Partout en Europe, le secteur technologique affiche une croissance fulgurante, portée par des décideurs qui en font une priorité d’investissement stratégique.
Le Royaume-Uni se distingue tout particulièrement : il fait partie des trois seuls pays au monde à avoir vu émerger plus de 100 licornes technologiques(1), ces entreprises privées valorisées à plus d’un milliard de dollars.
Dans ce contexte, il est plus que jamais opportun pour les investisseurs et les entreprises de repenser leur approche en matière de gestion des risques liés aux opérations dans la tech.
Lors des processus de due diligence, les investisseurs concentrent généralement leurs efforts sur les volets financier, juridique et opérationnel. En revanche, les risques liés aux logiciels restent largement sous-estimés. Or, dans la majorité des investissements technologiques, le logiciel constitue un actif central, négliger cet aspect revient à omettre une composante critique de l’analyse de risque.
Dans bien des cas, l’audit technologique est conduit manuellement par des profils non spécialistes, aboutissant à une évaluation partielle, voire superficielle. En particulier, l’analyse de l’usage des logiciels open source est souvent absente ou très limitée, une lacune qui peut entraîner des risques significatifs.
Dans cet article, nous examinerons comment une gestion insuffisante des vulnérabilités open source peut compromettre la sécurité de vos investissements, et comment y remédier de manière efficace grâce à l’intégration d’un outil d’analyse dédié.
Qu’est-ce qu’un logiciel open source ?
Il s’agit de logiciels dont le code source peut être consulté, copié, modifié et redistribué librement par les développeurs. À l’inverse, les logiciels applicatifs classiques, tels que Skype ou la suite Microsoft, sont conçus pour un usage final sans possibilité d’adaptation ou de personnalisation par des tiers.
L’open source repose sur une logique de collaboration fondée sur des valeurs partagées, et c’est précisément ce modèle qui explique, par exemple, la progression de 35 % du nombre de dépôts de code créés sur GitHub en 2020 par rapport à l’année précédente.
Dans les faits, l’utilisation de composants open source est aujourd’hui quasi incontournable pour les développeurs : elle permet d’accélérer les cycles de développement, ce qui constitue un levier stratégique pour gagner des parts de marché et renforcer son avantage concurrentiel.
Pour ces raisons, l’intégration de code open source au sein des logiciels commerciaux représente une démarche à forte valeur ajoutée. Elle ne doit en aucun cas être perçue comme un risque systématique par les dirigeants et les investisseurs.
Le code open source, par définition, bénéficie d’une longévité supérieure à celle des développements propriétaires internes : il repose sur une communauté active, capable d’apporter des mises à jour, des correctifs et un appui technique en continu. Cette même communauté peut également représenter une alternative précieuse en période de tension sur le marché du recrutement, permettant de faire appel à des développeurs spécialisés sans nécessairement recourir à l’embauche.
Mais il y a un point de vigilance : ces bénéfices ne pourront se concrétiser sur le long terme que si la gestion des vulnérabilités liées à l’open source est menée de manière rigoureuse, ce qui est encore loin d’être systématique.
Restrictions liées aux licences de propriété intellectuelle : un risque pour vos investissements ?
Les licences open source peuvent s’avérer complexes à interpréter, et les investisseurs doivent porter une attention particulière aux clauses restrictives que certains types de licences peuvent imposer sur le plan de la propriété intellectuelle.
Certaines licences dites copyleft, ou « non permissives », imposent que toute redistribution du logiciel se fasse selon les mêmes conditions que celles définies dans la licence open source d’origine. La plus répandue d’entre elles est la licence GNU General Public License (GPL), à laquelle il convient d’être particulièrement attentif.
Cette licence est considérée comme une forme de copyleft fort, dans la mesure où elle s’applique non seulement aux modifications du code initial sous licence GPL, mais aussi à tout développement dérivé de ce code. Autrement dit, même si un développeur n’utilise que quelques lignes de code couvertes par la GPL, l’ensemble de sa base de code peut se retrouver soumise aux obligations de cette licence.
Ainsi, une organisation qui intègre du code soumis à une licence restrictive telle que la GNU GPL doit impérativement être consciente que cela peut compromettre la protection et la valorisation de sa propriété intellectuelle.
Violation du droit d’auteur logiciel – le cas Hancom Office
En 2013, Hancom intègre dans sa suite bureautique un interpréteur PDF open source, Ghostscript, sans savoir que ce dernier était soumis à la licence GNU GPL.
