Lorsque la supertempête Sandy a frappé la région de New York en 2012, certaines parties de la ville ont subi une panne d’électricité qui a duré une semaine.
Je vivais à Brooklyn à l’époque et j’ai eu la chance d’avoir de l’électricité.
Mon appartement s’est donc transformé en lieu de travail pour une demi-douzaine d’amis qui avaient perdu l’électricité.
C’est sympa d’héberger une demi-douzaine d’amis chez soi pendant quelques jours. Mais d’après mon expérience, l’avantage positif commence à décliner vers le quatrième jour…
Surtout quand on se rend compte qu’ils risquent de ne jamais partir.
La semaine dernière, des dizaines de millions de personnes en Espagne et au Portugal ont été confrontées à un problème similaire lorsque les deux pays ont soudainement été privés d’électricité.
Il s’agit de l’une des plus grosses pannes d’électricité de l’histoire européenne.
Et comme je l’ai déjà évoqué dans mon dernier message, une situation similaire pourrait se produire ici, aux États-Unis, car notre réseau électrique est tout aussi vulnérable.
Il est vieux et doit être modernisé. Il est exposé à des phénomènes météorologiques extrêmes tels que les ouragans et les incendies de forêt. Et l’intégration des sources d’énergie renouvelables le rend vulnérable aux fluctuations importantes de courant, comme celles que vient de connaître l’Espagne.
Parallèlement, notre réseau est mis à rude épreuve par une demande croissante en électricité.
Malheureusement, ce n’est pas le seul problème d’infrastructure majeur auquel les États-Unis sont confrontés aujourd’hui.
En effet, les logiciels hérités (NDLR : logiciel obsolète encore utilisé et dont la technologie, dépassée, ne permet pas d’interagir avec les nouveaux systèmes) qui continuent d’alimenter le contrôle du trafic aérien, la logistique maritime, les systèmes de défense et même nos hôpitaux ne tiennent plus qu’à un fil.
Ce problème peut sembler moins évident, mais il est tout aussi dangereux. Et si nous ne nous en attaquons pas rapidement, ce n’est qu’une question de temps avant que des conséquences graves ne se produisent.
Un problème plus difficile à voir
Le plus grand risque pour nos infrastructures critiques est enfoui dans des lignes de code écrites il y a plusieurs décennies et rafistolées depuis lors.
Selon le rapport 2025 Open Source Security and Risk Analysis Report de Synopsis/Black Duck, la grande majorité de ces systèmes hérités fragiles contiennent au moins un logiciel open source (OSS).
Mais si l’utilisation des OSS peut être plus rentable et plus transparente, l’étude a révélé que 91 % des bases de code examinées contenaient des composants OSS obsolètes.
Et 90 % d’entre elles contiennent des composants qui ont plus de 10 versions de retard sur la version la plus récente.
Cela signifie qu’elles n’ont pas été conçues pour faire face aux menaces auxquelles nous sommes confrontés aujourd’hui.
Et cela se comprend quand on sait le temps qu’il faut souvent pour que les projets gouvernementaux voient le jour.
Au moment où les logiciels sont mis en œuvre, il n’est pas rare qu’ils soient déjà obsolètes.
Et bon nombre de ces systèmes hérités ne reçoivent plus aucune mise à jour ni aucun correctif de sécurité.
C’est pourquoi les hôpitaux, les réseaux de trafic aérien, les entrepreneurs de défense et d’autres domaines d’infrastructures critiques sont des cibles de choix pour les pirates informatiques.
Par exemple…
- La centrale nucléaire de Wolf Creek, au Kansas, a été la cible de pirates informatiques russes en 2017.
- Le piratage de Colonial Pipeline en 2021 a été la plus grande cyberattaque contre une infrastructure pétrolière de l’histoire des États-Unis.
- Et l’année dernière, un groupe lié à l’État chinois a infiltré les principales entreprises de télécommunications américaines dans le cadre d’une campagne de cyberespionnage.
Pourtant, malgré ces failles de sécurité majeures, nous continuons à utiliser des logiciels écrits à l’époque où Bill Clinton était président.
Selon un récent panel de la RSAC, certains systèmes de trafic fonctionnent avec des micrologiciels datant de plusieurs décennies, avec peu de normalisation et aucune supervision centralisée.
Nos infrastructures hydrauliques sont fragmentées en plus de 55 000 districts indépendants, chacun disposant de ses propres logiciels vieillissants.
Et le secteur des soins de santé ne se porte pas beaucoup mieux.
Une étude réalisée en 2023 a montré qu’environ 40 % du code open source utilisé dans les logiciels médicaux contient des vulnérabilités connues…
Alors même qu’une seule attaque par ransomware pourrait fermer définitivement un hôpital.
C’est d’ailleurs ce qui est arrivé à St. Margaret’s Health à Spring Valley, dans l’Illinois.
