Cela fait de nombreuses années que l’ANSSI soutient le développement d’initiatives open source. En 2018, l’agence nationale pour la sécurité des systèmes d’information avait par exemple mis à la disposition de la communauté le code source de Clip OS, un système d’exploitation sécurisé. Un an plus tard, elle avait aussi dévoilé un concept de disque dur USB chiffré, WooKey, ou encore une app de messagerie piégée à des fins de formation en 2023. Mais jusqu’à présent, ses initiatives étaient assez isolées, sans réel cadrage et orientations stratégiques clairs. Ce n’est désormais plus le cas, avec l'annonce d’une doctrine open source en bonne et due forme.

« L’open source joue et doit continuer à jouer un rôle essentiel pour la maîtrise des solutions numériques, la sécurisation des chaînes logicielles, la protection et la résilience des systèmes d’information et des communs numériques, et le soutien aux technologies et solutions innovante », explique l’Anssi. Elle explique ainsi désormais défendre par défaut le principe d’ouverture des codes sources et des données et a livré un plan d’action en quatre axes : publier des logiciels cybersécurité à code ouvert, contribuer à des projets extérieurs de cette nature et renforcer cet écosystème, ainsi qu’utiliser des solutions open source.

Renforcement des liens avec l'écosystème

Dans le cadre des évolutions annoncées, on retiendra le choix de l’agence de préférer notamment des licences permissives, en particulier Apache 2.0, afin de limiter les restrictions imposées sur la réutilisation du code source (y compris dans un cadre commercial. « L’investissement de l’Anssi dans l’open source ne se fait pas de façon isolée, mais en lien avec de nombreux acteurs de l’écosystème numérique », assure l’agence. Cela va des administrations centrales et territoriales aux OIV/OSE en passant par les fournisseurs, le monde académique, la Dinum ou encore des agences similaires en Europe comme la BSI allemande ou encore l’agence européenne pour la cybersécurité (Enisa).

« La contribution de l’agence à des projets open source publics lui permet aussi de démultiplier son action », indique l’agence. Et de préciser que cela diminue la charge de travail de ses équipes en évitant de reproduire des adaptations spécifiques en parallèle des évolutions publiques d’un projet. Ou encore de renforcer la sécurité d’un produit ou de ses fonctionnalités«  Par exemple pour un outil de sécurité, le travail bénéficie non seulement aux ministères et aux opérateurs d’importance vitale mais également aux partenaires de l’agence et à l’ensemble de la communauté des utilisateurs », fait savoir l’Anssi.