digitemis 
Sécurité offensive
Gouvernance & conformité
Protection des données
Souvent perçu comme une relique technologique, le mainframe reste pourtant l’épine dorsale des organisations les plus critiques au monde. Banques, assurances, industries, administrations : ces systèmes traitent chaque jour des milliards de transactions et concentrent les données les plus sensibles. Pourtant, leur sécurité est rarement auditée avec la rigueur qu’ils méritent. Décryptage d’un angle mort majeur de la cybersécurité.
Le mainframe n’est pas mort, il n’a jamais été aussi vivant
Il y a trente ans, certains analystes prédisaient la disparition des mainframes d’ici la fin du siècle. La prophétie ne s’est jamais réalisée. Bien au contraire.
Aujourd’hui, plus de 70 % des entreprises du Fortune 500 utilisent des mainframes IBM Z pour leurs opérations critiques. Selon IBM, ces machines gèrent environ 68 % des « production IT workloads » mondiales et traitent près de 90 % des transactions par carte bancaire, pour une part des coûts IT estimée entre 6 et 8 % selon le périmètre mesuré. Le mainframe fait tourner l’économie mondiale, discrètement, mais massivement.
Le marché lui-même ne ment pas. Selon le cabinet Mordor Intelligence, sa valeur est estimée à 5,65 milliards de dollars en 2026 et devrait atteindre 7,54 milliards d’ici 2031. Et loin de se cantonner à un rôle de conservation, les mainframes modernes intègrent l’intelligence artificielle directement dans leur architecture : le processeur IBM Telum II du z17 exécute 450 milliards d’inférences IA par jour, permettant la détection de fraude en temps réel sans que les données ne quittent jamais le système.
Dans le secteur financier, l’enquête BMC Mainframe Survey 2025 confirme que la grande majorité des répondants considèrent le mainframe comme une plateforme stratégique à long terme – un niveau de confiance qui n’a cessé de progresser au fil des vingt éditions de l’enquête.
Alors pourquoi parle-t-on si peu de leur sécurité ?
Le mythe de l’inviolabilité
Le mainframe bénéficie d’une réputation de forteresse. Et cette réputation n’est pas usurpée : son architecture centralisée, ses couches de chiffrement matériel, sa disponibilité légendaire (99,999 % de temps de fonctionnement) en font objectivement l’une des plateformes les plus sûres du marché. Les incidents de sécurité publiquement rapportés impliquant des mainframes restent rares par rapport aux autres environnements.
Mais cette solidité structurelle a engendré un effet pervers : un excès de confiance. Beaucoup d’organisations considèrent que leur mainframe est « incassable » et lui consacrent moins d’attention sécuritaire qu’à leurs autres environnements. C’est précisément là que le risque se cristallise.
Les évaluations de sécurité menées par des cabinets spécialisés révèlent un décalage frappant : certaines organisations mettent en œuvre des stratégies de défense en profondeur, tandis que d’autres maintiennent des configurations insuffisantes pour des infrastructures bien moins critiques. Pire encore : dans la majorité des évaluations, les RSSI disposent d’une visibilité limitée sur la posture de sécurité de leurs mainframes, en raison de silos organisationnels historiques. Le RSSI connaît parfaitement l’état de ses firewalls, de ses endpoints, de son cloud – mais son mainframe reste un angle mort.
Les menaces réelles qui pèsent sur les mainframes
Si le mainframe est intrinsèquement robuste, il n’est pas exempt de vulnérabilités. Et l’écosystème dans lequel il évolue a profondément changé.
L’ouverture aux environnements hybrides
Le mainframe d’aujourd’hui ne fonctionne plus en vase clos. Il est connecté au cloud, exposé via des API, intégré dans des architectures hybrides. Or, cette ouverture multiplie les surfaces d’attaque. Sur l’ensemble des évaluations menées par un cabinet spécialisé, une seule organisation avait effectivement isolé son environnement mainframe du reste de son réseau. Chaque connecteur cloud, chaque API, chaque intégration cross-plateforme crée un vecteur d’attaque potentiel que les contrôles traditionnels du mainframe ne couvrent pas toujours.
