Contact

L’ANSSI formalise sa doctrine Open Source : Apache 2.0 privilégiée et stratégie en 4 axes

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a officialisé sa doctrine Open Source : ouverture des codes et des données par défaut, préférence pour des licences permissives (notamment Apache 2.0) et plan d’action en quatre axes pour publier, contribuer, renforcer l’écosystème et utiliser des solutions open source. Ce positionnement structurel marque une évolution majeure après plusieurs initiatives isolées (Clip OS, WooKey, app de formation…).

Contexte et annonce

Depuis plusieurs années l’ANSSI publie et soutient des projets open source. Jusqu’ici ces initiatives étaient nombreuses mais peu cadrées. L’agence a désormais formalisé une doctrine qui fait de l’open source un pilier stratégique pour la maîtrise des solutions numériques, la sécurisation des chaînes logicielles, la protection et la résilience des systèmes d’information ainsi que pour le soutien aux communs numériques.

Les orientations clés

  • Principe général : ouverture par défaut des codes sources et des données.
  • Licence préférée : licences permissives pour limiter les contraintes de réutilisation, avec une mise en avant particulière d’Apache 2.0.
  • Plan d’action en quatre axes :
    1. Publier des logiciels de cybersécurité à code ouvert.
    2. Contribuer à des projets open source existants et multiplier les apports dans l’écosystème.
    3. Renforcer l’écosystème (collaboration avec administrations, OIV/OSE, fournisseurs, monde académique, DINUM et agences européennes comme la BSI ou ENISA).
    4. Utiliser des solutions open source dans ses propres activités.

Exemples passés (rappel)

L’ANSSI a déjà mis à disposition plusieurs travaux : Clip OS (distribution Linux sécurisée), WooKey (concept de disque dur USB chiffré), ainsi qu’une application de messagerie utilisée à des fins pédagogiques et partagée sur GitHub sous licence Apache 2.0. Ces réalisations illustrent l’intérêt pratique de l’open source pour l’agence.

Pourquoi ce choix ? Avantages attendus

  • Transparence et auditabilité : le code ouvert facilite les revues de sécurité et la détection de vulnérabilités.
  • Mutualisation des efforts : contributions partagées évitent les duplications et réduisent la charge de maintenance.
  • Résilience et confiance : un écosystème actif améliore la robustesse des solutions et accélère les correctifs.
  • Adoption et interopérabilité : les licences permissives facilitent l’intégration commerciale et institutionnelle.

Points de vigilance et recommandations

  • Gestion des dépendances et de la chaîne d’approvisionnement logicielle : la publication n’est pas suffisante ; il faut mettre en place des processus de maintenance, de veille des vulnérabilités et de gestion des versions.
  • Gouvernance et responsabilité : clarifier qui maintient quoi, comment sont traités les problèmes de sécurité et quelles contributions sont acceptées.
  • Choix de licence : privilégier Apache 2.0 pour son équilibre entre ouverture et protection juridique, mais évaluer au cas par cas (compatibilités, objectifs de réutilisation).
  • Sensibilisation et montée en compétence : accompagner les administrations et les entreprises locales pour savoir intégrer et contribuer efficacement à des projets open source.

Impacts pour les organisations publiques et privées

  • Administrations : opportunité de mutualiser des outils sécurisés et d’éviter les développements redondants.
  • Entreprises (fournisseurs, intégrateurs) : nouvelle dynamique de collaboration avec l’ANSSI, potentielle accélération des cycles d’innovation mais aussi exigence accrue en matière de conformité et sécurité.
  • Communauté open source : renforcement des contributions françaises et européennes, meilleure visibilité et crédibilité des projets portés par des acteurs publics.

Que faire maintenant ? (suggestions d’action pour un lecteur IT / RSSI)

  • Faire un inventaire des logiciels et dépendances : cartographier ce qui est open source dans votre SI.
  • Mettre en place ou renforcer la SLSA / SBOM / gestion des vulnérabilités : processus de suivi des composants.
  • Évaluer la réutilisation de projets ANSSI et contribuer : lire les licences, tester et proposer des contributions.
  • Définir une politique interne d’usage et de publication open source : licences, gouvernance, ressources.

Source

Article original : L’ANSSI formalise sa doctrine open source — LeMondeInformatique.fr