Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

La sécurité par les logiciels libres, c’est possible ? #FIC2014

La sécurité par les logiciels libres, c’est possible ? #FIC2014
2014-01-222014-01-23Web/Techfr
quel retour d’expérience, d’implémentation et de gestion de ces logiciels libres a-t-on récolté lors de cette session ?
Publié le 22 Janvier 2014 par Rémi Kerhoas dans Web/Tech
impossible, possible

Animé par l’excellent Nicolas Diaz, le premier atelier du deuxième jour du Forum International de la Cybersécurité 2014 portait sur le logiciel libre. Je pensais y entendre des choses naïves (les débats et prises de paroles déconnectés du business sont légion depuis hier) mais j’ai été surpris par la profondeur des intervenants et leur attachement au monde de l’entreprise.

Alors… quel retour d’expérience, d’implémentation et de gestion de ces logiciels libres a-t-on récolté lors de cette session ?

logiciel libre/open source : avantages

La première chose qui m’a frappé a été l’engouement général du panel pour les logiciels libres et/ou open source, que ce soit en termes de philosophie, intérêt économique et efficacité pure et simple.

Très vite sont ressortis plusieurs points :

  1. Primo, les logiciels open source étant ouverts, détecter les failles et l’auditer en général est possible et la communauté de testeurs fait donc avancer les choses rapidement, sécurise le code plus avant. Et pour la partie faillible du code, les limite et faiblesses sont connues.
  2. D’un point de vue économique, les logiciels libres ramènent moins d’argent dans les caisses de la communauté cybersécurité (comparativement aux logiciels propriétaires) mais, puisqu’ils remplissent mieux leur mission (cf point #1), c’est plus intéressant pour la communauté sécurité en général. Un meilleur produit moins cher… que demande le peuple ?

logiciel libre/open source : inconvénients

En revanche, en termes d’implémentation, plusieurs difficultés ont fait leur apparition :

  • Le modèle économique : si le logiciel est libre, alors il faut pouvoir vendre du service à côté (par exemple). Et ça ne marche pas dans tous les cas. Certains ont aussi mentionné la présence de plusieurs offres (pro versus libre), solution qui n’a pas non plus marché. Bref, le modèle économique est une question essentielle et souvent gênante dans cette histoire…
  • Le manque de contribution au logiciel : sans un nombre critique de contributeurs, le logiciel ne peut pas retirer suffisamment de sa communauté et, au final, reste « troué » car pas assez testé, recoupé, etc. De la même manière, sans contribution financière (par une fondation par exemple), pas de développement pour le projet souhaité.

conclusion : intéressant mais loin de la panacée

Sans fédération de la communauté nécessaire à la bonne vie du projet, le logiciel libre et/ou open source n’arrivera nulle part. Il est aussi nécessaire de penser les coûts et le business model sous peine de foncer dans le mur.

Dans le même genre, il est obligatoire d’avoir une vision claire et précise de la direction dans laquelle on veut aller sous peine de ne pas attirer les fonds (externe ou interne).

Ceci étant dit, l’open source permet d’ajouter une belle brique de confiance et d’efficacité à la sécurité. C’est donc une démarche très intéressante à mettre en place mais elle ne doit pas être « naïve »…

Rémi

Copyright photo : © bahrialtay - Fotolia.com

Les autres articles/vidéos du #FIC2014 :

  1. sécurité des mobiles : le RSSI se casse toujours la tête
  2. le professeur Audenard au #FIC2014 - Jour 1 : DDoS, phishing, malwares, API et Cloud
  3. le professeur Audenard au #FIC2014 - Jour 2 : mots de passe, imprimante connectée et sensibilisation à la cybersécurité

2 Commentaires

  • 23 Janvier 2014
    2014-01-23
    par

    Bonjour Clément et merci du commentaire. On est bien d'accord : reconnaître le problème, c'est déjà l'avoir résolu à 50% !

    Rémi

  • 23 Janvier 2014
    2014-01-23
    par
    Clement
    Bonjour article intéressant.Il vaut mieux avoir conscience et voir des failles de sécurité (même si elles ne sont pas corrigées)que d'avoir confiance dans une boîte noire dite "sécurisé" propriétaire, dans lesquelles on découvre par la suite des portes dérobées.
    N'oublions pas que la perte de confiance est définitive.
    Je vous laisse méditer cette citation:
    "Rien n'est plus utile à l'Etat qu'une liberté connue et une surveillance cachée" Pierre Manuel Dupont de Nemours 1787.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage