L’open source et la protection des données d’entreprise

Les types de données sensibles des entreprises

Avant d’envisager la mise en place d’une solution open source, chaque entreprise est tenue de dresser la liste de ses données sensibles qui sont sujettes à la confidentialité. Ces données peuvent être :

  • Des informations sur les employés : comme les salaires, les numéros de sécurité sociale et les données personnelles (adresses de domicile et numéros de téléphone) ;
  • Des moyens d’accès aux données : comme les mots de passe, les jetons d’accès et les clés de cryptage ;
  • Des données sensibles à la concurrence : à savoir les documents légaux, les documents de propriété intellectuelle, les business model, les documents stratégiques et de planification ;
  • Des données réglementées : notamment les dossiers patients, les informations clients et les enregistrements comptables. Ces données sont spécifiques à un domaine d’activité et sont souvent protégées par des lois et des règlementations ;
  • Des données non réglementées : comme les conversations par messagerie, les présentations et les rapports produits par les employés en permanence.

Est-ce que l’open source favorise la sécurité des données ?

L’open source représente en France plus de 10 % du marché des logiciels et services IT. Les entreprises qui utilisent les logiciels de libre accès se répandent largement en raison des alternatives viables aux logiciels propriétaires. Mais pour des soucis de sécurité, l’adoption des logiciels open source est dénoncée par plusieurs décideurs. Pourtant, aucune des deux solutions n’est par défaut plus sûre que l’autre, et d’autres facteurs sont identifiés en matière de protection des données.

En effet, Internet fonctionne en grande partie avec des logiciels open source et les projets les plus actifs de ce modèle bénéficient d’une large communauté active qui réagit rapidement. Il existe plusieurs outils et bases de données qui tracent les vulnérabilités dans les bibliothèques open source. De plus, la plupart des éditeurs des logiciels libres d’entreprise protègent leurs clients de manière proactive par des programmes d’avis de sécurité et des politiques de patch. Par ailleurs, la confidentialité est essentiellement une question de contrôle, et les entreprises optant pour des solutions open source sont responsables d’examiner leur sécurité. Les responsables informatiques peuvent dans ce sens concéder une partie du contrôle de leurs données aux éditeurs de logiciel ou fournisseurs de services cloud.

Open source : une question d’implication des entreprises

L’édition 2020 de l’étude de Sonatype, un éditeur d’une plateforme de gouvernance, se fonde sur des données publiques appartenant à divers sondages auprès de développeurs. Les attaques de nouvelle génération enregistrent selon l’enquête une nette augmentation (+ 430 %). Parmi elles, on retrouve les injections de code malveillant ainsi que toutes les attaques dites « par anticipation ». Pour y remédier, la détection nécessite un certain temps : selon les répondants à l’enquête, 48 % des organisations mettent plus d’une semaine à apprendre l’existence d’une faille. Ensuite, l’intervention ne se fait pas avant au moins une semaine dans plus de la moitié des cas (51 %).

Par ailleurs, l’étude Sonatype dégage deux groupes du côté des entreprises utilisatrices de l’open source, en fonction de deux paramètres : la sécurité des projets et la productivité des équipes de développement. Le groupe le plus nombreux est moins avancé sur la productivité que sur la sécurité. Ses membres présentent un taux important de gestion, d’analyse des dépendances et d’automatisation des processus d’approbation. Ensuite, vient le groupe de ceux qui parviennent à associer productivité et gestion des risques. Ces professionnels du développement ont tendance à être rapidement opérationnels.

Les formations en informatique de l’EPSI ont pour vocation de former les futurs informaticiens de façon générale, mais aussi des spécialistes du logiciel libre. Découvrez notre proposition de parcours (BTS SIO, Bachelor, Ingénierie informatique) pour accompagner les mutations actuelles et les innovations futures en entreprise.

Ces articles peuvent aussi vous intéresser