Comment éviter les risques des licences open source ?

min de lecturepublié lemis à jour le
Comment éviter les risques des licences open source ?
Comment éviter les risques des licences open source ?
Sommaire

Rien qu’en France, la licence open source représente un marché de 6 milliards d’euros si l’on se base sur les chiffres de l’année 2022 publiés par le CNLL (Conseil National du Logiciel Libre). Avant de s’orienter vers ce type de solution, il est primordial d’en prendre en considération tous les risques sécuritaires, juridiques et pratiques.

Définition de la licence open source pour une meilleure compréhension du concept

Par définition, un logiciel open source est un programme, dont le code est ouvert, contrairement à un logiciel propriétaire, dont le code est totalement verrouillé. Pour faire simple, un logiciel à licence open source est un programme dont le code source est divulgué au grand public.

Il y a une différence conceptuelle entre un logiciel open source et un logiciel libre. Si l’on se base sur les règles édictées par Richard Stallman, l’un des initiateurs du mouvement du logiciel libre, un programme est libre s’il répond à quatre principaux critères :

  1. la liberté d’utiliser le programme sans restriction pour tout le monde,
  2. la liberté d’analyser le fonctionnement du programme, 
  3. la liberté de partager et de redistribuer des copies du programme,
  4. la liberté d’améliorer le code source et d’en faire profiter le plus grand nombre.

Les principales licences open source

Dans le cadre de l’utilisation d’une licence open source en entreprise, il faut faire particulièrement attention sur le type de licence détenu par le programme. Voici les 3 principaux types de licence open source disponibles sur le marché actuel et leurs principales caractéristiques :

Le domaine public

En publiant un programme dans le domaine public, le programmeur ou le développeur renonce à son copyright. Chacun est ainsi libre d'utiliser, de partager, mais aussi de modifier le logiciel. C'est notamment le cas de la licence CC0 (Creative Commons Zero).

La licence permissive

Il existe de nombreuses licences qui accordent des droits élargis aux utilisateurs, toutefois sans que le titulaire ne renonce au droit d'auteur ou aux protections accordées par la licence. Il est possible de commercialiser un programme sous licence permissive à certaines conditions. De même, la grande majorité de ce type de licence n'accorde pas de garantie à l'utilisation. Les licences MIT et BSD font partie de la catégorie permissive.

Le copyleft

Contrairement à ce que l'on pourrait penser, le copyleft ne signifie pas l'abandon de son droit d'auteur sur un logiciel. L'idée du copyleft est de faciliter la copie et le partage d'un programme, sans renoncer aux droits inhérents à la licence. Selon son degré de copyleft (faible ou fort), une licence copyleft implique que tout ou une partie du code développé autour de la brique open-source réponde aux mêmes exigences que celles de la licence dont provient l’open source. Même les programmes dérivés (les forks) sont tenus de respecter la licence d'origine. C'est notamment le cas des licences GNU GPL.

Comment minimiser les risques liés à l’utilisation d’une licence open source ?

Les entreprises sont de plus en plus nombreuses à intégrer les solutions open source à leur structure. C’est notamment le cas pour l’administration des serveurs à travers la licence Apache ou encore la gestion des bases de données. Les CMS comme Wordpress, Joomla ou encore Prestashop qui servent à la conception de sites web sont également disponibles sous licence libre.

Des milliers de logiciels sont aujourd’hui disponibles en open source pour les entreprises et offrent un coût d’accès particulièrement avantageux. Voici les points à considérer avant d’implanter une solution en licence open source : 

Prendre connaissance de la licence en vigueur

Un logiciel téléchargeable gratuitement ne signifie pas forcément qu’il s’agit d’un logiciel libre. Ainsi, certains programmes non payants sont propriétaires et ne sont utilisables que dans certains contextes (usage personnel, limité aux PME…). Pour une exploitation à plus grande échelle, il faut souvent payer.

Certains systèmes open source fonctionnent sous double licence open source et propriétaire, comme c’est le cas de MySQL. La méconnaissance des licences risque de vous exposer à des amendes pour non-respect de la licence d’utilisation ou même une poursuite judiciaire. Avant toute nouvelle implantation, il faut prendre le temps de lire chaque clause de la licence.

Avant d’opter pour une licence open source, il faut aussi connaître la licence des documentations et la pérennité du support technique. En prenant l’exemple des distributions Ubuntu (Linux), il existe des versions LTS qui bénéficient à la fois d’une documentation plus fournie et d’un support sur une plus longue période de la part de ses promoteurs.

