Pourquoi la sécurité de l’open source continue de faire débat ?

La sécurité est simultanément perçue comme l'un des principaux avantages de l'open source et l'une des principales barrières à son adoption. Explication.

Selon une récente étude dressant l'état des lieux de l'Open Source en entreprise, pour 29% des répondants, la sécurité est un argument décisif en faveur de l’adoption d’une approche open source. Au second rang, figure l'accès aux innovations les plus récentes (29%), et ce, juste après la baisse des coûts de détention des logiciels (33%) trônant en première position. La qualité des logiciels est quant à elle évoquée par 26 % des répondants.

Les solutions open source ont déjà conquis le cœur de nombreuses entreprises. Compte tenu de l'importance accordée à la sécurité par celles-ci, cela n’est pas surprenant. Ce qui est paradoxal, néanmoins, c'est que les entreprises interrogées pointent du doigt la sécurité comme étant le principale frein à l’adoption de l'open source en entreprise. Vous avez bien lu : la sécurité est simultanément perçue comme l'un des principaux avantages de l'open source et l'une des principales barrières à son adoption (38% des répondants). Cela signifie-t-il que les entreprises considèrent que la sécurité des logiciels open source est insuffisante ? Il semble que non. La réponse à la question sur les avantages va clairement dans l'autre sens. La raison sous-jacente, plus nuancée, est en fait une bonne nouvelle pour les entreprises misant sur l’open source. 

Le fournisseur : un tiers de confiance garant de la sécurité du logiciel open source 

Nous savons que les entreprises se préoccupent constamment des risques commerciaux et de la façon dont la sécurité peut contribuer à les atténuer. Les conseils d'administration et leurs membres - RSSI, directeurs financiers et autres - sont de plus en plus conscients de la nécessité d'évaluer le risque associé à leurs décisions, ce qui est particulièrement important pour le marché du logiciel. Pour une entreprise faisant appel à un fournisseur de logiciels traditionnels, c’est à dire propriétaires, il est aisé de se convaincre que ce risque est faible et de se rassurer en interrogeant régulièrement le prestataire sur ses méthodes de développement. Il s’agit pourtant d’une vision erronée de l’univers du logiciel qui présuppose que les fournisseurs de logiciels propriétaires sont autonomes et n'ont pas de dépendances. Or, cela est peu probable. Même si leur dépendance à des plateformes, des chaînes d'outils ou même des solutions open source n’est pas visible par l’utilisateur final du logiciel, elle existe bel et bien. La question de la qualité des logiciels est également prégnante, et justement, c’est un domaine où il est clair (pour 26% des répondants) que l'open source est considéré comme un meilleur modèle. 

Les experts en charge d’évaluer les risques associés aux choix des logiciels perçoivent l’open source comme étant un nuage de projets auxquels chacun peut contribuer, ce qui est une réalité. Malheureusement, ils supposent alors bien souvent que c'est ce "produit brut" qui est consommé par leur entreprise. Lorsque les entreprises décident d’exploiter des projets open source issus directement auprès des communautés, cela peut être une préoccupation valable. Cette approche ne devrait être une option que pour les entreprises disposant de ressources et d'expertises internes pour gérer et soutenir un tel modèle. Il existe par ailleurs des occasions de participer à l’effort communautaire, ce qui peut procurer des avantages importants. Les risques inhérents à l’adoption de cette pratique, bien entendu, doivent être soigneusement examinés en interne.

Toutefois, les logiciels d’entreprise open source issus de la communauté mais consolidés par un tiers de confiance, présentent les avantages supplémentaires que l'on peut attendre d'un logiciel d'entreprise. Ces bénéfices comprennent des contrats de support, un niveau de service, de la documentation, un cycle de vie prévisible - et long - et d'autres caractéristiques importantes pour les entreprises (intégration avec d'autres solutions, haute disponibilité ou options de résilience). L’éditeur peut également certifier le produit pour répondre à des normes spécifiques et fournir, entre autres, des services de formation et d'intégration.

Pour résumer, lorsqu’une entreprise mise sur une approche open source, c’est un produit qui est utilisé et non un projet. Aucun des avantages ci-dessus n'est spécifiquement lié à la sécurité mais combinés, ils contribuent à réduire le risque pour une organisation d'adopter un projet open source. Le principal avantage spécifique à la sécurité pour les logiciels d'entreprise open source est que le fournisseur du produit, qui apporte un soutien technique, est garant de la qualité et de la sécurité de ce dernier.

L’approche consistant à passer par un éditeur garantit le bon fonctionnement du logiciel open source au sein d’un environnement d'entreprise. L’éditeur propose des correctifs pour les failles de sécurité majeures avec davantage de réactivité que les éditeurs de solutions propriétaires. En effet, le fournisseur de logiciel open source peut s’appuyer sur l’ensemble de la communauté pour améliorer et résoudre les problèmes de sécurité.

Bien entendu, les logiciels open source ne sont automatiquement plus sécurisés que leurs pendants propriétaires. Néanmoins, l'implication des éditeurs de logiciels d'entreprise dans les projets open source implique l’accès à une communauté et donc à un nombre d’experts en sécurité beaucoup plus important que celui des éditeurs de logiciels propriétaires.

Pour conclure, la sécurité des logiciels d'entreprise open source est identifié à juste titre par les répondants comme un avantage clé. Les décideurs en prennent de plus en plus conscience. L'open source d'entreprise est un excellent levier pour faire face aux risques qui affectent les entreprises. Par conséquent, la sécurité ne devrait pas être une barrière mais un argument en faveur de l'adoption par les entreprises de l’open source.