La souveraineté numérique n’est plus seulement un objectif stratégique optionnel pour les entreprises européennes, mais une exigence de conformité. Les différents cadres réglementaires en vigueur (NIS2, DORA, Cyber Resiliency Act au niveau européen, SecNumCloud au niveau local…) incluent des exigences précises en matière de transparence, de traçabilité et de réversibilité des infrastructures numériques.

Pour les intégrer à leur stratégie et se mettre en conformité, l’open source apparaît comme l’une des approches technologiques les plus viables pour les entreprises, car elle adresse trois piliers fondamentaux de la souveraineté numérique : offrir des solutions pour s’aligner avec la conformité réglementaire, faciliter la résilience opérationnelle et favoriser l’indépendance technologique. Le choix de l’open source, en plus d’aider à protéger les entreprises des risques réglementaires actuels, constitue une solution d’avenir sur le long terme.

Conformité réglementaire et obligations légales

L’Union européenne impose désormais un cadre réglementaire qui structure les choix technologiques des entreprises : NIS2 a pour objectif de minimiser les risques pour les SI des organisations essentielles (états, fournisseurs d’énergie ou télécoms) et impose une gestion auditable de la sécurité ; DORA, sa déclinaison pour les institutions financières, met en avant la résilience tant technique que opérationnelle et impose à ce titre de diversifier les fournisseurs tout en démontrant la réversibilité des briques de son SI ; enfin, le Cyber Resiliency Act (CRA) exige une cartographie exhaustive des composants logiciels, incluant leur cycle de vie et la mise à disposition des correctifs de sécurité.

Suivant leur secteur ou leurs enjeux en termes de souveraineté, les organisations et les entreprises peuvent être tenues de permettre un basculement rapide vers un autre prestataire de services en cas d’incident – ce qui nécessite d’éviter toute concentration chez un même fournisseur – ou encore à privilégier la portabilité des données et des applications dans un souci de réversibilité.

L’open source aide à répondre à ces obligations, car le code source ouvert permet l’auditabilité par des tiers indépendants; les licences encadrant l’usage de l’open source permettent également de continuer à utiliser les technologies indépendamment de l’existence d’un contrat de support avec des éditeurs ; enfin, la nature même du logiciel open source et la mise à disposition d’outils spécifiques facilitent grandement l’inventaire et l’audit des composants logiciels fréquemment exigés dans le cadre des réglementations.

Résilience opérationnelle et indépendance technologique

Les entreprises considérées comme critiques – notamment le secteur bancaire dans le contexte de DORA – ont l’obligation d’intégrer la notion de risques liés aux fournisseurs, et donc à éviter de concentrer leurs actifs informatiques auprès d’un seul opérateur de cloud, afin d’éviter de subir une interruption de service sur leurs activités.

Les exigences peuvent parfois être plus fortes, notamment pour les secteurs sensibles et critiques comme la défense, où les contraintes de sécurité et de souveraineté peuvent imposer de pouvoir continuer à fonctionner en cas de coupure totale d’internet, ce qui signifie que les services habituellement fournis par un cloud hyperscaler doivent pouvoir être répliqués en interne (mode “air-gapped”).

Une exigence que l’open source permet d’appliquer, car il fonctionne indépendamment d’une connexion internet ou d’une relation contractuelle avec un fournisseur, peut être déployé sur des datacenters souverains opérés par des prestataires européens, et offre une disponibilité technologique même si le fournisseur cesse ses activités.

Transparence, traçabilité et auditabilité

Sur le plan technologique, la souveraineté repose sur trois piliers : la transparence, la traçabilité et la réversibilité. Si les solutions propriétaires ne donnent pas l’accès au code source, limitant ainsi l’audit aux seuls comportements observables, les fournisseurs tout comme les utilisateurs ont beaucoup plus de difficultés à détecter les vulnérabilités cachées ; une opacité qui n’est pas acceptable pour les entreprises considérées comme critiques.

De son côté, l’open source permet l’auditabilité : le code est consultable par des tiers indépendants, les modifications sont documentées et traçables, et les vulnérabilités découvertes peuvent être corrigées sans devoir attendre la réaction du fournisseur.

Grâce à l’open source, les entreprises dont l’activité commerciale est centrée sur le logiciel peuvent également générer de façon automatique une cartographie complète de leurs composants applicatifs, une responsabilité qui leur incombe vis à vis de leurs clients et leurs utilisateurs selon les exigences du Cyber Resiliency Act, et ainsi identifier systématiquement les vulnérabilités.

Face aux risques de sécurité, aux exigences réglementaires toujours plus précises et strictes, et à la menace d’amendes prononcées par les autorités pour sanctionner les cas de non-conformité, les entreprises ont encore trop souvent tendance à choisir des solutions propriétaires. Si l’approche open source représente un territoire inconnu, notamment pour les organisations qui ne l’ont pas encore déployée et qui manquent de maturité en la matière, elle offre une véritable flexibilité.

L’Union européenne soutient d’ailleurs activement cette voie par des initiatives (notamment l’European Open Digital Ecosystem Strategy). Dans ce contexte, investir dans le logiciel open source, en particulier pour les organisations critiques et d’importance stratégique, permet de faire face aux risques réglementaires actuels et de demain.

*David Szegedi est Chief Architect – Field CTO Organisation chez Red Hat

The post { Tribune Expert } – Souveraineté numérique : le virage open source que les entreprises ne peuvent plus ignorer appeared first on Silicon.fr.