48% des organisations dépendent encore d’infrastructures réseau vieillissantes ou obsolètes. C’est le constat accablant du rapport « Update critical » commandé par Cisco et publié en novembre 2025. Une dette technologique qui augmente la surface d’attaque, d’autant que le réseau - longtemps considéré comme un simple socle technique - n’a pas toujours fait l’objet des mêmes politiques de sécurité que les autres briques du SI.
Cette dette technologique a un coût caché : en donnant la priorité à la maintenance sur l’innovation, elle enferme les organisations dans un cercle vicieux où les investissements d’avenir deviennent de plus en plus difficiles à garantir. « C'est comme faire passer tout le trafic urbain sur un pont rouillé : la dette technique mobilise toutes les ressources sur l’entretien de l’existant, entravant la modernisation des réseaux », déplore Anthony Grieco, SVP & Chief Security & Trust Officer de Cisco.
60% des cyberattaques ont exploité des vulnérabilités non patchées
Faut-il pour autant sombrer dans le fatalisme ? Non, des solutions existent. Et elles sont à portée de main. Selon Chris Gow, Senior Director pour les politiques publiques européennes de Cisco, « dans l'UE, 60 % des cyberattaques en 2022-2023 ont exploité des vulnérabilités connues qui avaient des correctifs existants mais ces correctifs n'ont pas été appliqués. ».
Il faut alors gérer plus efficacement la résilience de son infrastructure. La question n’est plus de maintenir l’existant, mais de décider où investir pour réduire durablement le risque. L’investissement dans des réseaux modernes, sécurisés et adaptatifs n’est plus une option, mais une nécessité. Quel plan d’action adopter pour y parvenir ?
Cycle de vie des équipements : reprendre le contrôle avant qu’il ne soit trop tard
Le premier chantier est un changement de gouvernance avec le passage d’une posture réactive à proactive. Ce qui suppose d’arbitrer, de prioriser, et d’assumer des choix structurants. Cela passe d’abord par une phase de diagnostic avec la tenue de registres en ligne pour suivre les technologies qui approchent ou atteignent leur fin de vie. En tenant compte du fait que le fabricant peut ne plus proposer de mises à jour sur les équipements les plus anciens.
Une fois le diagnostic réalisé, les équipes IT doivent évaluer et planifier le remplacement des équipements vieillissants. Et lorsque le remplacement n’est pas possible, elles doivent mettre en place des mesures de mitigation (segmentation, restrictions d’accès, supervision renforcée). L’objectif est de transformer la dette technologique en feuille de route de modernisation.
La sécurisation des paramètres et options doit être pensée par défaut. La complexification des architectures reste en effet une source majeure d’exposition. Simplifier les configurations réduit la surface d’attaque et renforce la cohérence de la posture de sécurité. « Nous simplifions nos offres afin que les configurations, protocoles et fonctionnalités sécurisés deviennent la norme, et nous alertons de manière proactive les administrateurs en cas de choix peu sécurisés », explique Anthony Grieco.
Faire des incidents un levier d’amélioration continue
La résilience se gère en continu. Le reporting d’incidents est en cela essentiel. « Les rapports d'incidents doivent inclure des éléments sur le rôle des technologies obsolètes dans les violations de données », souligne Eric Wenger, Senior Director pour la politique technologique de Cisco. Cette approche permet de relier chaque incident à des vulnérabilités concrètes et d’orienter les investissements vers les véritables points de fragilité.
Le modèle économique doit aussi évoluer. Il convient de passer d’un modèle d’achat définitif à un modèle d’abonnement ou à la demande pour offrir plus de flexibilité et de sécurité. L’entreprise va pouvoir faire évoluer son infrastructure en fonction de ses besoins et de l’état des menaces. « Ces mesures, combinées à une meilleure gestion du cycle de vie, aident les organisations à passer de la réaction aux incidents à une réduction proactive des risques. », note Eric Wenger.
Obsolescence : quand l’Europe impose de reprendre le contrôle
Des initiatives politiques sont prises en parallèle. Dans l’Union Européenne, le Digital Omnibus va simplifier la gestion des incidents cyber. Il permet également une meilleure prise en compte des problèmes causés par les équipements en fin de vie, y compris dans le monde physique. En effet, une infrastructure technologique vulnérable peut causer des incidents sur les infrastructures de transports, de santé ou d’énergie. La sécurité doit être pensée de manière systémique.
La révision du Cybersecurity Act va elle fluidifier la gestion des risques cyber, se focalisant sur la fin de vie des équipements. Un dispositif qui s’ajoute aux guidelines pratiques pour les infrastructures critiques qui seront mises en place par les autorités grâce à la directive NIS2. Des principes inspirés des recommandations de la CISA (Cybersecurity and Infrastructure Security Agency) aux Etats-Unis et du NCSC (National Cyber Security Centre) au Royaume-Uni. La loi sur la cyberrésilience et la réforme des marchés publics offrent également de nouvelles opportunités de résorber la dette technologique.
Côté fournisseurs, la tendance est aussi à des offres plus centrées sur la gestion du cycle de vie. Comme avec Cisco qui simplifie sa gamme et propose des solutions sécurisées par défaut. « Au fil du temps, les options non sécurisées seront désactivées ou supprimées complètement, facilitant la gestion des risques par les organisations et réduisant la surface d’attaque », complète Anthony Grieco.
IA et quantique : anticiper aujourd’hui les défis de la résilience
La gestion du cycle de vie des équipements doit être d’autant plus rigoureuse que les attaques se multiplieront dans le futur. La résilience doit se gérer sur le long terme. L’IA ou le calcul quantique vont rendre les attaques encore plus sophistiquées, les faisant dépasser les techniques actuelles de chiffrement.
« La sécurité et la confiance dans la technologie seront très différentes d'ici 2040. À mesure que l'IA devient la norme et que le calcul quantique progresse, les réseaux doivent évoluer pour supporter la cryptographie post-quantique et être sécurisés par défaut », prévient Anthony Grieco.
Les organisations doivent agir dès maintenant en s’assurant de la mise à jour des systèmes et d’un bon pilotage de la fin de vie des équipements. Et surtout en adoptant une posture proactive.