Global Security Mag : Quelles tendances notez-vous sur le marché de l’open source ?

Mikael Barbero : L’une des tendances majeures que nous observons actuellement sur le marché de l’open source est l’explosion des initiatives autour de l’intelligence artificielle (IA). L’IA est au cœur des discussions, mais une question importante demeure : que signifie réellement "intelligence artificielle open source" ? L’Open Source Initiative (OSI), qui définit (https://opensource.org/osd) ce qu’est l’open source depuis 1998, travaille actuellement à préciser les contours de ce concept pour l’IA (https://opensource.org/deepdive/drafts/the-open-source-ai-definition-1-0-rc1).

Cette démarche est essentielle, car nous constatons aujourd’hui une montée du phénomène de "openwashing", où le terme "open" est utilisé de manière abusive pour profiter de la bonne image de l’open source sans offrir les libertés qui en constituent l’essence : la liberté de redistribution, de modification et d’utilisation du logiciel. Des entreprises présentent des projets comme étant "open" alors qu’en réalité, leur code n’est ni librement accessible ni modifiable par la communauté. C’est une dérive problématique, notamment dans un contexte où la transparence et la sécurité sont primordiales.

Ce lien entre l’IA et l’open source est d’autant plus important qu’il touche également au domaine de la cybersécurité. Il apparaît clair que l’intelligence artificielle sera utilisée, d’une façon ou d’une autre, pour améliorer la cybersécurité des logiciels et des systèmes. De la même manière que l’open source permet un examen minutieux et collaboratif du code pour détecter et corriger les vulnérabilités, une IA open source offrira la possibilité à des experts de vérifier et d’améliorer ses mécanismes de sécurité. Cette transparence est cruciale pour bâtir des solutions de cybersécurité robustes à l’ère des systèmes automatisés. Un exemple récent est celui de certains grands modèles de langage et d’algorithmes d’IA, où des entreprises revendiquent une approche "open" tout en limitant l’accès aux données d’entraînement ou en imposant des restrictions sur les contributions externes. Ce manque de véritable ouverture soulève des questions éthiques et sécuritaires, car les systèmes fermés rendent difficile la détection de biais ou de vulnérabilités.

Enfin, les récents événements comme les vulnérabilités Log4Shell et XZ rappellent douloureusement à la communauté open source l’importance cruciale de la gestion et de la maintenance des projets. Ces failles ont laissé un impact profond, soulignant la nécessité de renforcer les pratiques de sécurité des chaînes d’approvisionnement logicielles. Cela pousse les entreprises et les communautés à se concentrer davantage sur des initiatives telles que les audits de code, le suivi rigoureux des dépendances et la divulgation responsable des vulnérabilités. Par exemple, au sein de la fondation Eclipse, nous avons mis en place une équipe dédiée de cinq personnes pour établir et promouvoir de bonnes pratiques de sécurité dans nos projets. En parallèle, nous développons des outils et des services pour aider les développeurs à intégrer ces pratiques dans leurs processus, en mettant fortement l’accent sur la sécurisation de la chaîne d’approvisionnement.

Cette importance est renforcée par le contexte réglementaire en pleine évolution. Par exemple, la prochaine mise en application de réglementations européennes comme le Cyber Resilience Act (CRA) ou les obligations d’attestations de sécurité (SSDF) pour les fournisseurs des agences fédérales aux États-Unis aura un impact direct sur les projets open source. Ces projets devront s’y conformer, de près ou de loin, afin de rester pertinents et alignés sur les nouvelles exigences du marché.

Global Security Mag : En quoi cybersécurité et Open Source font ils bon ménage ?

Mikael Barbero : Il est clair que l’open source et la cybersécurité forment un tandem efficace pour plusieurs raisons. L’open source est omniprésente dans l’écosystème technologique actuel et s’est imposé comme une force dominante, notamment en matière de sécurité.

L’une des principales forces de l’open source réside dans sa transparence. Le code source étant ouvert et accessible à tous, une vaste communauté de développeurs et d’experts en sécurité peut l’examiner minutieusement. Comme l’a dit Eric S. Raymond : « Avec suffisamment d’yeux, tous les bogues sont superficiels » ("Given enough eyeballs, all bugs are shallow"). Dans le contexte de la cybersécurité, cela signifie que plus de personnes examinent le code, plus les vulnérabilités peuvent être rapidement identifiées et corrigées, renforçant ainsi la sécurité globale du logiciel.

