Animé par l’excellent Nicolas Diaz, le premier atelier du deuxième jour du Forum International de la Cybersécurité 2014 portait sur le logiciel libre. Je pensais y entendre des choses naïves (les débats et prises de paroles déconnectés du business sont légion depuis hier) mais j’ai été surpris par la profondeur des intervenants et leur attachement au monde de l’entreprise.
Alors… quel retour d’expérience, d’implémentation et de gestion de ces logiciels libres a-t-on récolté lors de cette session ?
logiciel libre/open source : avantages
La première chose qui m’a frappé a été l’engouement général du panel pour les logiciels libres et/ou open source, que ce soit en termes de philosophie, intérêt économique et efficacité pure et simple.
Très vite sont ressortis plusieurs points :
- Primo, les logiciels open source étant ouverts, détecter les failles et l’auditer en général est possible et la communauté de testeurs fait donc avancer les choses rapidement, sécurise le code plus avant. Et pour la partie faillible du code, les limite et faiblesses sont connues.
- D’un point de vue économique, les logiciels libres ramènent moins d’argent dans les caisses de la communauté cybersécurité (comparativement aux logiciels propriétaires) mais, puisqu’ils remplissent mieux leur mission (cf point #1), c’est plus intéressant pour la communauté sécurité en général. Un meilleur produit moins cher… que demande le peuple ?
logiciel libre/open source : inconvénients
En revanche, en termes d’implémentation, plusieurs difficultés ont fait leur apparition :
- Le modèle économique : si le logiciel est libre, alors il faut pouvoir vendre du service à côté (par exemple). Et ça ne marche pas dans tous les cas. Certains ont aussi mentionné la présence de plusieurs offres (pro versus libre), solution qui n’a pas non plus marché. Bref, le modèle économique est une question essentielle et souvent gênante dans cette histoire…
- Le manque de contribution au logiciel : sans un nombre critique de contributeurs, le logiciel ne peut pas retirer suffisamment de sa communauté et, au final, reste « troué » car pas assez testé, recoupé, etc. De la même manière, sans contribution financière (par une fondation par exemple), pas de développement pour le projet souhaité.
conclusion : intéressant mais loin de la panacée
Sans fédération de la communauté nécessaire à la bonne vie du projet, le logiciel libre et/ou open source n’arrivera nulle part. Il est aussi nécessaire de penser les coûts et le business model sous peine de foncer dans le mur.
Dans le même genre, il est obligatoire d’avoir une vision claire et précise de la direction dans laquelle on veut aller sous peine de ne pas attirer les fonds (externe ou interne).
Ceci étant dit, l’open source permet d’ajouter une belle brique de confiance et d’efficacité à la sécurité. C’est donc une démarche très intéressante à mettre en place mais elle ne doit pas être « naïve »…
Rémi
Copyright photo : © bahrialtay - Fotolia.com
Les autres articles/vidéos du #FIC2014 :