En 2021, cet hôpital a été victime d’une attaque par ransomware qui a perturbé pendant des mois sa capacité à soumettre des demandes de remboursement aux assureurs, à Medicare ou à Medicaid.
Ces retards de facturation ont plongé St. Margaret’s dans une spirale financière et l’hôpital, vieux de 120 ans, a été contraint de fermer ses portes en 2023.
C’était la première fois qu’un hôpital fermait ses portes aux États-Unis à la suite d’une cyberattaque. Mais ce ne sera probablement pas la dernière si nous ne prenons pas de mesures pour résoudre les problèmes liés à nos anciens logiciels.
Le coût de l’inaction
Le problème lié à la maintenance d’un code ancien est qu’elle est coûteuse et inefficace.
Les systèmes hérités reposent souvent sur des langages de programmation obsolètes, du matériel personnalisé et un manque d’expertise.
À mesure que les ingénieurs d’origine partent à la retraite, il ne reste plus personne qui comprenne vraiment comment tout fonctionne.
C’est comme essayer de réparer un pont qui s’effondre sans les plans d’origine… et alors que la circulation continue de circuler dessus.
Mais voici le problème…
Plus nous retardons la modernisation, plus nous risquons de prendre du retard.
Nous le constatons déjà dans le secteur aérien, où les systèmes de gestion des vols hérités sont désormais l’une des principales causes de retard.
Selon le ministère des Transports, l’année dernière, plus de 22 % des vols commerciaux aux États-Unis ont accusé un retard.
Et les retards au sol de plus de trois heures ont augmenté de plus de 51 % par rapport à l’année précédente.
Le secteur aérien perd environ 60 milliards de dollars par an à cause de ces perturbations. Pourtant, de nombreuses compagnies aériennes continuent de s’appuyer sur des plateformes de planification vieilles de plusieurs décennies, car leur remplacement est considéré comme trop risqué ou trop coûteux.
Je pense qu’il y a un risque bien plus grand à ne rien faire.
La bonne nouvelle, c’est que la dynamique semble s’accélérer pour remédier au problème de nos logiciels hérités.
En janvier 2025, l’Agence pour la cybersécurité et la sécurité des infrastructures (CISA), en partenariat avec l’Agence pour les projets de recherche avancée de défense (DARPA) et d’autres agences gouvernementales, a publié un rapport intitulé Closing the Software Understanding Gap (Combler le fossé dans la compréhension des logiciels).
Ce rapport reconnaît que la plupart des systèmes hérités sont si complexes que nous ne comprenons plus entièrement leur fonctionnement.
Le rapport souligne les risques que représente cette lacune dans la compréhension des logiciels pour la sécurité nationale et les infrastructures critiques, et recommande une approche globale et coordonnée par le gouvernement pour aider à résoudre le problème.
Une solution consiste à investir dans des techniques rigoureuses d’évaluation des logiciels, appelées « méthodes formelles », qui permettent d’auditer en profondeur des bases de code volumineuses.
Les logiciels formellement vérifiés semblaient impossibles à mettre en œuvre à grande échelle, mais les progrès réalisés au cours de la dernière décennie ont rendu leur utilisation beaucoup plus facile dans le développement quotidien.
Naturellement, l’IA joue un rôle à cet égard. Elle aide déjà les développeurs à démêler et à refactoriser le code hérité.
En fait, selon une étude de GitLab, 34 % des développeurs utilisent désormais l’IA pour moderniser le code hérité.
Ce pourcentage ne fera qu’augmenter à mesure que l’IA continuera de s’améliorer.
En analysant, testant et réécrivant les logiciels obsolètes, les outils d’IA devraient réduire considérablement le temps et le coût de la modernisation.
Mon avis
La panne d’électricité qui a touché l’Espagne et le Portugal la semaine dernière devrait nous alerter tous.
Non seulement sur les vulnérabilités de notre réseau électrique, mais aussi sur les logiciels qui alimentent nos infrastructures critiques.
Car plus nous dépendons de codes obsolètes, plus le risque de panne est élevé.
C’est pourquoi les investisseurs avisés misent sur les entreprises qui participent à la reconstruction numérique des États-Unis.
Alors que les agences fédérales et les entreprises du Fortune 500 commencent à mettre à niveau leurs logiciels, les entreprises qui travaillent sur des logiciels sécurisés dès leur conception, des outils de développement basés sur l’IA et la vérification formelle devraient bénéficier de la reconstruction numérique des États-Unis.
Les membres de ma publication Fortune Stratégique le savent déjà.
Au début de l’année dernière, j’ai identifié une entreprise qui aide les grandes institutions à cartographier et à moderniser des systèmes hérités complexes, notamment des infrastructures gouvernementales.
Et le cours de son action a augmenté de plus de 640% depuis ma recommandation.
Et comme les préoccupations autour de cette question ne cessent de croître, nous devrions voir d’autres opportunités de gains similaires.
A très vite,
Ian King
