Le choix d'un logiciel libre pour une entreprise demande de vérifier plusieurs points techniques, surtout pour la sécurité et la maintenance. L’Agence nationale de la sécurité des systèmes d’information partage une liste de critères à évaluer.
- Pour choisir un logiciel libre, évaluez l'historique, l'activité et le support des projets pour garantir leur pérennité.
- Examinez les mesures de sécurité, comme la gestion des vulnérabilités et la réactivité face aux failles.
- Assurez-vous de la maturité technique par l'évolution des bases, la documentation et la conformité des standards.
Choisir un logiciel open source ne se limite pas à regarder ses fonctionnalités pour savoir si ces derniers répondent bien aux besoins des salariés. Avec la sécurité en ligne de mire, l'ANSSI propose d'aller un peu plus loin avec plusieurs critères précis pour garantir un usage sûr et durable.
Comprendre le projet en lui-même
1. Analyser l’historique et la notoriété du projet
L’ANSSI conseille de prendre en compte l’ancienneté du projet, la régularité des contributions, ainsi que le nombre et l’expérience des principaux contributeurs. Une faible activité peut refléter une certaine maturité ou stabilité du logiciel ou du service. Elle peut aussi signifier un manque de ressources pour faire évoluer le projet.
2. Le projet a-t-il un responsable ?
Si une ou plusieurs personnes sont clairement identifiées pour la maintenance du projet, c'est toujours bon signe. Cette désignation facilite la gestion des évolutions et d'éventuels problèmes rencontrés.
3. Le projet est-il actif ?
L’ANSSI recommande de regarder la fréquence des mises à jour, la publication de nouvelles versions et la correction des bugs sur la dernière année. Bien évidemment, il est toujours judicieux d'opter pour un projet maintenu avec un suivi régulier.
Déterminer le niveau de sécurité
4. Y a-t-il une procédure pour les vulnérabilités ?
Outre les rapports de bugs classiques, l’ANSSI recommande de s’assurer que le projet propose un point de contact pour les questions de sécurité, ainsi qu’une procédure publique pour la gestion des vulnérabilités. Cela facilite une réaction rapide en cas de découverte d’une faille.
5. Les failles sont-elles (rapidement) corrigées ?
Il est conseillé de prendre en compte le nombre de correctifs de sécurité publiés et le temps mis pour corriger les vulnérabilités critiques. Un projet capable de traiter rapidement ce type de rapport montre sa capacité à gérer les risques.
6. Quelles sont les dépendances du projet ?
L’ANSSI suggère d’inventorier toutes les dépendances du projet, par exemple, via une SBOM (ou Software Bill of Materials). Ce document dresse la liste complète de tous les composants logiciels utilisés (bibliothèques, frameworks, modules et autres dépendances). Bien entendu, par la suite, il faut donc s’assurer que ces composants sont eux-mêmes à jour et exemptes de vulnérabilités connues.
7. Le projet a-t-il reçu des audits ?
Toujours en matière de sécurité, on peut également vérifier si le logiciel a fait l’objet d’audits de sécurité externes, comme un visa de sécurité de l’ANSSI, un cabinet de sécurité indépendant ou via des rapports de la communauté open source.
19 décembre 2024 à 11h39
Évaluer la maturité technique du projet
8. Le projet a-t-il fait évoluer ses bases techniques ?
Le logiciel s'est-il adapté aux évolutions des plateformes et des bibliothèques qu’il utilise ? Cela permet d’anticiper les besoins d’adaptation ou de portage et d’éviter les incompatibilités.
9. Que valent le socle technique et la documentation ?
L’ANSSI conseille de vérifier la présence d’une documentation claire, de configurations par défaut sécurisées et l’utilisation de standards ouverts. Ces éléments visent surtout à faciliter la prise en main et l'intégration du logiciel au sein de l'entreprise.
10. Que vaut le code source du projet ?
Enfin, on regardera aussi si le projet suit des recommandations de développement sécurisé (ANSSI, OWASP, NSA), s'il utilise des tests automatiques, des revues de code, voire propose un support contractuel. On retrouve généralement ces souscriptions à un contrat de support pour les éditions entreprises des distributions GNU/Linux afin de renforcer la stabilité et la continuité du logiciel.
