Cybersécurité des entreprises : et s’il était plus intelligent d’utiliser des logiciels libres ?

Les logiciels libres, en vogue du fait de leur fonctionnement de collaboratif, résistent aussi bien que les logiciels propriétaires aux cyberattaques. Mais sont-ils à la portée de toutes les entreprises ?

En 2000, seules quelques entreprises utilisaient des logiciels libres. Vus comme des magnets à bugs, ces logiciels qui peuvent être utilisés, modifiés et redistribués sans restriction n’inspiraient pas confiance. Aujourd’hui, en France, ils sont presque partout.

« Le modèle de l’open source a pris une telle ampleur que la majorité, sinon toutes les solutions, viennent de l’open source, soit parce qu’elles ont été conçues en open source soit parce qu’elles utilisent des blocs de logiciel libre », rappelle Hervé Lemaitre, CTO de Red Hat, leader de l’édition de solutions logicielles open source. D’après une étude du CNLL (Conseil National du Logiciel Libre), le marché s’élevait en 2017 à 4,5 milliards d’euros.

Faut-il conclure de cette adoption massive que le logiciel libre a prouvé sa résistance aux cyberattaques ?

L’open source dans l’air du temps

Ce ne sont pas des problématiques de cybersécurité, ni même de prix, qui poussent à l’adoption de logiciels libres. Les entreprises s’y intéressent parce qu’elles apprécient les valeurs qu’ils véhiculent : collaboration, transparence et échange… Une philosophie recherchée par les entreprises à l’ère de l’open innovation et des nouvelles organisations du travail, explique Hervé Lemaitre. Et pour de bonnes raisons.

« La puissance co-créatrice de milliers de personnes est plus forte que celle d’une entreprise », ajoute Stefane Fermigier, coprésident du CNLL. La preuve : c’est de l’open source que sont nées de nombreuses innovations majeures de ces dernières années comme le cloud, la blockchain, les API. Les personnes interviewées s’accordent toutes sur un point : aujourd’hui, les logiciels les plus innovants, ceux qui évoluent le plus vite, viennent de l’open source. « Les entreprises ont une appétence pour l’innovation plus forte que jamais, il est donc logique qu’elles s’intéressent plus aux logiciels libres », continue Hervé Lemaitre.

C’est ce qui a motivé la Société Générale. « Nous avons une stratégie « open source first » afin de favoriser l’innovation. Nous devons démontrer qu’une solution propriétaire n’a pas d’équivalent open source avant de la prendre », explique Xavier Lofficial, directeur de la transformation des processus et des systèmes d’information de la Société Générale. Utiliser des logiciels libres permet d’autre part à la banque, d’attirer des ingénieurs de très haut niveau qui préfèrent travailler en open source.

Les logiciels libres, RGDP-friendly

Si tant de sociétés font confiance aux logiciels libres, c’est qu’elles ne croient plus que la « sécurité par l’obscurité » promue par les éditeurs de logiciels propriétaires soit la seule option. Cacher son code n’empêche pas les hackeurs de trouver des failles, estime Stéfane Fermigier du CNLL. Des bons pirates pourront toujours se procurer le code d’un logiciel, que cela soit en l’obtenant sous le manteau ou en le reconstituant grâce à leurs outils.

Premier événement européen sur le sujet, l’édition 2017 du Paris Open Source Summit a réuni plus 5 000 participants et participantes. Image de Paris Open Source Summit

Les logiciels propriétaires ne sont donc pas à l’abri des attaques de cybersécurité, pire ils ne peuvent pas y répondre aussi rapidement que les logiciels libres. Seul l’éditeur pourra repérer et réparer les brèches de sécurité, explique Hervé Lemaitre de Red Hat. A l’inverse, le code des logiciels libres est accessible à tous et analysé de façon quasi permanente par les contributeurs et contributrices. Les failles devraient donc être détectées rapidement.


Lire aussi : Mais qu’est-ce que GitHub, cette entreprise que Microsoft a racheté 7,5 milliards de dollars ?

« Les logiciels en open source sont tout aussi sécurisés, sinon plus, que les logiciels propriétaires” continue-t-il “car le code, créé aux yeux de tous, ne peut pas contenir de failles volontaires ou malveillantes ». Linux compte ainsi moins de vulnérabilités que les systèmes d’exploitation propriétaires de Microsoft et Apple, explique Stéfane Fermigier du CNLL. De fait, ces logiciels codés dans le respect du privacy by design respectent les standards techniques en vigueur et la RGDP.

Identifier les bons logiciels libres

Mais attention, tous les logiciels libres ne sont pas logés à la même enseigne. Il existe des millions de logiciels libres, continue Stéfane Fermigier. Ceux qui ne sont pas très populaires ne sont pas revus fréquemment, les failles mettent donc plus longtemps à être repérées et réparées.

Un logiciel sûr devra avoir obtenu les normes et certifications nécessaires, mais ce n’est pas tout. Pour Xavier Lofficial de la Société Générale, il faut faire attention à la vitalité, au dynamisme et à la taille de l’écosystème d’un framework avant de l’adopter. Un logiciel qui n’a pas reçu de contributions depuis un certain temps est mort : personne ne repèrera les failles ou ne proposera de mises à jour.

Une maison d’édition ou une entreprise peuvent faire revivre le logiciel. Leur travail sur le logiciel peut, d’ailleurs, avoir un effet boule de neige et attirer plus de développeurs et développeuses, permettant ainsi au logiciel d’être updaté régulièrement sans que l’entreprise porte toute la responsabilité de la maintenance.

Les logiciels libres, accessibles à toutes les entreprises ?

Si Xavier Lofficial encourage toutes les entreprises à utiliser des logiciels libres, il met en garde. « Les logiciels libres sont des logiciels comme les autres, il faut s’y connaitre en SI pour bien les choisir, les intégrer et les maintenir. »

Les entreprises ont plusieurs options. Elles peuvent se tourner vers des éditeurs de logiciels libres comme Red Hat pour acheter des logiciels sécurisés clé en main et obtenir l’accompagnement nécessaire dont elles ont besoin pour adapter ces logiciels à leurs besoins, les intégrer aux systèmes en place et surtout les maintenir. Les entreprises peuvent aussi faire appel à des ingénieurs en logiciels libres pour repérer et choisir les meilleures solutions, et/ou développer une solution pour l’entreprise à partir de blocs en open source.

Si, et seulement si, les entreprises ont un SI compétent qui maîtrise le sujet, elles peuvent intégrer des logiciels et développer leurs en interne. Il faut avoir une certaine maîtrise du sujet, insiste Stéfane Fermigier, mais surtout faire preuve de discipline : si un bulletin de sécurité est publié, il faut faire les mises à jour.

Après les accidents de cybersécurité à grande échelle de 2017, les tollés provoqués par les fuites de données personnelles et le pression de la RGDP, les entreprises ne peuvent plus se permettre de traiter la cybersécurité à la légère. Faire appel à l’esprit collaboratif de l’open source pourrait bien être un début de réponse.

Image d’en-tête par DeanDrobot

La rédaction HOW

par L'ADN

Linkedin

A lire aussi

La communauté des leaders de l'innovation

Innovating in good company

Rejoignez-nous