Des identifiants de connexion encore trop faibles
C’est sans doute le problème le plus embarrassant du monde mainframe. Historiquement, l’authentification RACF par mot de passe classique est limitée à 1–8 caractères, avec un jeu restreint de caractères spéciaux. Des « password phrases » plus longues existent et peuvent être déployées, mais leur activation dépend des choix de configuration de chaque organisation – et dans la pratique, beaucoup d’environnements en restent au mot de passe court historique. Les applications mainframe ont été développées à une époque où la surface d’attaque des cybercriminels était infiniment plus réduite.
Or, les identifiants compromis restent le premier vecteur d’intrusion dans les entreprises. 95 % des violations de cybersécurité comportent une composante d’erreur humaine. L’authentification multifacteur progresse dans les environnements mainframe, mais son déploiement reste limité – bien en dessous de ce qui est standard sur d’autres systèmes.
Les vulnérabilités logicielles existent bel et bien
z/OS est-il moins vulnérable que d’autres systèmes d’exploitation ? Objectivement, oui. Mais cela ne signifie pas qu’il est exempt de failles. Des CVE affectent régulièrement z/OS et les composants de l’écosystème IBM ; l’enjeu principal est la capacité de chaque organisation à suivre les bulletins éditeur et à maintenir un cycle de correctifs adapté.
La menace interne, souvent sous-estimée
Les administrateurs de sécurité disposent d’un accès complet aux systèmes mainframe, mais certaines banques ne sont pas en mesure de surveiller quand ces comptes à privilèges sont utilisés, modifiés ou détournés. Un administrateur malveillant – ou simplement négligent – pourrait accéder à des données financières clients, modifier des enregistrements de transactions ou désactiver des contrôles de sécurité sans déclencher d’alerte.
C’est un paradoxe : les mainframes, conçus pour être ultra-sécurisés, sont parfois les systèmes les moins supervisés de toute l’infrastructure IT.
La gestion des identités et des accès : le nerf de la guerre
Au cœur de la sécurité du mainframe, la gestion des identités et des accès (IAM) constitue le premier rempart – et souvent le maillon faible.
Sur z/OS, l’accès aux ressources passe systématiquement par une interface de sécurité appelée SAF (System Authorization Facility). Trois produits dominent le marché pour implémenter cette couche : RACF d’IBM (le standard de facto), ACF2 et TopSecret de Broadcom. Ces outils assurent l’identification des utilisateurs, le contrôle des accès et, dans une certaine mesure, la traçabilité des actions.
Mais une IAM efficace ne se résume pas à installer un produit. Elle exige une gouvernance rigoureuse qui réponde à trois questions fondamentales : qui a le droit de faire quoi, à quel moment, et pour quelles raisons ? Dans la pratique, les audits révèlent régulièrement des comptes dormants jamais révoqués, des droits d’accès accordés par commodité plutôt que par nécessité, des mots de passe partagés entre opérateurs, et une absence de revue périodique des habilitations.
Le principe du moindre privilège – n’accorder à chaque utilisateur que les droits strictement nécessaires à l’exercice de sa fonction – est un fondamental de la sécurité. Sur le mainframe, il est trop rarement appliqué avec rigueur.
Dans le secteur financier, 58 % des organisations utilisent la surveillance des utilisateurs à privilèges sur leurs mainframes – un taux bien supérieur aux administrations publiques ou aux entreprises technologiques, mais qui signifie aussi que plus de 40 % des institutions financières ne surveillent toujours pas les comptes les plus sensibles de leur infrastructure la plus critique.
Chiffrement des données et menace quantique
Les données sensibles hébergées sur un mainframe doivent être protégées à chaque instant : au repos, en transit et en cours de traitement. Les mainframes modernes excellent dans ce domaine, avec des capacités de chiffrement matériel intégrées directement dans l’architecture du processeur. Le chiffrement dit « pervasif » permet de protéger automatiquement l’ensemble des données sans impact significatif sur les performances. Les cartes cryptographiques dédiées assurent la génération de clés, le chiffrement et la signature avec une protection inviolable.
