Début avril 2026, la DINUM officialisait sa migration vers Linux. Derrière cette décision, deux projets open source portent des noms qui fleurent bon Astérix : Sécurix et Bureautix. Tour d'horizon d'une initiative qui dépasse largement le simple changement d'OS.
On vous en parlait il y a quelques jours : lors d'un séminaire le 8 avril, la Direction interministérielle du numérique (DINUM) a posé les premiers jalons de son départ de Windows vers Linux, en ciblant pour commencer 250 postes d'agents. Sécurix est la pièce centrale de cette stratégie.
Pourquoi l'État n'a pas simplement choisi Ubuntu
La question mérite d'être posée. Après tout, Ubuntu est une distribution Linux très répandue dans le monde, bien documentée, facile à prendre en main, et déjà adoptée dans plusieurs administrations européennes. Alors pourquoi la DINUM préfère-t-elle NixOS, une distribution nettement plus confidentielle ?
La réponse tient à un seul mot : la reproductibilité. Sur Ubuntu ou Debian, un administrateur peut centraliser les déploiements via des outils comme Ansible, mais le résultat final dépend de l'état initial de chaque machine. Deux postes censés être identiques peuvent en réalité diverger. NixOS élimine ce problème par construction : la configuration déclare l'état attendu, et le système garantit qu'il sera atteint, quel que soit le point de départ..
Avec NixOS, toute la configuration d'un poste, des logiciels installés, aux services activés, en passant par les paramètres de sécurité, est décrite dans un fichier texte. On applique ce fichier, on obtient exactement le système attendu. Rien de plus, rien de moins. Si on copie ce fichier sur mille machines, on obtient mille postes strictement identiques.
NixOS vs Ubuntu : deux façons très différentes de gérer les logiciels
Sur Ubuntu, quand on installe un logiciel avec apt-get install, le système le place dans des répertoires partagés comme /usr/lib ou /usr/bin. Tous les logiciels cohabitent dans les mêmes dossiers. Ça fonctionne bien la plupart du temps, mais cela peut crée des conflits de dépendances : deux programmes qui ont besoin de versions différentes d'une même bibliothèque ne peuvent pas toujours coexister.
NixOS résout ce problème en isolant chaque logiciel dans son propre répertoire hermétique, sous /nix/store. Chaque paquet est identifié par un identifiant cryptographique unique. Deux versions du même outil peuvent coexister sans se marcher dessus. Et si une mise à jour casse quelque chose, NixOS propose un mécanisme de retour arrière intégré (le "rollback") qui permet de revenir à la configuration précédente en quelques secondes, sans réinstallation.
Le gestionnaire de paquets Nix donne accès à plus de 120 000 paquets. C'est moins que ce que propose Ubuntu via ses dépôts et Snap, mais largement suffisant pour un usage bureautique en administration. Pour un particulier qui découvre Linux, Ubuntu reste plus accessible avec une installation graphique guidée, des pilotes matériels mieux gérés, et surtout une large communauté d'entraide. NixOS demande de comprendre sa logique déclarative avant de pouvoir l'utiliser confortablement. Et c'est précisément pourquoi ce n'est pas un OS grand public, et pourquoi l'État a choisi de bâtir Sécurix par-dessus.
Sécurix : NixOS durci aux normes ANSSI, sans mot de passe classique
Sécurix n'est pas une distribution créée de zéro. C'est une surcouche de configuration NixOS pensée pour répondre aux exigences de l'ANSSI - l'Agence nationale de la sécurité des systèmes d'information. L'ANSSI publie des recommandations précises sur la façon de configurer un système Linux pour un usage en administration sensible. Sécurix les applique par défaut, sans intervention manuelle.
Parmi les mesures notables : Sécurix embarque un noyau Linux personnalisé et des modules de sécurité renforcés. Surtout, il supprime l'authentification par mot de passe classique au profit de clés matérielles FIDO2. Concrètement, l'agent s'authentifie avec une clé physique USB (de type YubiKey) plutôt qu'avec un code. Le mot de passe reste disponible en secours, mais n'est plus le mode d'accès principal. C'est un changement de taille par rapport à Windows et à la plupart des Linux grand public, où le mot de passe reste la norme.
Le projet est actuellement orienté vers les postes d'administration du système d'information - autrement dit, les machines des techniciens qui gèrent l'infrastructure - plutôt que vers les bureaux de tous les agents. Sécurix agit davantage comme un cadre de sécurité que comme un OS clé en main pour l'ensemble des équipes.
