Il y a des milieux (rares, je pensej'espère) où les mises à jour de sécu se préparent pendant 10 ans (si, si).

Lionel Debroux (./1373) :
D'un autre côté, cet état d'esprit "il faut que ça ait été testé pendant des mois" est incompatible avec les mises à jour de sécurité des logiciels existants qui sont bourrés de vulnérabilités, il est donc néfaste et doit mourir.

Avant de vouloir faire de la sécurité informatique, il faut quand même faire une étude de risques.

Si elle montre que les probabilités d'être attaqué ou que les conséquences d'une telle attaque sont faibles, plus faibles en tout cas que des interruptions de services (ou les bugs) qui seraient plus fréquentes à cause des mises à jour de sécu, ça n'a pas d'intérêt de faire de la sécu.
C'est comme les tests unitaires : ça n'a pas de sens de perdre du temps sur du code dans lequel un bug n'a aucune conséquence notable.

Après, il faut bien soigner son étude de risque
N'importe quelle boîte peut se faire attaquer, pour plein de raisons différentes (ransomware, concurrent, employé mécontent, victime collatérale, ou même victime qui sert d'exemple pour la dissuasion informatique, …).