Mais disposer des capacités techniques ne suffit pas. Encore faut-il les activer, les configurer correctement et vérifier régulièrement qu’elles couvrent l’ensemble du périmètre. C’est précisément ce que les audits de sécurité permettent de contrôler.
L’informatique quantique représente par ailleurs une menace à moyen terme pour la cryptographie traditionnelle. Les algorithmes actuels de chiffrement asymétrique (RSA, ECC) pourraient être compromis par un ordinateur quantique suffisamment puissant. Les mainframes de dernière génération intègrent déjà des algorithmes de cryptographie post-quantique. Mais l’adoption reste marginale : très peu d’organisations utilisant des mainframes ont entamé cette transition à ce stade. C’est un sujet d’audit à part entière pour toute organisation qui manipule des données à longue durée de vie.
La conformité réglementaire : un moteur et une obligation
La sécurité du mainframe ne relève pas uniquement de la bonne pratique technique. Elle est de plus en plus encadrée par des obligations réglementaires strictes.
Le règlement européen DORA impose aux entités financières des exigences concrètes en matière de résilience opérationnelle numérique. Les mainframes, en tant que socle des opérations transactionnelles, sont directement concernés. DORA exige notamment la définition d’objectifs de délai de reprise (RTO) et de point de reprise (RPO) pour les fonctions critiques, ainsi que la capacité à restaurer les systèmes avec un temps d’arrêt minimal (article 12) – et le manque d’intégration du mainframe dans les plans de résilience est un facteur de non-conformité que nous constatons régulièrement.
La directive NIS2 étend les obligations de cybersécurité à un nombre considérablement plus large d’organisations et de secteurs. Le mainframe, en tant qu’infrastructure critique, entre de plein droit dans ce périmètre.
La norme PCI DSS encadre la protection des données de paiement. Étant donné que les mainframes traitent l’écrasante majorité des transactions par carte, la conformité PCI DSS passe nécessairement par une sécurisation rigoureuse de l’environnement mainframe : authentification multifacteur, chiffrement, correctifs de sécurité, segmentation réseau.
Le RGPD protège les données personnelles qu’elles soient en cours d’utilisation ou stockées, et exige que toute information personnelle identifiable ne soit accessible qu’aux personnes ayant un besoin légitime. Or, les mainframes concentrent souvent des volumes considérables de données personnelles.
Les exigences issues de PCI DSS, SOX, RGPD et de normes émergentes comme DORA accélèrent le renforcement des contrôles de sécurité sur les mainframes, même si le rythme d’adoption reste plus lent que prévu.
Auditer la sécurité du mainframe : une démarche structurée
Face à ces enjeux, l’audit de sécurité du mainframe n’est pas un luxe : c’est une nécessité stratégique. Mais il exige des compétences rares, à l’intersection de l’expertise mainframe et de la cybersécurité offensive.
Audit de configuration
L’audit de configuration examine la manière dont le mainframe est paramétré : les règles de sécurité RACF (ou ACF2/TopSecret), les politiques d’accès, les paramètres système, les configurations réseau. Il s’agit de vérifier que les bonnes pratiques sont effectivement implémentées et que les configurations par défaut – souvent trop permissives – ont été durcies. Un audit rigoureux passe au crible les politiques de mots de passe, les profils d’accès aux datasets critiques, les règles de contrôle d’accès aux régions CICS et IMS, les paramètres SMF pour la traçabilité, et la configuration des interfaces réseau.
Tests d’intrusion mainframe
Le test d’intrusion est l’épreuve de vérité. Il consiste à simuler des attaques réelles contre l’environnement mainframe : exploitation des failles de configuration RACF, tentatives d’élévation de privilèges via TSO/ISPF, attaques sur les régions CICS, extraction de données non autorisée, et recherche de chemins d’accès latéraux entre le mainframe et les systèmes distribués.
Ce type de test nécessite des compétences très spécifiques. Les auditeurs doivent maîtriser z/OS, JCL, REXX, les mécanismes internes de RACF, les protocoles TN3270, VTAM, et les spécificités de l’écosystème IBM Z. C’est précisément cette rareté de compétences qui explique que beaucoup d’organisations n’ont jamais fait auditer la sécurité de leur mainframe.
