Où en est l’Open Source ? C’est la question que beaucoup se posent aujourd’hui, partagés entre les idées reçues et les déploiements éprouvés. Son attrait ne fait pourtant aucun doute au regard des sommes investies par IBM, Microsoft et SalesForce pour s’offrir respectivement des éditeurs de logiciels libres leaders tels que Red Hat (34 Md$), GitHub (7,5Md$) et MuleSoft (5,9 Md$). Sans oublier les récentes introductions en bourse de technologies Open Source d’entreprises comme Elastic ou MongoDB. Ses promesses d’innovations et de flexibilité attirent déjà certaines grandes entreprises comme BMW qui mise largement dessus pour améliorer ses services embarqués. Pourtant, nombre de sociétés restent encore sceptiques, rebutées par ses soi-disant manques de sécurité, sa complexité, et le besoin de nouveaux talents en informatique. Alors qui a raison ? Qui a tord ? Entre mythe et réalité, il est temps de voir où en est l’Open Source aujourd’hui, de faire le tour des idées reçues et de vérifier les affirmations.

Avant de commencer, il est bon de refaire un point sur ce qu’est l’Open Source : un logiciel libre et distribué sous une licence qui autorise ses utilisateurs à accéder, à modifier et à en partager gratuitement le code source pour l’enrichir ou l’améliorer. Passons maintenant aux idées reçues.

Mythe 1 : l’Open Source, c’est gratuit !

Non, l’Open Source n’est pas gratuit. S’il induit un concept de libre accès, soutenu par l’Open Source Initiative (OSI), la qualité d’’Open Source’ est attribuée à tout logiciel satisfaisant à dix critères parmi lesquels sa libre redistribution, la disponibilité de son code source, l’autorisation d’oeuvres dérivées (fork) et l’intégrité du code source de l’auteur. Les logiciels Open Source sont certes gratuits, mais pour les utiliser efficacement, et en comprendre et exploiter la technologie, il peut être nécessaire de constituer une équipe dédiée ou d’adopter un fournisseur de services externe. Ces coûts sont à anticiper lors de l’utilisation de l’Open Source.

Il est évident que le faible coût d’usage fait partie des éléments les plus attrayants de l’Open Source. Mais le développement de logiciels, même en Open Source, représente des coûts “cachés” ou indirects que l’éditeur finance sur la base d’un retour sur investissement. Il est donc important de bien comprendre le modèle économique d’un éditeur de logiciel dans l’Open Source afin d’éviter les mauvaises surprises ultérieures.

Mythe 2 : le support Open Source n’existe pas !

Contrairement au mythe, plusieurs fournisseurs et partenaires, dont certains leaders comme IBM, se sont spécialisés pour assurer le support et l’accompagnement dans le domaine de l’Open Source. Certains se sont regroupés en communauté d’experts, comme c’est le cas de l’Open Business Alliance qui fédère une grande partie de l’écosystème du logiciel libre avec plus de 30 partenaires, experts, TPE et PME du logiciel libre en France et à l’étranger. L’Open Business Alliance a vocation à offrir aux grandes administrations et grands comptes privés un savoir-faire complet dans le domaine de l’Open Source, de l’expertise au support sur plus de 400 logiciels libres.

Enfin, plusieurs solutions existent pour assurer un support efficace. D’abord, les ressources internes d’une entreprise peuvent suffire à maîtriser la version gratuite de logiciels Open Source simples. Ensuite, si les produits sont plus complexes et nécessitent un travail d’expert, une entreprise doit choisir un distributeur/prestataire capable d’assurer l’intégration, le support et les services annexes. Cette solution peut parfaitement être transitoire, le temps pour le client de faire monter en compétences ses propres ressources. Dans tous les cas, le client peut souscrire à une offre de support auprès de l’éditeur du logiciel libre lui-même ou d’une société tierce. Et au vu du développement de l’Open Source, il existe une réponse à chaque besoin.

Mythe 3 : l’Open source n’est pas sécurisé !

Les solutions Open Source apportent les mêmes garanties en matière de sécurité que des solutions propriétaires.

Le domaine de la sécurité Open Source mérite cependant une attention particulière car l’accès élargi aux programmes sources y est quasi systématique. Il est donc absolument nécessaire de pouvoir auditer ce qu’un programme fait vraiment, et cela ne peut se faire qu’en analysant ses sources. Et cette règle vaut, que ce programme soit Open Source ou non. En effet, certains éditeurs non Open Source acceptent de livrer les codes sources à leurs clients, après signature d’un accord de non-divulgation. Mais il est un autre argument qui rend l’Open Source indispensable et fortement conseillé : le peer review, qui est la validation d’un programme par des pairs, c’est-à-dire par d’autres experts. S’il y a une faille, elle est rapidement identifiée par ceux-ci et connue. Le peer review en Open Source apparaît comme le meilleur moyen de s’approcher de la perfection.

Un problème de fond subsiste cependant en matière de sécurité dans le paysage Open Source : seuls 25 % des responsables de maintenance du code source libre informent les utilisateurs des vulnérabilités et seulement 10 % déposent un CVE (Common Vulnerabilities and Exposures*), permettant pourtant un partage des informations publiques relatives aux vulnérabilités de sécurité*. Le manque de communication, y compris dans le monde de l’Open Source, continue de contribuer à des menaces de sécurité de longue date qui pourraient pourtant être corrigées par quelques mesures simples.

Donc pour résumer quand il s’agit d’Open Source, les apparences peuvent être trompeuses et mieux vaut ne pas s’y fier d’autant plus que ce dernier devient incontournable. Les GAFAM ne s’y sont d’ailleurs pas trompés. Ils ont tous utilisé des outils open source et sont des contributeurs massifs aux fondations open source. Même Microsoft cofinance la fondation Linux. La quasi-totalité des outils et la plupart des projets de la révolution numérique sont open source : le Bitcoin, Ethereum, les outils de base de l’intelligence artificielle (souvent sous les langages Python ou Rust), les outils de traitement Big Data (comme le noSQL…). Mieux vaut donc passer au dessus de ses aprioris et accorder à l’Open Source le crédit qu’il mérite dans l’entreprise.

(*) Le dictionnaire agrégé CVE est maintenu par l’organisme MITRE, soutenu par le département de la Sécurité intérieure des États-Unis.