Le déploiement des logiciels open source en entreprise permet d’obtenir plusieurs avantages, notamment : un contrôle supplémentaire sur les données, un audit de tout le système afin d’examiner les différentes manipulations de données et une adaptation du système pour qu’il soit conforme aux politiques de sécurité. La part de l’open source dans le parc logiciel des entreprises devrait poursuivre sa croissance, ce qui impose de se pencher sur la sécurité des solutions libres. L’EPSI vous présente des éclairages sur l’open source et la protection des données en entreprise.
Avant d’envisager la mise en place d’une solution open source, chaque entreprise est tenue de dresser la liste de ses données sensibles qui sont sujettes à la confidentialité. Ces données peuvent être :
L’open source représente en France plus de 10 % du marché des logiciels et services IT. Les entreprises qui utilisent les logiciels de libre accès se répandent largement en raison des alternatives viables aux logiciels propriétaires. Mais pour des soucis de sécurité, l’adoption des logiciels open source est dénoncée par plusieurs décideurs. Pourtant, aucune des deux solutions n’est par défaut plus sûre que l’autre, et d’autres facteurs sont identifiés en matière de protection des données.
En effet, Internet fonctionne en grande partie avec des logiciels open source et les projets les plus actifs de ce modèle bénéficient d’une large communauté active qui réagit rapidement. Il existe plusieurs outils et bases de données qui tracent les vulnérabilités dans les bibliothèques open source. De plus, la plupart des éditeurs des logiciels libres d’entreprise protègent leurs clients de manière proactive par des programmes d’avis de sécurité et des politiques de patch. Par ailleurs, la confidentialité est essentiellement une question de contrôle, et les entreprises optant pour des solutions open source sont responsables d’examiner leur sécurité. Les responsables informatiques peuvent dans ce sens concéder une partie du contrôle de leurs données aux éditeurs de logiciel ou fournisseurs de services cloud.
L’édition 2020 de l’étude de Sonatype, un éditeur d’une plateforme de gouvernance, se fonde sur des données publiques appartenant à divers sondages auprès de développeurs. Les attaques de nouvelle génération enregistrent selon l’enquête une nette augmentation (+ 430 %). Parmi elles, on retrouve les injections de code malveillant ainsi que toutes les attaques dites « par anticipation ». Pour y remédier, la détection nécessite un certain temps : selon les répondants à l’enquête, 48 % des organisations mettent plus d’une semaine à apprendre l’existence d’une faille. Ensuite, l’intervention ne se fait pas avant au moins une semaine dans plus de la moitié des cas (51 %).
Par ailleurs, l’étude Sonatype dégage deux groupes du côté des entreprises utilisatrices de l’open source, en fonction de deux paramètres : la sécurité des projets et la productivité des équipes de développement. Le groupe le plus nombreux est moins avancé sur la productivité que sur la sécurité. Ses membres présentent un taux important de gestion, d’analyse des dépendances et d’automatisation des processus d’approbation. Ensuite, vient le groupe de ceux qui parviennent à associer productivité et gestion des risques. Ces professionnels du développement ont tendance à être rapidement opérationnels.
Les formations en informatique de l’EPSI ont pour vocation de former les futurs informaticiens de façon générale, mais aussi des spécialistes du logiciel libre. Découvrez notre proposition de parcours (BTS SIO, Bachelor, Ingénierie informatique) pour accompagner les mutations actuelles et les innovations futures en entreprise.