Avec près de 20% des serveurs SQL Microsoft en fonctionnement ayant dépassé la date de fin de support, et donc désormais non supportés par Microsoft, les entreprises se retrouvent face à un risque significatif. De plus, douze pour cent fonctionnent encore sous SQL Server 2014, approchant également la fin de leur support. Quelles sont les implications de cette situation et quelles pourraient être les stratégies pour y remédier ?Lansweeper, plateforme de gestion des actifs informatiques, a lancé un avertissement aux administrateurs d'entreprise du monde entier. Quel est l'âge exact du serveur SQL dont dépend votre entreprise ?
Selon Roel Decneut, directeur de la stratégie, la société a analysé un peu plus d'un million d'instances de SQL Server et a constaté que 19,8 % d'entre elles n'étaient plus prises en charge par Microsoft. Douze pour cent d'entre elles utilisaient SQL Server 2014, qui ne bénéficiera plus d'un support étendu à partir du 9 juillet, ce qui signifie que la proportion sera de 32 % au début du mois prochain.
Les clients peuvent continuer à recevoir les mises à jour de sécurité pour SQL Server 2014 pendant encore trois ans, moyennant paiement. Néanmoins, cette découverte met en évidence un problème potentiel auquel sont confrontés les utilisateurs de la base de données phare de Microsoft : Votre entreprise dépend-elle de quelque chose qui aurait dû être mis au rebus depuis longtemps ?
Si Microsoft a du mal à convaincre les utilisateurs de passer de Windows 10 à Windows 11, les administrateurs sont confrontés à un problème similaire, mais beaucoup moins médiatisé. Bien sûr, les professionnels de l'informatique ne sont que trop conscients des risques liés à l'utilisation de logiciels obsolètes pour les processus critiques de l'entreprise, mais persuader le conseil d'administration d'allouer des fonds pour les mises à jour peut s'avérer difficile.
Decneut, un vétéran de Microsoft depuis 18 ans avant de rejoindre Lansweeper en 2019, a fait partie de l'équipe de lancement de SQL Server 2008 et 2012. « C'était un problème à l'époque, de faire sortir les gens des anciennes versions », a-t-il déclaré. « Quelle est la principale raison pour laquelle vous utilisez une base de données relationnelle ? C'est pour créer des applications au-dessus d'elle. Et c'est l'adhérence de ces applications qui est à l'origine de ce problème ».
L'approche incohérente de la rétrocompatibilité au cours des dernières décennies peut également avoir joué un rôle. Decneut a expliqué que les agents de Lansweeper avaient détecté quelques instances de SQL Server 7. Bonne chance pour mettre à niveau une base de données fonctionnant sur ce serveur vers la dernière et la meilleure version de SQL Server.
La version actuelle de SQL Server est 2022. Selon Decneut, Lansweeper a trouvé 44 % d'instances exécutant SQL Server 2019. SQL Server 2017 représente 13,5 %, et 2016 ne représente que moins de 10 % avant de passer à des versions plus anciennes et obsolètes. Après SQL Server 2014, avec 12 %, SQL Server 2012 représente 9 %. SQL Server 2008 se maintient à un peu moins de 8 %, et ainsi de suite.
Les anciens serveurs SQL perdurent
Microsoft n'est pas le seul à être confronté au problème des clients qui conservent un code obsolète des années - ou des décennies - après la fin de l'assistance technique.
Dave Stokes, Technology Evangelist chez Percona, a déclaré : « D'une part, je ne suis pas surpris que les instances SQL Server ne bénéficient pas de support - l'adage 'Si ce n'est pas cassé, n'essayez pas de le réparer' peut s'appliquer à la technologie comme à n'importe quel autre domaine de la vie. Mais je suis également conscient qu'il est possible d'utiliser cet adage comme une excuse pour éviter de s'attaquer à ce qui peut être un problème difficile ».
« Il peut être difficile de procéder à ces changements, mais cela ne veut pas dire qu'il ne faut pas le faire. Les développeurs ne veulent pas être liés à une version périmée d'un logiciel de base de données. Non seulement ils ne profitent pas des corrections de bogues dans les versions ultérieures, mais ils ne profitent pas non plus des nouvelles fonctionnalités qui leur facilitent la vie ».
Stokes a également noté que les administrateurs de bases de données sont également réticents à être limités de cette manière et a invoqué les fantômes de COBOL et de FORTRAN pour illustrer son propos.
« Les bases de données open source souffrent également de problèmes de fin de vie », a-t-il ajouté. « MySQL version 5.7 a atteint le statut EOL en octobre dernier, mais cette version représente un grand pourcentage des systèmes signalés par Percona Monitoring and Management. Le support post-EOL de Percona a été généralisé ».
Pour Decneut, le défi au niveau de l'entreprise est qu'il n'y a pas grand-chose pour inciter les entreprises à se mettre à niveau. Il explique : « Beaucoup de ces applications commerciales très basiques... ont été conçues pour être robustes avec peu de fioritures. Toutes les nouvelles fonctionnalités qu'elles proposent n'attirent personne, car les utilisateurs n'en ont pas besoin. Ils ont juste besoin que l'application fonctionne. Mais, bien sûr, le modèle commercial de Microsoft exige que vous passiez à une nouvelle version ».
