Peut-on rester sous Windows Server 2003 ? Non, expliquent Microsoft et HPE. Les risques sont en effet importants, et la non-conformité du serveur pourrait coûter cher à l’entreprise. Migrer est donc essentiel, même si une porte –virtuelle– peut rester entrouverte pour les applicatifs récalcitrants.
Le support principal de Windows Server 2003 s’est éteint en juillet 2010, et son support étendu le 14 juillet 2015. Depuis maintenant presque un an, plus aucun correctif de sécurité n’est proposé par Microsoft pour ce système d’exploitation serveur.
Le risque est bien réel pour les entreprises. Des failles ont en effet été corrigées jusqu’à la fin (37 ont été découvertes en 2013). D’autres sont donc probablement toujours présentes aujourd’hui, et exploitées par les pirates.
Certes, l’entreprise peut ajouter des antivirus, pare-feu et autres outils de sécurité à ses machines Windows Server 2003, mais cela a un coût. Cette approche sera également de moins en moins efficace.
« Exécuter un antivirus sur un système non supporté n’est pas une solution adéquate pour protéger contre les menaces, confirme Bernard Ourghanlian, directeur Technique et Sécurité chez Microsoft France. En effet, lorsque les correctifs de sécurité du système d’exploitation ne sont plus fournis, les logiciels antivirus qui reposent sur des fonctionnalités du système deviendront de moins en moins efficaces au fil du temps. »
Attention à la conformité des serveurs
« Toutes les instances de Windows Server 2003 R2, qu’elles soient physiques ou virtuelles, sont vulnérables et ne passeraient pas un audit de conformité, ajoute le chef de produit des licences Microsoft en OEM de HPE. De nombreuses applications ne bénéficient plus d’aucun support depuis que le système d’exploitation sous-jacent n’est plus supporté. »
Le support des applications tournant sous Windows Server 2003 s’est en effet souvent éteint dans la foulée de celui de l’OS lui-même. Un élément qui peut alourdir l’impact sur la conformité du serveur par rapport aux normes et réglementations en cours. « Par exemple, la perte de conformité envers les règles de sécurité des données PCI (cartes de paiement) peut entraîner la perte de l’accréditation Visa ou Mastercard de l’organisation du client », illustre HPE.
Moderniser (ou virtualiser)
Bref, rester sous Windows Server 2003 est un risque important pour une entreprise. Migrer est donc conseillé. Le passage à Windows Server 2012 R2 sera l’occasion de rafraichir ses serveurs et applicatifs, ainsi que de passer à la virtualisation, qui apporte un ROI important en réduisant le nombre de serveurs physiques requis.
Si certaines applications n’ont pas été adaptées pour une version plus récente de Windows Server, deux solutions s’offrent à l’entreprise. La première consiste à essayer de les faire fonctionner avec une version plus moderne de l’OS. Opération possible dans bien des cas. Certes, l’entreprise perd au passage la certification de l’éditeur, mais si ce dernier ne propose pas de version Windows Server 2012 de ses applications, c’est probablement parce qu’il n’existe plus. Autre solution, l’utilisation d’une machine virtuelle Windows Server 2003. Il faudra alors être attentif à bien isoler cette VM d’internet et du reste de votre SI pour limiter tout risque de piratage.
