Open Source : Entre Souveraineté et Défis de Maintenance, l’Équation Complexe de l’ANSSI

En février 2026, l’ANSSI a réaffirmé sa doctrine open source, encourageant les entreprises et administrations à privilégier les solutions libres pour garantir leur souveraineté numérique et la transparence du code. Si l’intention est louable, la réalité opérationnelle sur le terrain se heurte à un mur de complexité que les solutions éditeurs (propriétaires) parviennent souvent à gommer par leur modèle commercial.

1. Ce que préconise l’ANSSI : La sécurité par la transparence

Pour l’ANSSI, l’Open Source n’est pas plus sûr par nature, mais il permet une auditabilité que le logiciel propriétaire interdit. Ses recommandations (notamment via le guide Les Essentiels – Sélection d’un logiciel libre) s’articulent autour de trois axes :

• La maturité du projet : Vérifier l’historique, la fréquence des commits et la réactivité face aux CVE (vulnérabilités).
• Le Maintien en Condition de Sécurité (MCS) : S’assurer qu’un processus clair de correction des failles existe.
• L’autonomie : Éviter les dépendances à des acteurs soumis à des lois extra-territoriales.

2. Le défi du suivi des mises à jour : Qui est responsable ?

C’est ici que le bât blesse pour beaucoup d’entreprises. Contrairement à un éditeur classique (Microsoft, Cisco, Fortinet, HPe, PaloAlto Networks, etc.) qui pousse les correctifs et assume la responsabilité contractuelle du support, l’Open Source impose une responsabilité partagée.

• Le Best Effort communautaire : Si une faille critique apparaît sur une bibliothèque utilisée par votre solution métier, rien ne garantit que le bénévole à l’autre bout du monde publiera un patch dans l’heure.
• La gestion des dépendances : Une solution Open Source repose souvent sur des dizaines de sous-projets. Le suivi de ce mille-feuille logiciel demande des outils de SCA (Software Composition Analysis) et une veille constante que peu d’entreprises peuvent assumer.

3. Le facteur humain : La pénurie de compétences « Pointues »

Adopter de l’Open Source, c’est passer d’un modèle de consommation à un modèle de maîtrise. Cela exige des compétences humaines spécifiques, rares et coûteuses :

En interne : Les gardiens du temple

L’entreprise doit disposer d’experts capables de lire le code, de compiler les sources et de configurer finement les outils. Là où une solution éditeur s’installe souvent avec un « Suivant-Suivant-Terminer », l’Open Source demande une compréhension de l’architecture système. En 2026, la tension sur ces profils (DevSecOps, Administrateurs Linux) reste extrême.

En externe : L’intégrateur comme bouclier

Pour pallier le manque de ressources internes, les entreprises se tournent vers des intégrateurs. Mais cela déplace le problème :

• Le coût du support : Le gratuit de la licence est souvent remplacé par un contrat de maintenance élevé.
• La dépendance au prestataire : Si l’intégrateur perd son expert sur la solution X, l’entreprise se retrouve avec une boîte noire qu’elle ne sait plus mettre à jour.

4. Comparatif : Solution Éditeur vs Open Source

Critère	Solution Éditeur (Propriétaire)	Solution Open Source
Responsabilité	Contractuelle (SLA)	Communautaire ou interne
Mises à jour	Automatisées / Centralisées	Manuelles ou via orchestration complexe
Coût initial	Licence élevée (CAPEX)	Faible ou nul (Open Core)
Coût de la Maintenance	Prévisible : Inclus dans le contrat de support annuel (souvent 15-22% du prix de la licence).	Variable & Élevé : Coût des experts internes (salaires) ou contrats d’infogérance spécialisés au ticket/heure.
Compétences	Spécifiques au produit (Certifications)	Généralistes et profondes (Système/Code)
Souveraineté	Risque de dépendance / Cloud Act	Maîtrise totale potentielle

Conclusion

L’Open Source est une voie royale vers la cyber-résilience, mais elle ne doit pas être empruntée par simple souci d’économie. Suivre les recommandations de l’ANSSI demande un investissement humain constant. Sans une équipe dédiée ou un partenaire capable de garantir un Maintien en Condition Opérationnelle (MCO), le logiciel libre peut devenir une dette technique et sécuritaire majeure.