Pourquoi le fait de s'appuyer sur un système hérité représente-t-il un risque pour les entreprises ?

Par Emanuel Böminghaus, expert en systèmes hérités et directeur général d’AvenDATA

Par Emanuel Böminghaus,

Legacy Systems Expert and
Managing Director, AvenDATA
Aujourd’hui, dans de nombreuses organisations, ce ne sont pas seulement de nombreuses applications obsolètes qui restent en service, mais souvent un seul système hérité hautement critique qui fonctionne depuis des années alors qu’il ne prend plus en charge les opérations quotidiennes. Ce système peut engendrer des coûts disproportionnés, affaiblir la sécurité informatique et créer des défis importants en matière de conformité, d’audits et d’opérations globales. Les entreprises sous-estiment généralement à quel point un seul système hérité peut entraver l’ensemble de leur stratégie informatique.

Qu'est-ce qui définit un système hérité unique ?

Un système hérité est un logiciel qui n’est plus utilisé activement, mais qui contient encore des données qui doivent être conservées pour des raisons juridiques ou opérationnelles. Il peut s’agir d’un ancien système ERP, de gestion RH ou de paie, financier ou même d’une application développée sur mesure. Les développeurs ont depuis longtemps quitté l’entreprise. Après des projets de modernisation ou des carve-outs, ces systèmes ne sont généralement plus maintenus, mais ne peuvent toujours pas être arrêtés.

Pourquoi un système hérité unique représente-t-il un risque stratégique ?

Le risque principal réside souvent dans le fait que ce système ne reçoit plus de mises à jour et donc que des failles de sécurité critiques persistent. Un système hérité unique peut devenir une porte d’entrée pour les logiciels malveillants ou les accès non autorisés, en particulier lorsque d’anciennes bases de données, des interfaces non sécurisées ou des systèmes de serveurs obsolètes sont toujours actifs. Le service informatique perd également un temps précieux, car la maintenance d’un système hérité nécessite des connaissances spécialisées qui ne sont plus disponibles en interne. Dès que les autorités de contrôle demandent des informations, il apparaît clairement que personne ne sait comment le système fonctionne ni quelles sont les structures de données existantes.
D’un point de vue économique, même un seul système hérité représente une charge pour l’entreprise. Les coûts liés aux serveurs, aux sauvegardes, aux licences, à la maintenance, à la surveillance et au support interne s’accumulent au fil des ans, même si le système n’apporte plus aucun avantage productif. De nombreuses entreprises continuent de payer chaque année des sommes à cinq chiffres simplement parce que le système hérité reste en place. À cela s’ajoute la pression liée à la conformité. Les données du système hérité doivent rester accessibles de manière intégrale et fiable, parfois pendant des dizaines d’années. Si aucune connaissance spécialisée n’est disponible, des risques juridiques apparaissent, qui se manifesteront au plus tard lors d’un audit.

Quelles sont les informations critiques dans un système hérité ?

  • Données comptables et transactionnelles pertinentes sur le plan fiscal
  • Données relatives au personnel et à la paie des exercices comptables précédents
  • Justificatifs, documents et pièces jointes
  • Pistes d’audit, données de journalisation et protocoles pertinents pour le système
  • Documents commerciaux soumis à des délais de conservation légaux
Comme ces ensembles de données sont généralement volumineux et complexes, ils doivent rester accessibles sous une forme ou une autre sans nécessiter de connaissances techniques. C’est précisément ce qui n’est souvent plus garanti dans un système existant actif.

Comment les entreprises doivent-elles gérer un système existant unique ?

La première étape consiste à analyser en détail le système existant et à déterminer quelles données il contient, quelles sont les obligations légales et combien de temps les informations doivent être conservées. Sur la base de cette analyse, il est possible de décider si une migration est nécessaire ou si l’archivage est la solution la plus judicieuse. Dans la pratique, l’archivage s’avère presque toujours plus efficace, car le système peut alors être complètement mis hors service.
Une fois la décision prise, l’étape suivante consiste à extraire les données conformément aux exigences d’audit. Il faut s’assurer de transférer l’intégralité des tables, enregistrements, modèles et des données de transaction. Dans le même temps, la lisibilité, les fonctions d’exportation et la journalisation doivent être garanties afin que, même des années plus tard, un auditeur ou un administrateur judiciaire puisse vérifier quelles données étaient stockées dans le système hérité. Le personnel familiarisé avec l’application d’origine n’étant généralement plus disponible après une insolvabilité, cette étape devient encore plus critique.
Les données extraites sont ensuite fournies dans un système d’archivage conforme aux exigences d’audit. Cette archive permet de définir clairement les droits d’accès, la journalisation, les options de recherche et d’exportation, et garantit une conservation conforme à la loi. Une fois ces exigences remplies, le système hérité peut être techniquement mis hors service. Cela comprend l’arrêt des serveurs, la suppression des sauvegardes, la résiliation des licences et la documentation de la fermeture définitive.

Pourquoi un système hérité unique est-il si souvent négligé ?

Dans de nombreuses entreprises, le problème survient parce que le système « fonctionne en arrière-plan » et n’est plus utilisé activement. Il n’y a pas de responsable, pas de développement ultérieur et pas de contrôle continu. De ce fait, le système est facilement oublié tout en continuant à générer des coûts et à présenter un risque.
Plus cette situation persiste, plus le danger est grand que des données importantes soient perdues, que les audits échouent ou que des pirates exploitent les vulnérabilités.

Un système hérité unique ne devrait jamais fonctionner en arrière-plan

Un système hérité unique peut entraîner des risques financiers, juridiques et de sécurité importants. Les entreprises ne devraient pas se contenter de continuer à exploiter les systèmes hérités, mais devraient plutôt les analyser de façon systématique, extraire les données conformément aux exigences d’audit, puis les mettre hors service. Ce n’est qu’ainsi que la conformité et la sécurité informatique peuvent être garanties, tout en réduisant les coûts de façon permanente.
Vous prévoyez d’archiver un système hérité ?