Renforcer la sécurité de vos mainframes : les actions prioritaires
Plutôt qu’un inventaire théorique, voici les actions concrètes que nous recommandons systématiquement à l’issue de nos missions d’audit.
Appliquer rigoureusement le principe du moindre privilège
Chaque compte utilisateur ne doit disposer que des droits strictement nécessaires à sa fonction. Une revue des habilitations doit être menée au minimum annuellement.
Intégrer le mainframe au SIEM
Les enregistrements SMF produits par z/OS contiennent une mine d’informations de sécurité. Mais encore faut-il qu’ils soient transmis, analysés et corrélés avec les événements des autres systèmes. Si la plupart des organisations réussissent à transmettre les enregistrements SMF vers leur SIEM, l’analyse des alertes et la réponse aux incidents restent souvent en deçà de ce qui est pratiqué pour d’autres technologies.
Maintenir un programme de gestion des correctifs
Comme tout système d’exploitation, z/OS fait l’objet de correctifs de sécurité réguliers. Ne pas les appliquer, c’est laisser des portes ouvertes à des vulnérabilités documentées et parfois activement exploitées.
Planifier la transition vers la cryptographie post-quantique
Les données chiffrées aujourd’hui avec des algorithmes classiques pourront être déchiffrées demain par un ordinateur quantique. Les organisations qui manipulent des données à longue durée de vie doivent évaluer leur exposition et planifier leur migration cryptographique.
Inclure le mainframe dans les plans de résilience
Trop d’organisations excluent encore le mainframe de leurs plans de continuité d’activité et de reprise après sinistre. C’est un risque majeur, en particulier dans le contexte de DORA.
Former les équipes
La conformité et la sécurité arrivent en tête des priorités des organisations dotées de mainframes pour la sixième année consécutive, mais les compétences pour les mettre en œuvre sont rares. L’investissement dans la formation interne et le recours à des experts externes sont complémentaires et indispensables.
Généraliser l’authentification multifacteur
C’est la mesure la plus rentable en termes de réduction du risque. Chaque accès au mainframe doit être protégé par au minimum deux facteurs d’authentification. Les solutions du marché permettent d’ajouter cette couche en amont de RACF sans refonte de l’existant.
Faire appel à un prestataire d’audit qualifié
La sécurité du mainframe se situe à l’intersection de deux expertises rares : la maîtrise de l’écosystème z/OS et la méthodologie d’audit de cybersécurité. Peu de prestataires réunissent les deux.
Chez Digitemis, nous intervenons sur l’ensemble du périmètre de sécurité des systèmes d’information, y compris les environnements mainframe. Notre qualification PASSI LPM, au niveau élevé et sur l’ensemble des cinq portées (audit organisationnel et physique, audit d’architecture, audit de configuration, audit de code source et tests d’intrusion), atteste que nos méthodes d’audit répondent aux exigences les plus strictes, y compris sur les systèmes d’information d’importance vitale (SIIV) des opérateurs d’importance vitale (OIV).
Cette qualification n’est pas un label de confort. Elle signifie que chaque mission est conduite selon un cadre méthodologique validé par l’ANSSI, avec des auditeurs dont les compétences ont été évaluées au niveau élevé.
Nous accompagnons plus de 650 organisations – grands comptes, ETI, secteur public – sur les volets technique, organisationnel et réglementaire de la cybersécurité. Nos équipes interviennent en toute indépendance : nous ne vendons pas de solutions technologiques, nous ne sommes pas juge et partie. Notre rôle est de vous donner une vision claire, factuelle et actionnable de votre niveau de sécurité.
Vous êtes RSSI, DSI, responsable GRC ou directeur des systèmes d’information et vos mainframes n’ont jamais fait l’objet d’un audit de sécurité approfondi ? Vous devez répondre à des exigences réglementaires (DORA, NIS2, PCI DSS, RGPD) sur un périmètre qui inclut des environnements z/OS ? Contactez nos équipes pour cadrer ensemble le bon type d’audit selon votre contexte et votre analyse de risques.