Or, selon les conditions de cette licence, Hancom aurait dû rendre l’intégralité de son application accessible en open source, ce qui revenait, de fait, à renoncer à ses droits de propriété intellectuelle. L’entreprise n’a ni publié le code source de son logiciel, ni acquis de licence commerciale, ce qui l’a placée en infraction vis-à-vis des obligations imposées par la licence GPL de Ghostscript.
En 2017, l’éditeur Artifex, propriétaire de Ghostscript, a intenté une action en justice(2), qui s’est soldée par une décision favorable rendue par la cour fédérale américaine(3).
Si les termes exacts du règlement demeurent confidentiels, il est raisonnable de penser que Hancom a subi des conséquences financières importantes, ainsi qu’un impact notable sur sa réputation et la protection de ses actifs immatériels.
Un outil d’analyse de vulnérabilités open source, intégré en amont du processus de développement, aurait permis d’identifier ce risque et d’éviter une telle issue.
Licences open source : un sujet à ne pas négliger
Même lorsqu’elles ne sont pas aussi restrictives que la GNU GPL, toutes les licences open source doivent faire l’objet d’un examen attentif de la part des entreprises, afin qu’elles aient une compréhension claire des obligations qui en découlent.
Toutes reposent sur les principes fondamentaux du mouvement open source, les « libertés essentielles », qui garantissent le droit d’utiliser, d’exécuter, d’étudier, de modifier et de redistribuer le logiciel, pour tout usage.
Cependant, la diversité des régimes de licence est telle que deux composants open source peuvent avoir des implications juridiques très différentes.
À l’opposé du copyleft fort imposé par la GNU GPL, certaines licences dites permissives, comme la BSD, la MIT ou l’Apache Licence v2.0, offrent une plus grande flexibilité.
Elles conservent les libertés fondamentales de l’open source, mais sans exiger qu’elles soient conservées dans les travaux dérivés. Autrement dit, un développeur peut intégrer du code sous licence permissive dans une base logicielle plus large, sans contrainte particulière, et distribuer l’ensemble sous une autre licence, ce qui n’est pas possible avec les licences plus restrictives.
Compte tenu de cette diversité, il est indispensable que les entreprises mettent en place une surveillance continue du code open source utilisé par leurs équipes, dans le cadre de leur stratégie de gestion des vulnérabilités.
Cela leur permet de se prémunir efficacement contre les risques de non-conformité, souvent invisibles mais potentiellement lourds de conséquences.
Comment renforcer la gestion des vulnérabilités open source
En phase pré-acquisition, il est impératif pour les investisseurs de conduire une due diligence logicielle approfondie, intégrant une analyse précise des restrictions liées aux licences open source associées aux composants utilisés.
Les audits les plus complets reposent généralement sur l’utilisation d’un outil d’analyse de vulnérabilités open source, capable de scanner l’ensemble du code ligne par ligne. Cette approche technique est idéalement couplée à une revue de code menée par des experts, afin de garantir que chaque usage de logiciel open source soit correctement identifié, interprété et évalué.
L’analyseur de vulnérabilités open source de Vaultinum
La solution Tech Due Diligence de Vaultinum intègre un audit du code source qui agit comme un véritable outil d’analyse des vulnérabilités open source.
Cette évaluation couvre non seulement le code en lui-même, mais aussi les processus internes de l’entreprise, notamment sa stratégie de gestion des composants open source, avec pour objectif d’anticiper et de réduire les risques futurs.
En complément, l’entreprise accède à une série de questionnaires d’auto-évaluation couvrant les volets Cybersécurité, Propriété intellectuelle, Opérations et Logiciels tiers.
Les résultats de l’analyse en ligne et de l’audit de code sont ensuite examinés par nos experts IT, qui formulent des recommandations contextualisées, adaptées à la réalité de l’entreprise.
Le rapport remis présente des constats clairs, des illustrations explicites, ainsi qu’une estimation du temps nécessaire à la correction des points identifiés.
Contactez-nous dès aujourd’hui pour découvrir comment la Tech Due Diligence de Vaultinum accompagne les investisseurs dans la gestion des vulnérabilités open source, en leur fournissant les éléments nécessaires pour prendre des décisions éclairées, en toute confiance.
(1) https://technation.io/news/tech-unicorns-dont-appear-by-magic
(2) https://bit.ly/3IcaDd3
(3) https://www.linux.com/topic/open-source/artifex-v-hancom-open-source-now-enforceable-contract