Dans le cas des CRM et des ERP qui permettent de gérer des projets collaboratifs en ligne, la licence évolue selon le nombre d’utilisateurs. Ainsi, pour ERPNext, la version sous licence open source et gratuit n’inclut pas la garantie. En cas de bug ou de crash qui entraîne des dommages dans votre base de données, vous devrez vous-même assurer le support technique. Du côté d’Odoo, la version de base (facturation et comptabilité) est gratuite, mais pour les modules complémentaires (GRH, gestion de stock, gestion de projet multi-utilisateurs…), l’accès aux services est payant.

Une simulation préalable du coût d’exploitation réelle selon les possibilités offertes par la licence opensource doit être réalisée, quel que soit le projet d’implantation de logiciel.

Prendre en compte les failles des logiciels open source

Aucun logiciel, propriétaire ou sous licence opensource, ne peut prétendre atteindre la perfection en termes de sécurité. C’est pour cela que des mises à jour sont régulièrement publiées pour corriger toutes les failles qui permettraient aux personnes mal intentionnées de voler des données ou encore de rendre le logiciel, le Saas ou le site web inopérant.

80% des programmes contiennent une vulnérabilité liée à l’implantation d’une solution open source et plus de 50% sont considérés à haut risque. Selon une étude réalisée par l’OSSRA (Open Source Security and Risk Analysis en 2022).

Pour les logiciels propriétaires, la responsabilité de publier un patch de sécurité ou une mise à jour leur incombe. A contrario, la nature collaborative des solutions open source, qu’elles soient sous licence GNU GPL, Copyleft ou licence MIT, met la communauté ou les fondations à contribution pour corriger les brèches sécuritaires. L’accès au code source était autrefois considéré comme un avantage, puisqu’on pouvait corriger les problèmes immédiatement. Actuellement, la multiplication de la bibliothèque open source pèse sur la réactivité des développeurs pour la publication des correctifs. Si un logiciel installé au cœur de votre entreprise tarde à avoir les mises à jour nécessaires, vous serez pleinement exposé.

Considérer le facteur humain

Dans de nombreux cas, ce sont les responsables du système d’information et les techniciens informatiques eux-mêmes qui sont à la source du problème de sécurité. En effet, ils oublient parfois d’effectuer les mises à jour nécessaires. Cette actualisation du programme ne concerne pas forcément le logiciel principal, mais parfois les dépendances qui ne sont pas toujours surveillées.

Pour réduire au maximum les risques de sécurité des logiciels sous licence open source, il est recommandé d’effectuer un test de vulnérabilité avant d’installer un logiciel opensource. Par la suite, il faut définir une politique claire de sécurité. Il faudra déterminer la fréquence des mises à jour et mettre en place un système de veille pour se tenir au courant des failles détectées. L’objectif est de garantir une sécurité optimale tout au long de la vie du logiciel. Cette démarche est d’autant plus importante si l’application installée assume des fonctions critiques pour le développement de l’entreprise.

Les réponses à vos questions sur les logiciels OpenSource

C'est quoi un logiciel Opensource ?

Un logiciel opensource est une application dont le code source est ouvert au grand public. Cela ne signifie pas que le programme est gratuit, bien que la majorité des solutions open sources soient disponibles sans frais d’accès. Pour une entreprise, il est indispensable de décortiquer la portée juridique d’une licence pour garantir une utilisation sans entrave de la solution choisie.

Pourquoi utiliser l'opensource ?

Un logiciel opensource est dans la grande majorité des cas gratuit et libre d’usage tout en offrant de nombreuses fonctionnalités. Il réduit donc le coût d’accès et d’exploitation du système d’information en entreprise. Néanmoins, il faut porter une attention particulière à la sécurité et à la nature de la licence pour en tirer pleinement profit.

ESSAYEZ NOTRE AUDIT DE PROPRIETE INTELLECTUELLE

Clause de non-responsabilité

Les opinions, présentations, chiffres et estimations présentés sur le site Web, y compris dans le blog, sont uniquement destinés à des fins d'information et ne doivent pas être considérés comme des conseils juridiques. Pour obtenir un avis juridique, vous devez contacter un professionnel du droit dans votre juridiction.

L'utilisation du contenu de ce site Web, y compris du blog, à des fins commerciales, y compris la revente, est interdite, sauf autorisation préalable de Vaultinum. La demande d'autorisation doit préciser le but et l'étendue de la reproduction. À des fins non commerciales, tout le matériel de cette publication peut être cité ou réimprimé librement, mais une reconnaissance est requise, ainsi qu'un lien vers ce site Web.

Marine Yborra CMO Vaultinum
Marine YBORRAMarine est notre Directrice Marketing. Spécialiste du branding et de l'activation de marques, elle possède une expérience internationale dans le BtoB et le BtoC.

Recommandés pour vous