Ah mais si, il faut absolument installer les mises à jour de sécurité au plus vite, même pour les centrales nucléaires (je connais) et autres éléments critiques
Comment ça, il n'y a pas de support sécurité pour les machines des années 1970-1980 qui sont en DS1 et DS2 ?
Ma remarque que vous citez, dans la ligne de la phrase précédente, concernait davantage le côté développement du code (où quelles que puissent être leurs qualités, Rust et Go ne pourront avoir aucune chance avec un logiciel de pensée obsolète "mais il ne faut pas que ça bouge pendant des mois" alors qu'il y a une nouvelle release majeure toutes les quelques semaines, et des mises à jour de sécurité plus fréquentes que ça - c'est sûr que mieux vaut rester sur du C/C++, utiliser un compilo antédiluvien, ne jamais mettre à jour les dépendances externes...) que le côté déploiement en production, sans filtre, des mises à jour de sécurité.
Ceci étant dit, on sait que le côté production ne va pas du tout. J'ai tendance à penser que l'impact des régressions dues à des mises à jour de sécurité est sur-estimé (sur des dizaines de machines Linux et des années, la plupart dans des DMZ Internet où il faut donc faire un peu attention, je ne me souviens vraiment pas de grand chose de ce type; si ça a cassé indirectement du code peu sûr qui dépendait d'autre code, c'est une bonne occasion de le corriger), et le coût de ne pas faire les mises à jour de sécurité est sous-estimé - bref, l'étude de risque est mal faite.
En lisant les news, on entend parler des responsables de production qui perdent des jours de production, et des données indispendables, à cause d'un ransomware qui a pu s'installer parce que le réseau n'est pas architecturé (tout à plat, ou presque), et que le parc n'est pas géré, et que des machines vulnérables à EternalBlue, BlueKeep et autres vulnérabilités critiques corrigées depuis des mois à des années n'ont jamais été patchées. L'impact de ce genre d'événements (probabilité plus ou moins élevée * gros dégâts) est élevé. Je ne sais plus la proportion, mais pour les PME, une attaque de ransomware ou une exfiltration de données sont un coup très dur, sinon fatal à la structure. Tout ça a un coût, qui est mal pris en compte et mal géré...