Assises de la Sécurité : et l'Open Source ?
Publié par La rédaction le - mis à jour à
Une table ronde animée des Assises de la sécurité a permis d'évoquer les apports de l'Open Source en matière de sécurité et ses rapports avec les solutions propriétaires. Extraits.
Difficile d'ignorer aujourd'hui le rôle de l'Open Source les systèmes informatiques et dans la sécurité.
Olivier Guilbert, président d'IdealX : « Depuis plus de 10 ans, nous assistons à des bouleversements profonds qui ont fait qu'aujourd'hui l'Open Source est un logiciel comme les autres qui répond aux besoins des entreprises. L'Open Source est généralement encapsulé avec le système de l'entreprise et propose un service qui n'est pas différent pour l'entreprise. »
Sylvère Léger, RSSI AGF : « Le RSSI sait qu'il y a de l'Open Source si on le lui dit. En fait, cela dépend de la politique de l'entreprise de trouver la meilleure solution pour la meilleure parade. »
« Sur les infrastructures, sur le Web, Goglu par exemple est construit sur des solutions Open Source qui représentent de véritables alternatives aux solutions propriétaires. Et l'Open Source est un standard du marché dans certains domaines, à l'exemple d'Apache. »
Pour autant, peut-on aller sans soucis vers l'Open Source ?
OG: « Nous assistons à une évolution de la perception de l'intérêt pour l'Open Source et vers la verticalisation des solutions. Les administrations ont permis d'accélérer fortement son déploiement et de valider sa maturité. »
SL : « C'est un ticket d'entrée souple et réduit qui permet un déploiement dans le temps et d'accepter les contraintes d'intégration fortes mais peu dépendantes dans les petites structures. »
OG : « L'Open Source permet la verticalisation de nombreux composants avec une approche du logiciel à bas coût, mais les entreprises ne se sont pas encore adaptées à cette nouvelle donne dans leurs processus d'achat. »
« Il y a encore un décalage entre le prix de marché et les coûts préalables à l'acquisition des solutions. Les frais d'évaluation avant projet sont encore très élevés. »
Mais peut-on faire de la sécurité avec des produits ouverts et dont on ne maîtrise généralement pas le code ?
Hervé Schauer, consultant fondateur de HSC : « Les solutions propriétaires sont liées au support et à la plate-forme. Il faut déjà désactiver le durcissement de la sécurité pour les installer sur le poste. Le logiciel libre permet en revanche de choisir le support, il apporte une liberté de choix dans la maintenance du logiciel. »
« La sécurité avec un code propriétaire est très difficile. Un code propriétaire est lié à la vente de licences, avec un marketing des nouveautés tous les six mois, un marketing uniquement destiné à faire payer le client. »
« Le libre est développé dans le calme, le plaisir, avec un code volontairement compréhensible par tous. Et même les logiciels propriétaires exploitent des logiciels libres dans leurs développements. Mais faire un audit des sources est beaucoup plus difficile sur du propriétaire, tandis qu'un audit de confiance est plus facile sur le l'Open Source. »
« Mais dans la réalité, l'audit du code est une vue de l'esprit. Il faut comprendre l'application avec des gens du métier et dialoguer avec les développeurs, ce qui est plus rapide qu'avec des développeurs classiques. En fait, un audit de sécurité va directement là où ça fait mal. »
A ce propos, les méthodes de développement ont-elles évolué ?
OG : « On reprochait assez souvent à l'Open Source de manquer d'ergonomie, de ne pas être documenté et de subir peu de tests. Aujourd'hui, l'ergonomie a évolué vers de vraies interfaces utilisateurs. Nous nous chargeons de le documenter. Et le système de testing a fait l'objet d'un grand chantier. »
« Après la mutualisation des projets complexes et coûteux à développer, nous assistons à l'émergence d'un nouveau modèle plus fiscal que de mutualisation. »
SL : « La sécurité est contenue dans l'application et maintenue par un nombre limité de développeurs. Le risque n'est pas différent dans le libre ou le propriétaire. En revanche, le dialogue s'effectue plus naturellement avec une société qui a développé son produit qu'avec un éditeur qui apporte sa solution packagée. »
Et la certification ? Va-t-on vers une certification de l'Open Source pour jouer à armes égales ?
OG: « La certification, c'est l'inverse du loto : ça coûte cher mais ça ne rapporte pas gros ! Il n'y a pas de retour sur investissement dans la certification. Ca a du sens sur le hardware, comme les cartes à puces, en revanche ça n'a pas de sens sur le software, en dehors des processus. »
« La certification est extrêmement théorique et complexe, mais sans intérêt et impossible à maintenir avec les nouvelles versions. Un certificat d'il y a quatre ans n'est plus applicable sur une version d'aujourd'hui. »
HS : « Les gens parlent beaucoup de certification, mais pas sur des critères communs. Il faudrait mieux certifier l'exploitant ! »
SL » Je ne me sens pas trop concerné. Ca dépend des conditions d'agrément. Dans la réalité, le critère de sécurité maximale c'est une machine éteinte dans une pièce fermée. Aujourd »hui, on a tendance à choisir le solution qui a été choisie par les autres, ce qui est plutôt rassurant ! »
OG : « On peut en revanche se demander si un logiciel a été conçu dans une optique de sécurité ? C'est le cas avec Linux. »
Comment fonctionne la cohabitation entre Open Source et propriétaire ?
OG : « Elle est aujourd'hui une réalité de facto. Celui qui en revanche n'utilise pas d'Open Source paye trop cher et ferait mieux de revoir sa politique ! Surtout que l'Open Source respecte les standards pour les échanges. »
Et la maintenance des systèmes opérationnels ?
OG : « C'est le métier des prestataires. Il faut s'adresser à des gens compétents qui proposent le même niveau de maintenance et de support que le propriétaire qui propose des solutions packagées. »
SL : « Je compléterais en remarquant qu'on ne peut plus laisser aux collaborateurs la liberté d'installer des applications. »
Comment se comporte l'Open Source à présent ?
OG : « Il faut raisonner en flux, pas en stock. Les nouveaux projets sont très orientés sur l'Open Source, mais ils doivent encore faire face à plus de 20 ans de logiciels propriétaires. »
HS : « Et faire face au monopole du géant. La plupart du monde est 'Microsoft shop' intégral ! Pour la confiance un système doit être ouvert. Ce n'est pas le cas du propriétaire, qui est plus coûteux et complexe à acquérir. Si on fait un peu d'analyse de risque, on a raison d'avoir vraiment peur avec une solution propriétaire jusqu'au bout des ongles. »
« Le vrai danger aujourd'hui vient des gens qui mettent en place des systèmes ouverts, qui ont accès à tous les outils intégrés dans toutes les solutions.«