Bureautix : le bureau de travail pour les agents, sans Active Directory
C'est là qu'intervient Bureautix. Publié sur le même dépôt GitHub que Sécurix, ce projet propose un exemple concret d'environnement de bureau basé sur NixOS et Sécurix. Il fournit un kit complet avec une liste de composants logiciels, le programme d'installation et les personnalisations d'interface pour un PC de bureau d'agent. Tout est indiqué dans le répertoire "common", par exemple, "common/tools.nix".
Et puis il y a la gestion des utilisateurs. Dans les administrations actuelles, les postes Windows sont rattachés à un Active Directory, un annuaire centralisé Microsoft qui gère les comptes, les droits d'accès et les stratégies applicables à l'échelle du parc. FreeIPA ou les annuaires LDAP remplissent le même rôle sous Linux. Bureautix s'affranchit de tout ça. La gestion des utilisateurs repose sur un répertoire statique, géré comme du code dans un dépôt Git. Les configurations sont récupérées depuis ce dépôt et appliquées sur les postes.
Bureautix est conçu pour être cloné et adapté. Une administration peut prendre le kit, y ajouter ses propres logiciels et personnalisations, et créer sa version privée. Le gouvernement l'a donc pensé comme un point de départ flexible et non comme une solution figée.
Ce qu'un agent trouverait sur son PC Bureautix
Sur un poste Bureautix, qui rappelons-le, n'est qu'un exemple, l'environnement de bureau est KDE Plasma. C'est l'un des grands environnements graphiques sous Linux, aux côtés de GNOME, LXQt, MATE ou xfce. KDE est complètement personnalisable. Il peut ainsi ressembler visuellement à Windows avec une ergonomie bien connue : barre des tâches en bas, menu Démarrer, un explorateur de fichiers… Pour un agent habitué à Windows, la transition est moins brutale qu'on pourrait le craindre.
Dans cet exemple, la liste des logiciels préinstallés, visible dans le fichier tools.nix du dépôt GitHub, réserve quelques surprises. Côté bureautique, le poste embarque non pas une, non pas deux, mais trois suites Office ! LibreOffice, OnlyOffice et WPS Office. Contrairement à l'Allemagne, la question du format ODF reste donc encore sensible en France ! Pas question de laisser un agent sans solution pour ouvrir un fichier .docx.
Pour les e-mails, c'est Thunderbird qui est retenu, un choix qui ne surprend pas trop. Côté messagerie instantanée, Signal Desktop et Element Desktop remplacent Teams. Les deux applications sont open source et chiffrées de bout en bout.
Du côté plus technique, la liste révèle clairement que Bureautix, dans sa version exemple, s'adresse d'abord à des profils tech. On y trouve Wireshark et tcpdump pour analyser le trafic réseau, Neovim et VSCodium pour le développement, ou encore VeraCrypt pour créer des conteneurs chiffrés. Un agent administratif standard n'utilisera jamais ces outils, mais cela confirme que ce kit est pensé comme une base à adapter. Chaque administration est supposée retirer ce qui ne la concerne pas et ajouter ses propres logiciels métier.
250 postes aujourd'hui, et ensuite ?
Le chantier est ambitieux, mais les premières étapes restent modestes. Les 250 postes annoncés concernent la DINUM elle-même, pas l'ensemble de la fonction publique. La migration à grande échelle suppose de former les équipes techniques à NixOS et à sa logique déclarative - un écart significatif par rapport aux habitudes Windows et aux distributions Linux courantes.
En parallèle, d'autres volets de la souveraineté numérique avancent. La Caisse nationale d'Assurance maladie a annoncé que ses 80 000 agents adopteront "La Suite" - un bouquet d'outils souverains incluant Tchap pour la messagerie, Visio pour les réunions en ligne, et FranceTransfert pour le partage de fichiers. L'OS et les applications progressent donc sur deux fronts distincts.
Un point fait grincer quelques dents dans la communauté : Sécurix et Bureautix sont pour l'instant hébergés sur GitHub, propriété de… Microsoft. On ne manquera pas de souligner l'ironie. La DINUM rappelle que NixOS et ses dérivés sont publiés sous licence libre MIT, et que le code peut migrer vers n'importe quelle autre forge à tout moment. Ce n'est pas faux - mais le calendrier de ce déménagement reste à préciser.
Sécurix n'est pas encore déployé à grande échelle. C'est un projet qui prend forme, avec une direction technique claire et des choix assumés. La question n'est plus de savoir si la France bascule, mais à quelle vitesse - et si les contraintes pratiques de la migration ne freineront pas une ambition qui, sur le papier, tient la route.
