Le groupe OTRS a cessé de supporter ((OTRS)) Community Edition (CE) fin 2020. Depuis, aucun correctif ni mise à jour n’a été publié pour combler les vulnérabilités existantes.
La version gratuite du système de tickets continue malgré tout d’être reprise par des prestataires non autorisés du marché gris. Ces développements ne sont pas approuvés par OTRS Group et reposent sur un système ancien, privé depuis des années de mises à jour de sécurité professionnelle.
Pourtant, de nombreuses organisations utilisent encore ((OTRS)) Community Edition, en minimisant ou en ignorant les risques. Pour certains, l’absence de mises à jour peut sembler un risque acceptable, mais cette façon de penser est très éloignée de la réalité.
En réalité, c’est tout l’inverse : exploiter ((OTRS)) Community Edition constitue probablement une violation du Règlement Général sur la Protection des Données (RGPD), qui exige que les logiciels respectent les standards de sécurité les plus récents. Or CE accuse déjà plus de cinq ans de retard.
La pertinence de la sécurité
Il est aujourd’hui urgent pour les entreprises de mettre en place des normes et des pratiques de cybersécurité robustes. Pourtant, des enquêtes récentes montrent qu’une minorité seulement de professionnels de la sécurité estiment leur organisation réellement prête à gérer des incidents. Cette situation est préoccupante, d’autant que les menaces se multiplient.
En d’autres termes : les entreprises font face à de plus en plus de menaces, mais restent insuffisamment préparées.
La protection des données commence par la sensibilisation à la sécurité. Maintenir une vigilance constante et mettre en œuvre des mesures adaptées sont indispensables pour contrer les attaques externes et protéger les informations sensibles.
Pourquoi ((OTRS)) Community Edition pose problème
Le problème majeur de ((OTRS)) Community Edition réside dans l’absence de fonctionnalités de protection essentielles. Dans certains cas, de graves vulnérabilités de sécurité persistent. Le logiciel présente donc une surface d’attaque importante, incompatible avec les exigences actuelles de sécurité et de conformité.
Malgré les avantages du logiciel open source, l’utilisation de ((OTRS)) Community Edition est ici fortement déconseillée. Les raisons sont claires : obsolescence technologique, protection des données insuffisante et absence de mises à jour de sécurité coordonnées et fiables.
Les déficits causés par l’utilisation de ((OTRS)) Community Edition
Plusieurs déficits de sécurité découlent de l’utilisation de ((OTRS)) Community Edition. Voici les plus importants et critiques :
- Vulnérabilités non corrigées : les failles et faiblesses ne sont plus comblées de façon professionnelle. Même connues, elles restent ouvertes, laissant le champ libre aux attaquants.
- Surface d’attaque pour la cybercriminalité : les cybercriminels peuvent exploiter ((OTRS)) Community Edition pour espionner, manipuler ou voler les données. Dans certains cas, ils peuvent aller jusqu’à prendre le contrôle complet du système.
- Non-conformité au RGPD : traiter les données personnelles avec ((OTRS)) Community Edition représente un risque juridique majeur. Le logiciel et ses mesures de sécurité ne répondent pas aux normes actuelles. L’utiliser revient donc à enfreindre le Règlement Général sur la Protection des Données (RGPD).
Cela expose non seulement à des risques d’accès non autorisés et de perte de données, mais nuit également à la réputation de l’entreprise. Cela peut entraîner des conséquences juridiques, comme des amendes.
En résumé, les entreprises qui continuent d’utiliser l’ancien ((OTRS)) Community Edition prennent un risque considérable.
Ni une exploitation conforme au RGPD, ni une protection des données sensibles ne peuvent être assurées. Aux problèmes techniques viennent s’ajouter de sérieuses incertitudes juridiques.
Pourquoi les forks n’apportent pas une sécurité suffisante
Depuis l’arrêt du groupe OTRS, plusieurs forks indépendants sont apparus. Ce sont les prestataires du marché gris mentionnés plus haut. Leur travail repose sur le code source de ((OTRS)) Community Edition. Ils proposent leurs propres évolutions et correctifs.
Néanmoins, ils ne peuvent pas garantir la sécurité de ((OTRS)) Community Edition d’origine, comme le montrent les points suivants :
- Chaque fork doit découvrir et corriger lui-même les vulnérabilités d’OTRS CE. Il n’existe pas de processus de sécurité centralisé et fiable.
- Les mises à jour de sécurité apparaissent souvent tardivement.
- Les forks évoluent chacun dans des directions différentes (sans approche coordonnée), ce qui oblige les entreprises à dépendre d’une communauté durable et digne de confiance.
Les avantages de sécurité d’OTRS moderne
À l’inverse, la version moderne d’OTRS offre des mises à jour régulières et cohérentes (correctifs, avis de sécurité). Elle intègre en continu de nouvelles fonctionnalités et des améliorations. Elle propose également un accompagnement professionnel complet, incluant la sécurité, la conformité et d’autres enjeux stratégiques.
Les clients bénéficient de l’expertise de spécialistes aguerris, capables d’assurer un environnement conforme, sécurisé et fiable. C’est pourquoi les organisations ayant de fortes exigences en matière de cybersécurité et de conformité font confiance à OTRS.
En résumé : les organisations doivent entamer sans tarder la transition vers OTRS afin d’éviter des incidents de sécurité et des conséquences juridiques.
