Le sujet n’est plus seulement de sécuriser les systèmes, mais de garder la main sur les briques qui les font tourner. Sous la pression de NIS2, DORA et du Cyber Resiliency Act, l’open source s’impose comme une réponse concrète aux besoins de résilience, de portabilité, d’autonomie et de souveraineté.
Plus qu’un simple levier de compétitivité, la souveraineté numérique constitue aujourd’hui une contrainte réglementaire incontournable pour les entreprises opérant en Europe. À travers des textes comme NIS2, DORA, le Cyber Resiliency Act ou le référentiel SecNumCloud, les autorités imposent des exigences précises portant sur la transparence, la traçabilité et la réversibilité des infrastructures numériques.. L’open source apparaît aujourd’hui comme l’une des voies technologiques les plus crédibles pour accompagner les entreprises dans leur démarche de conformité et de souveraineté numérique. Son intérêt réside dans sa capacité à répondre conjointement à 3 enjeux majeurs : l’autonomie technologique, la robustesse opérationnelle et l’adéquation aux cadres réglementaires en vigueur. Bien plus qu’une réponse aux contraintes du moment, ce choix technologique s’avère être une décision stratégique durable.
Anticiper plutôt que subir les conformités réglementaires
Avec NIS2, DORA et le Cyber Resiliency Act, l’Union européenne a posé les jalons d’un cadre réglementaire qui conditionne directement les choix technologiques des entreprises. NIS2 s’attache à réduire les risques qui pèsent sur les systèmes d’information des organisations critiques (États, fournisseurs d’énergies et opérateurs télécoms) en leur imposant une gestion de la sécurité traçable et auditable. DORA, pensé pour le secteur financier, place la résilience tant sur le plan technique qu’opérationnel, au cœur des obligations, contraignant les établissements à diversifier leurs fournisseurs et à prouver la réversibilité de leur infrastructure. Quant au Cyber Resiliency Act, il impose une vision exhaustive des composants logiciels déployés, englobant leur cycle de vie complet et les mécanismes de mise à disposition des mises à jour de sécurité.
Les exigences qui s’imposent aux organisations varient selon leur secteur d’activité et leurs enjeux de souveraineté. Certains doivent être en mesure de migrer rapidement vers un autre fournisseur en cas d’incident, ce qui suppose de ne pas concentrer l’ensemble de leurs services chez un acteur unique. D’autres se voient dans l’obligation de privilégier la portabilité de leurs données et de leurs applications, afin de conserver une véritable liberté de réversibilité.
L’open source apporte des réponses tangibles à ces obligations réglementaires, et ce à plusieurs niveaux. La disponibilité publique du code source rend possible l’intervention d’auditeurs indépendants, gage de transparence et de vérifiabilité. Les licences open source, de leur côté, assurent une continuité d’utilisation des technologies même en l’absence de relation contractuelle avec un éditeur. Quant à l’inventaire et à l’audit des composants logiciels, exigences de plus en plus présentes dans les textes réglementaires, ils se trouvent facilités par les caractéristiques propres aux logiciels open source et par les outils spécifiques mis à disposition à cet effet. .
Résilience opérationnelle : miser sur l’indépendance technologique
La concentration des actifs informatiques auprès d’un fournisseur cloud unique est désormais un risque que les entreprises critiques ne peuvent plus ignorer. Dans le secteur bancaire notamment, DORA impose explicitement la prise en compte des risques liés aux prestataires, contraignant les institutions financières à diversifier leurs opérateurs cloud pour prévenir tout risque d’interruption susceptible d’affecter la continuité de leurs activités.
Le niveau d’exigence peut s’avérer nettement plus élevé pour les domaines les plus sensibles. Dans le secteur de la défense, par exemple, les contraintes combinées de sécurité et de souveraineté peuvent aller jusqu’à imposer une capacité de fonctionnement en cas d’isolation totale du réseau internet. Les organisations concernées doivent alors être en mesure de répliquer en interne l’ensemble des services fournis par les grands opérateurs cloud, en recourant à une architecture dite « air-gapped ».
C’est précisément sur ce point que l’open source se distingue, son fonctionnement n’est conditionné ni à une connectivité internet ni à l’existence d’un contrat actif avec un fournisseur. Déployable sur des datacenters souverains gérés par des acteurs européens, il assure par ailleurs une pérennité technologique indépendante de la viabilité commerciale de son éditeur.
Le triptyque incontournable de la souveraineté numérique
Transparence, traçabilité et réversibilité forment les trois piliers sur lesquels repose la souveraineté technologique. Les logiciels propriétaires, en verrouillant l’accès au code source, cantonnent les audits à l’observation des comportements visibles, ce qui complique considérablement l’identification de failles dissimulées, aussi bien du côté des fournisseurs que des utilisateurs. Pour les entités critiques, une telle opacité est tout simplement inacceptable.
L’open source fait de l’auditabilité un principe fondateur : le code est ouvert à l’examen de tiers indépendants, chaque modification est documentée et peut être retracée, et les vulnérabilités identifiées n’ont pas à attendre la réponse d’un fournisseur pour être corrigées. Pour les sociétés éditrices de logiciels, il offre également la possibilité de produire de manière automatisée une cartographie exhaustive de leurs composants applicatifs, une responsabilité que le Cyber Resiliency Act leur impose envers leurs clients et utilisateurs, facilitant ainsi une identification méthodique et continue des failles potentielles.
Les risques de sécurité, la rigueur croissante des obligations réglementaires et la perspective d’amendes pour non-conformité n’ont pas suffi à faire évoluer les réflexes : les entreprises optent encore trop souvent pour des solutions propriétaires. L’approche open source, bien qu’elle puisse représenter un saut dans l’inconnu pour les organisations peu matures sur le sujet ou n’ayant pas encore franchi le pas, n’en demeure pas moins une source de flexibilité réelle et tangible .Cette trajectoire bénéficie par ailleurs d’un soutien institutionnel fort de la part de l’Union européenne, qui promeut activement l’open source à travers des dispositifs tels que l’European Digital Ecosystem Strategy. Pour les entités critiques et celles présentant un caractère stratégique, s’engager dans l’open source constitue ainsi une solution cohérente et durable face aux risques réglementaires, tant ceux d’aujourd’hui que ceux qui se dessinent pour l’avenir.
________________________________
Par David Szegedi, Chief Architect – Field CTO Organisation, Red Hat
puis