Contact

L’ANSSI formalise sa doctrine Open Source : ouverture par défaut et préférence pour Apache 2.0

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a annoncé la formalisation de sa doctrine Open Source. Jusqu’ici portée par des contributions et projets isolés, cette stratégie devient un cadre cohérent et officiel. L’agence affirme désormais défendre l’ouverture par défaut des codes sources et des données, et présente un plan d’action structuré pour soutenir et amplifier l’utilisation et le développement de logiciels libres dans le paysage national et européen.

Contexte et antécédents

L’ANSSI n’est pas novice en la matière : elle a déjà publié plusieurs projets open source, parmi lesquels Clip OS (distribution Linux sécurisée), WooKey (concept de clé USB chiffrée en open hardware) et une application de messagerie pédagogique publiée sur GitHub. Ces initiatives démontraient un engagement pratique ; la nouvelle doctrine vise à leur donner une assise stratégique et opérationnelle.

Principes et axes d’action

  • Principe général : ouverture par défaut des codes et des données.
  • Préférence de licences : l’ANSSI privilégie les licences permissives, en particulier Apache 2.0, afin de limiter les contraintes de réutilisation (y compris commerciale) et favoriser l’adoption large.

Plan d’action en quatre axes :

  1. Publier des logiciels de cybersécurité en code ouvert.
  2. Contribuer à des projets open source externes.
  3. Renforcer l’écosystème (partenariats, communauté, gouvernance).
  4. Utiliser davantage de solutions open source dans ses propres pratiques.

Renforcement des coopérations

L’agence entend travailler étroitement avec l’ensemble des acteurs du numérique : administrations centrales et territoriales, opérateurs d’importance vitale (OIV/OSE), fournisseurs, monde académique, la DINUM et homologues européennes (par exemple la BSI allemande ou ENISA). L’objectif est de mutualiser les efforts, éviter les développements parallèles inutiles et renforcer la sécurité des outils communs.

Bénéfices attendus

  • Meilleure maîtrise des solutions numériques et transparence.
  • Amélioration de la sécurité des chaînes logicielles via l’audit public et la collaboration.
  • Résilience accrue des systèmes d’information grâce à la diversité et à la robustesse des contributions communautaires.
  • Efficience : réduction des redondances de développement et mutualisation des correctifs et évolutions.

Points d’attention et défis

  • Gouvernance et maintenance : publier du code n’est que la première étape ; il faudra garantir des modèles de maintenance, des engagements (SLA) et des ressources pour assurer la pérennité.
  • Choix de licence : la préférence pour Apache 2.0 facilite la réutilisation, mais peut poser des questions pour ceux qui privilégient les licences copyleft (ex. GPL) pour préserver certaines libertés.
  • Risques liés à la chaîne d’approvisionnement : l’open source aide à la transparence, mais nécessite des compétences et des outils pour auditer, suivre et sécuriser les dépendances.
  • Écosystème : le succès dépendra de la capacité à fédérer une communauté active (contributeurs, entreprises, administrations).

Ce que cela signifie pour les entreprises et administrations

  • Revoir et adapter les stratégies d’achats et d’intégration logicielle pour tirer parti des solutions open source.
  • Investir dans les compétences internes d’audit et de gestion des dépendances.
  • Contribuer et s’impliquer davantage dans les projets communautaires utiles à leur secteur pour influencer la feuille de route et sécuriser les usages.
  • Anticiper les enjeux contractuels et juridiques liés aux licences.

Conclusion

La doctrine Open Source de l’ANSSI marque une étape importante : après des contributions ponctuelles, l’agence pose un cadre stratégique invitant à une adoption plus large et structurée de l’open source pour la cybersécurité et les systèmes d’information. Si la démarche promet des bénéfices (transparence, sécurité, mutualisation), son succès dépendra des modalités de gouvernance, de maintenance et du renforcement de l’écosystème autour des projets publiés.

Source

Article original : « L’ANSSI formalise sa doctrine Open Source » — Le Monde Informatique, 13 février 2026
https://www.lemondeinformatique.fr/actualites/lire-l-anssi-formalise-sa-doctrine-open-source-99352.html