Cependant, cet avantage est contrebalancé par les défis actuels. L’open source fait désormais partie intégrante de la chaîne d’approvisionnement mondiale des logiciels, ce qui le rend vulnérable aux menaces sophistiquées. Malgré sa popularité, la communauté open source est souvent mal équipée pour faire face aux risques croissants qui pèsent sur elle. Les attaques visant la chaîne d’approvisionnement, comme l’insertion de code malveillant dans des bibliothèques populaires ou leur prise de contrôle, sont en augmentation.

De plus, le modèle collaboratif de l’open source peut parfois entraîner un manque de responsabilité claire en matière de sécurité. Certains projets sont maintenus par des bénévoles qui n’ont pas toujours les ressources nécessaires pour effectuer des audits de sécurité approfondis ou pour réagir rapidement aux nouvelles menaces.

Ainsi, bien que l’open source soit synonyme de bonne cybersécurité grâce à la transparence et à la collaboration communautaire, il est crucial de renforcer les mesures de sécurité au sein de cet écosystème. Cela implique d’investir dans des outils et des pratiques de sécurité adaptés pour assurer que l’open source puisse continuer à prospérer tout en résistant aux menaces qui évoluent constamment. Par conséquent, pour les projets qui ne sont pas portés par un éditeur ou une autre entité, bénéficier d’une entité tierce, telle qu’une fondation open source, pour guider les projets sur le chemin souvent complexe de la cybersécurité est un avantage indéniable. Je pense que cela va devenir de plus en plus indispensable pour les projets matures.

Global Security Mag : Que trouvera-t-on dans le programme cyber cette année ?

Mikael Barbero : La thématique cyber du programme de cette année couvre un large éventail du domaine à travers une douzaine de conférences. Nous bénéficierons de retours d’expérience et d’expertises techniques sur l’utilisation des outils et solutions open source, avec notamment une présentation sur la mise en place d’un Security Operation Center (SOC) basé sur des outils open source. Une autre présentation portera sur les méthodes et outils permettant de sécuriser les projets open source. L’IA sera également à l’honneur avec une session dédiée au déploiement de modèles open source dans des environnements confidentiels. Enfin, l’évolution du cadre réglementaire sera abordée, avec une conférence sur le Cyber Resilience Act et une intervention de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).

Global Security Mag : Au-delà du programme en soi, pourriez-vous nous donner les grandes tendances et les nouveautés d’Open Source Experience cette année ?

Mikael Barbero : En effet, au-delà des conférences qui s’inscriront dans le track Cyber sécurité cette année, ce sont 130 conférences et temps forts qui seront accessibles gratuitement aux visiteurs d’Open Source Experience, dont certaines en replay.
Les autres grandes thématiques qui seront abordées sont évidemment l’IA Open Source, les thématiques de Cloud et d’infra, les solutions d’entreprise et bien sûr les aspects Business et Enjeux. Il y aura donc beaucoup de contenu ! Cette année, le programme sera davantage axé sur les cas d’utilisation et retours d’expérience et recentré sur les usages professionnels et la mise en œuvre de solutions industrialisées.

Coté espace d’exposition, 90 exposants seront réunis sur le salon pour présenter leurs actions et leurs solutions. L’organisateur a prévu cette année 4 villages spécifiques : Le village des associations pour mettre en avant l’écosystème du libre. Un Village Européen accueillera des offreurs de solutions et de services en provenance d’autres pays européens pour accélérer les collaborations entre les acteurs au-delà des frontières.
Nous aurons également le plaisir d’accueillir un grand Village du Secteur Public avec la présence de l’ANSSI notamment et de la Direction Interministerielle du Numérique.

Enfin, l’événement sera organisé conjointement avec la Conférence DEVOPS REX dédiée à l’approche devops et devsecops. L’espace de Solutions est en accès libre pour les visiteurs d’Open Source Experience, ce qui devrait créer de grandes synergies et donner une deuxième bonne raison aux visiteurs de faire le déplacement.

GS Mag : Combien de personnes attendez-vous cette année ?

Mikael Barbero : Open Source Experience attend cette année la visite de près de 5 000 visiteurs. Ingénieurs, DSI, CTO, développeurs, administrateurs système & réseaux, chefs d’entreprise… en provenance de toutes les industries et tous les secteurs. Cela sans compter les participants à devops REX qui pourront accéder à l’ensemble des conférences et à l’espace d’exposition.

GS Mag : Quel est votre message à nos lecteurs ?

Mikael Barbero : C’est un grand rendez-vous qui se prépare. Alors rejoignez-nous à Paris les 4 et 5 décembre prochains au Palais des Congrès de Paris.
Et n’oubliez pas de vous inscrire gratuitement votre badge sur https://www.opensource-experience.com/creer-mon-badge/.