Et Decneut de conclure : « Ce n'est que lorsque la maison est en feu - lorsqu'il y a une vulnérabilité massive - que quelqu'un va s'en préoccuper. Parce que déjà, vous savez, nous nous dirigeons vers le cloud. Nous faisons ceci, nous faisons cela, et maintenant nous pensons à l'IA. Je pense que nous avons pris la mauvaise habitude, dans le monde de la technologie, de ne pas nous préoccuper suffisamment de ce qui s'est passé avant. Parce que c'est de là que viennent la plupart des problèmes. »
Risques associés à l’utilisation de serveurs non supportés
- Sécurité : les serveurs non supportés ne reçoivent plus de mises à jour de sécurité, ce qui les rend vulnérables aux cyberattaques.
- Conformité : les entreprises peuvent se retrouver en violation des normes réglementaires qui exigent des logiciels à jour.
- Coûts : les coûts associés à une éventuelle violation de données peuvent être considérables.
Envoyé par Lansweeper
Pourquoi devrais-je m'en préoccuper ?
À la fin de l'assistance générale, Microsoft ne fournira plus de correctifs non liés à la sécurité, à moins que vous ne disposiez d'un contrat d'assistance étendu. Toutes les réclamations au titre de la garantie prendront fin et Microsoft n'acceptera plus les demandes de fonctionnalités et de modifications.
Lorsqu'un produit atteint sa "date de fin de support étendu", il n'y a plus de correctifs, de mises à jour de sécurité ou de support de la part de Microsoft. Sans mise à niveau vers une version prise en charge du serveur SQL, les entreprises courent un risque beaucoup plus important car les vulnérabilités futures ne sont pas corrigées. Elles risquent également d'enfreindre les règles de protection des données et de sécurité, qui exigent que les technologies utilisées soient prises en charge. Enfin, cela peut entraîner des problèmes de compatibilité, de fiabilité et de performance, car les technologies plus récentes s'appuient sur les fonctionnalités modernes du serveur SQL pour fonctionner.
À la fin de l'assistance générale, Microsoft ne fournira plus de correctifs non liés à la sécurité, à moins que vous ne disposiez d'un contrat d'assistance étendu. Toutes les réclamations au titre de la garantie prendront fin et Microsoft n'acceptera plus les demandes de fonctionnalités et de modifications.
Lorsqu'un produit atteint sa "date de fin de support étendu", il n'y a plus de correctifs, de mises à jour de sécurité ou de support de la part de Microsoft. Sans mise à niveau vers une version prise en charge du serveur SQL, les entreprises courent un risque beaucoup plus important car les vulnérabilités futures ne sont pas corrigées. Elles risquent également d'enfreindre les règles de protection des données et de sécurité, qui exigent que les technologies utilisées soient prises en charge. Enfin, cela peut entraîner des problèmes de compatibilité, de fiabilité et de performance, car les technologies plus récentes s'appuient sur les fonctionnalités modernes du serveur SQL pour fonctionner.
- Évaluation : faire un inventaire des serveurs SQL en fonctionnement et identifier ceux qui sont non supportés.
- Planification : élaborer un plan de migration vers des versions supportées ou envisager des alternatives comme le cloud.
- Mise en œuvre : exécuter la migration ou la mise à niveau avec le moins d’interruption possible.
- Maintenance : s’assurer d’une maintenance régulière et de la mise à jour des systèmes pour éviter des problèmes futurs.
L’urgence d’agir
La situation actuelle où un nombre significatif de serveurs SQL Microsoft sont non supportés expose les entreprises à des risques de sécurité accrus.
Les conséquences d’une cyberattaque exploitant des vulnérabilités dans des systèmes obsolètes peuvent être dévastatrices, allant de la perte de données critiques à des interruptions d’activité coûteuses, sans parler du préjudice à la réputation de l’entreprise. De plus, les coûts cachés associés à la récupération après une attaque peuvent surpasser de loin les investissements nécessaires pour une mise à niveau en temps opportun.
Il est impératif que les dirigeants d’entreprise reconnaissent l’importance vitale d’une infrastructure informatique sécurisée et prennent des mesures immédiates pour remédier à cette situation. La migration vers des versions supportées ou l’adoption de solutions alternatives doit être considérée comme une priorité absolue, et non comme une option facultative.
Sources : Microsoft, Lansweeper
Et vous ?
Responsabilité : qui devrait être tenu responsable de la mise à jour des serveurs SQL dans une entreprise, et pourquoi ? Priorisation : comment les entreprises devraient-elles prioriser la migration de leurs serveurs SQL par rapport à d’autres initiatives informatiques ? Ressources : quels sont les principaux obstacles rencontrés par les entreprises pour maintenir leurs serveurs SQL à jour ? Prévention : quelles stratégies préventives votre entreprise a-t-elle mises en place pour éviter de se retrouver avec des logiciels non supportés ? Sécurité vs Coût : Comment votre entreprise équilibre-t-elle les besoins de sécurité informatique avec les contraintes budgétaires ? 
