Sécurité modernisée : la réponse aux menaces internes, aux failles de conformité et à l'IA pour les mainframes

Neil Fowler

Dans les rouages silencieux de notre quotidien numérique, les mainframes assurent en toute discrétion le bon fonctionnement des opérations les plus courantes.

Retraits d’espèces, réservations de vols, gestion des remboursements d’assurance ou encore traitement des données administratives comptent parmi ces nombreuses opérations. Longtemps considérés comme « intrinsèquement sécurisés », surtout en comparaison avec le cloud, les mainframes bénéficient d’une solide réputation. Pourtant, cette confiance excessive peut amener les équipes informatiques à baisser leur garde, car malgré leur résilience, ils ne sont pas inviolables.

Les cyberattaques se généralisent

Les violations de données se multiplient et s’invitent régulièrement dans l’actualité. En 2024, la CNIL a été notifiée de 5 629 violations de données personnelles, soit 20 % de plus qu’en 2023. Au-delà de cet accroissement notable, la tendance la plus préoccupante est celle d’une recrudescence des compromissions de très grande ampleur. Le nombre d’entre elles touchant plus d’un million de personnes a ainsi doublé en un an, passant d’une vingtaine à une quarantaine d’attaques réussies, et tous les secteurs d’activité sont concernés. Ces attaques ne visent pas uniquement les mainframes, mais elles soulignent une réalité : aucune infrastructure ne peut aujourd’hui faire l’économie d’une protection active.

Compte tenu du volume et de la sensibilité des données traitées, la moindre faille peut avoir des conséquences démesurées. Le problème ? De nombreuses applications mainframe sont encore accessibles via des méthodes obsolètes, comme les émulateurs de terminal, protégés par de simples mots de passe, un rempart bien fragile face aux techniques des cybercriminels. Entre l’essor des attaques propulsées par l’intelligence artificielle et la recrudescence des risques internes, les mainframes ne sont plus à l’abri.

Trois menaces majeures pèsent aujourd’hui sur les mainframes

Sous la surface, plusieurs types de menaces convergent et les fragilisent les mainframes, à commencer par celles qui émanent de l’intérieur même des organisations. Il peut s’agit d’un salarié distrait qui clique sur un lien piégé ou divulgue ses identifiants, ou un collaborateur malveillant dans un poste sensible. Dans les deux cas, les dégâts peuvent être significatifs, surtout si cette personne dispose d’un accès transversal aux systèmes. Du simple oubli de bonne pratique à l’escroquerie élaborée, l’absence de contrôle d’accès moderne et de supervision active rend les mainframes vulnérables depuis l’intérieur.

A cela s’ajoute l’utilisation croissante de l’IA par les cybercriminels, leur permettant de déployer des attaques plus ciblées et plus crédibles. Par le biais d’appels vocaux en deepfake ou encore de phishing hyper-personnalisé, les attaques de type ingénierie sociale deviennent à la fois plus convaincantes et plus difficiles à détecter et parmi les cinq techniques les plus utilisées dans les campagnes de cybercriminalité ciblant l’Union européenne selon l’ENISA.

De plus, une évolution préoccupante a été observée au cours de l’année passée. Les technologies génératives facilitent en effet la conception de contenus crédibles à grande échelle, rendant les escroqueries plus difficiles à détecter, même par des utilisateurs avertis. Dans certains cas, des attaques combinent clonage vocal et simulation de chaînes hiérarchiques, exploitant la confiance interne pour déclencher des virements ou exfiltrer des identifiants. L’accès facilité aux outils d’IA permet de manipuler les victimes, d’usurper des identités et de contourner les mécanismes de vérification. Sans authentification renforcée ni système de gestion des identités, les mainframes deviennent des cibles faciles.

Enfin, les réglementations de sécurité sont de plus en plus strictes et ce, partout dans le monde, les autorités imposent de nouvelles règles de cybersécurité et des délais de mise en conformité plus courts, avec des sanctions renforcées, y compris pour les mainframes.

En Europe, NIS2, applicable depuis octobre 2024, impose des obligations strictes de sécurité, d’évaluation des risques et de notification rapide des incidents, avec des amendes allant jusqu’à 2 % du chiffre d’affaires mondial des entreprises concernées. De son côté, le Digital Operational Resilience Act (DORA), entré en vigueur en janvier 2025, impose aux institutions financières une conformité opérationnelle de bout en bout : gestion des risques ICT, tests de résilience, supervision des prestataires tiers, et notification d’incidents majeurs dans un délai de 4 heures.

Les autorités européennes, comme l’ECB et l’EBA, renforcent également les recommandations pratiques en publiant des lignes directrices pour encadrer l’externalisation vers le cloud et les prestataires critiques. Enfin, en France, l’ANSSI a aligné ses exigences avec ces textes, notamment en matière de notification d’incidents et de gestion des prestataires, dans le cadre de la transposition de la directive NIS2. En résumé, se conformer rime désormais avec sécuriser les environnements legacy, mainframes inclus.

Renforcer la sécurité des environnements mainframe

Face à la complexité et à la réglementation croissantes des menaces, les entreprises doivent désormais privilégier trois actions concrètes pour mieux protéger leurs environnements mainframe :

  •  Moderniser les modes d’accès utilisateurs

Sous l’apparence vieillissante des mainframes se trouvent des accès critiques à des données hautement sensibles. Ceux-ci doivent être protégés avec les mêmes exigences que les systèmes les plus récents. Les entreprises doivent privilégier des émulateurs de terminal accessibles par navigateur, ou des connexions sécurisées via VPN. Ces solutions doivent impérativement prendre en charge les standards de sécurité actuels comme TLS 1.3 et l’authentification multifactorielle (MFA).

  •  Surveiller les comportements anormaux et créer une traçabilité complète

Des connexions inhabituelles, en dehors des heures normales ou depuis des lieux inattendus, peuvent indiquer une compromission. Une surveillance comportementale continue, couplée à une analyse automatisée, doit s’appliquer à tous les utilisateurs, y compris ceux qui accèdent directement aux mainframes. Un système de gestion des identités et des accès (IAM) bien intégré permet non seulement d’appliquer des règles d’accès strictes, mais aussi de générer des journaux d’audit détaillés pour détecter les incidents et répondre aux obligations de conformité.

  • Collaborer avec des fournisseurs responsables sur toute la chaîne

Les fournisseurs de logiciels doivent eux aussi garantir la sécurité de leurs produits tout au long du cycle de développement. Toute faille dans leur code peut ouvrir une brèche dans le système. Il est essentiel de s’assurer qu’ils appliquent des pratiques de sécurité robustes, de la conception au déploiement, et qu’ils suivent l’évolution des obligations réglementaires.

Longtemps considérés comme hors de portée, les mainframes sont désormais exposés aux mêmes risques que le reste du paysage informatique. Leur importance n'est plus un bouclier, c'est une responsabilité. Ce qui compte désormais, ce n'est pas seulement la façon dont ils sont construits, mais aussi la façon dont ils sont maintenus, accédés et surveillés au fil du temps.