Quand conformité GDPR rime avec WIN SERVER 2008 fin de support

Rappelez-vous, le 25 mai 2018 la CNIL établissait un certain nombre de recommandations visant à garantir la sécurité de toutes les données basées sur le Règlement Général sur la Protection des Données (aussi nommé RGPD ou encore GDPR, de l’anglais General Data Protection Regulation).

Parmi elles, la sécurité informatique est au cœur de ces recommandations.

Néanmoins, lorsque nous parlons de sécurité il ne s’agit pas uniquement d’apporter de nouvelles solutions, il s’agit en premier lieu de garantir la bonne sécurité de celles existantes. Et en premier lieu, au cœur de la mise en conformité, viens le système d’exploitation de Windows : Windows Server 2008.

Microsoft a annoncé il y’a de cela quelques mois, la fin de support de son OS orienté infrastructure : Windows Server 2008 et 2008 R2 pour le 14 janvier 2020. Mais comment une fin de support peut-elle avoir un impact sur la conformité avec le RGPD ?

Pas de MAJ, pas de sécurité

Une fin de support logicielle signifie essentiellement que l’éditeur n’apporte plus de correctif de sécurité sur sa solution. Pour résumer et faire simple, à partir de janvier 2020,  Windows Server 2008 ne sera plus à jour et ne pourra donc garantir la sécurité de vos données.

En sachant qu’une majorité du parc Microsoft (+/- 70%) est à ce jour sous Windows Server 2008, il est facile d’avancer que les hackers de tous horizons risquent de s’attaquer à cette potentielle faille dès 2020. Cela pourrait aboutir à de nouvelles vagues de sociétés complètement bloquées à cause de CryptoVirus ou de menaces dites « Zero Day » non connues du système, puisque non mis à jour.

Pas de sécurité, pas de conformité

En quoi cela représente un risque de non-conformité RGPD ?

Tout simplement car le système d’exploitation de votre serveur, point névralgique de la gestion et de la centralisation de vos applications, et donc de vos données, n’est plus à même de répondre aux contraintes de sécurité du marché. Pour prendre un raccourci à nouveau, vous n’avez pas tout fait pour sécuriser vos données, donc vous ne contribuez pas à votre conformité.

Changer la version de son OS, pas si simple.

Mais upgrader son OS à une version plus récente n’est pas si simple. Notamment car certaines des solutions permettant le bon fonctionnement de l’entreprise, de type ERP (Enterprise ressource Planning), comptabilité, solution de gestion de parc d’impression ou autre solution métier ne fonctionne que sur certaines versions de Windows Server. Dans ce contexte il faut donc voir cet upgrade de version selon trois points de vue réglementaire, technique, et financier.

Quelques conseils pour préparer sereinement la migration vers Win server 2016 en toute sérénité.

1. Identifiez les applications critiques ne pouvant fonctionner sans Windows Server 2008 R2 et contacter l’éditeur ou votre intégrateur pour préparer cette migration.
2. Vérifiez si vos licences Windows Server 2008 bénéficient d’un software assurance vous donnant accès à des offres d’upgrades ou à une extension des patchs de sécurité de 3 ans en plus vous permettant de planifier sereinement votre migration
3. Pensez à exploiter les ressources Microsoft Azure vous permettant de migrer dans le cloud vos Machines Virtuelles sous Windows Server 2008 et ainsi bénéficier d’une sécurité à jour pendant encore 3 ans (uniquement dans le cadre de la software assurance).

N’hésitez pas à nous contacter pour que nous vous aidions à simplifier la gestion de votre infrastructure.

(Lire aussi l’article sur la cybersécurité)