et une très chère…

  • La première solution choisie par les entreprises, après avoir migré tout ce qui était possible, c’est …de ne rien faire pour ces applications récalcitrantes. En croisant les doigts, en mode du « on verra bien ce qui se passe ». Risqué bien évidemment, quand on sait que depuis le 14 Juillet 2015, une recrudescence des vulnérabilités sur windows 2003 a été constatée. Logique : l’arrêt de la publication de correctifs par Microsoft sur Windows 2003 est du pain béni pour les hackers. Microsoft propose des prolongations de support sur Windows 2003, mais ceux-ci coûtent cher.
  • La deuxième solution, c’est de réécrire les applications en question, pour qu’elles soient compatibles avec Microsoft Windows Server 2008 ou supérieur. Faisable, mais là encore très coûteux et chronophage. La plupart des entreprises n’ont pas les moyens ni le temps de préparer ces redéveloppements.
  • La troisième solution permet de mettre le curseur de sécurité au bon endroit. Il s’agit d’un « wraping » d’applications, à savoir les protéger grâce à une enveloppe sécuritaire et une méthode de vérification éprouvée. Plus besoin de se soucier de patching, il suffit désormais de vérifier le comportement de l’application afin d’y autoriser seulement les accès, les DLL ou processus nécessaires au bon fonctionnement. Sans tout révolutionner, cette approche reste économique, comparée à des coûts colossaux de portage d’application. Chez SCC, c’est ce que nous préconisons. Nous avons d’ailleurs développé une méthologie spécifique associée à un outil, le Symantec Data Center Security, qui remporte beaucoup de succès.

Une application sécurisée sans effets de bords

Notre méthode se décline en trois phases.

1-Mode découverte : chez SCC, nous procédons à un apprentissage du fonctionnement de l’application en question (dll, fichier, réseau etc…) pour bien étudier son cycle de vie.

2- Une fois le mode découverte finalisé, nous travaillons avec les responsables Métiers (ou Applicatif) afin de valider le cycle de vie de l’application et ainsi bloquer ce qui n’est pas prévu (mode blocage dans un contexte de pré-production ou de test).

3- Nous déployons enfin la solution en production et nous configurons les alertes et le reporting nécessaires afin d’obtenir toute la visibilité sur la sécurité de l’environnement applicatif.

Peut s’adapter à de multiples situations

Windows 2003 reste l’un des scénarios les plus courus pour cette méthode (voir également pour Windows XP, 2000..). Mais elle est aussi valable dans un contexte plus global de patching d’applications, sur des terminaux points de ventes,  systèmes de contrôle industriel ou pour répondre aux besoins de conformité comme PCIDSS.

 

 

About The Author

Charles Gengembre

Manager BU Sécurité et Réseaux.

Recevez par mail les articles et actualités de Au coeur des InfrasJe m'inscris à la Newsletter