{"id":20295,"date":"2023-03-13T15:40:08","date_gmt":"2023-03-13T13:40:08","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=20295"},"modified":"2023-03-13T15:40:08","modified_gmt":"2023-03-13T13:40:08","slug":"open-source-for-business-risks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/open-source-for-business-risks\/20295\/","title":{"rendered":"Les avantages et les inconv\u00e9nients de l’open source pour les entreprises"},"content":{"rendered":"

Les applications open source ont clairement trouv\u00e9 leur place dans les syst\u00e8mes informatiques des grandes et moyennes entreprises. En plus de dominer certains segments comme les serveurs Web, les bases de donn\u00e9es et les analyses, les solutions open source sont d\u00e9sormais largement utilis\u00e9es pour la conteneurisation, l\u2019apprentissage automatique, le DevOps et, \u00e9videmment, le d\u00e9veloppement de programmes. De nombreuses entreprises passent \u00e0 l\u2019open source pour des t\u00e2ches non informatiques, comme le CRM, la production de contenu visuel ou la publication d\u2019un blog. Selon Gartner<\/a>, plus de 95 % des entreprises du milieu informatique utilisent des solutions open source, et ce chiffre d\u00e9passe les 40 %<\/a> et ne cesse d\u2019augmenter au sein des entreprises non informatiques. De plus, ces donn\u00e9es n\u2019incluent pas les nombreux cas d\u2019applications propri\u00e9taires qui utilisent des biblioth\u00e8ques open source.<\/p>\n

Choisir entre open source et logiciel propri\u00e9taire est loin d\u2019\u00eatre facile\u00a0: il ne s\u2019agit pas seulement du gratuit versus le payant, ou de l\u2019assistance versus l\u2019absence d\u2019assistance. Lorsqu\u2019elles choisissent une solution informatique, les entreprises doivent prendre en compte plusieurs aspects importants.<\/p>\n

Le co\u00fbt et le d\u00e9lai du d\u00e9ploiement<\/strong><\/h2>\n

M\u00eame s\u2019il n\u2019y a souvent aucun paiement de licence pour les solutions open source, le d\u00e9ploiement n\u2019est pas gratuit. Selon la complexit\u00e9 de la solution, il vous faudra peut-\u00eatre ajuster le budget-temps de l\u2019\u00e9quipe informatique, avoir recours \u00e0 des consultants experts ou embaucher des d\u00e9veloppeurs qui vont constamment adapter l\u2019application aux besoins de votre entreprise.<\/p>\n

On trouve aussi le mod\u00e8le de licence hybride qui permet d\u2019utiliser gratuitement une version communautaire de l\u2019application, alors que la version compl\u00e8te \u00ab\u00a0d\u2019entreprise\u00a0\u00bb requiert le paiement d\u2019une licence.<\/p>\n

De plus, de nombreux produits open source ne contiennent pas des documents complets et\/ou mis \u00e0 jour, ni des formations pour les utilisateurs finaux. S\u2019il s\u2019agit d\u2019un d\u00e9ploiement \u00e0 grande \u00e9chelle, cette lacune devra \u00eatre couverte en interne et co\u00fbtera du temps et de l\u2019argent.<\/p>\n

L\u2019avantage de l\u2019open source au moment du d\u00e9ploiement est, \u00e9videmment, qu\u2019il permet un test complet. M\u00eame si vous envisagez de d\u00e9ployer une solution open source auto-h\u00e9berg\u00e9e, ou avec l\u2019aide d\u2019un travailleur ind\u00e9pendant sp\u00e9cialis\u00e9, la r\u00e9alisation de l\u2019essai pilote (preuve de concept) est beaucoup plus efficace si vous la faites vous-m\u00eame que si vous regardez les vid\u00e9os de d\u00e9monstration des solutions propri\u00e9taires. Vous allez imm\u00e9diatement constater si la solution est fonctionnelle et applicable \u00e0 votre entreprise.<\/p>\n

Lorsque vous comparez les solutions open source et propri\u00e9taires avant le d\u00e9ploiement, il est essentiel de comprendre de combien de temps vous disposez pour effectuer les tests, et si vous avez la possibilit\u00e9 de changer le produit \u00e0 ses d\u00e9buts. Si le d\u00e9lai n\u2019est pas pressant, et que la r\u00e9ponse \u00e0 la deuxi\u00e8me question est oui, alors le test approfondi du produit open source semble logique.<\/p>\n

Le co\u00fbt de l\u2019assistance<\/strong><\/h2>\n

L\u2019assistance quotidienne et la configuration de nombreuses applications open source \u00e0 \u00e9chelle industrielle, ainsi que leur adaptation aux charges de travail importantes, exigent que l\u2019\u00e9quipe informatique ait des connaissances hautement sp\u00e9cifiques et approfondies. Si cela n\u2019est pas possible, l\u2019entreprise devra acqu\u00e9rir ce savoir-faire, que ce soit en embauchant des experts ou en l\u2019externalisant. Les types les plus courants d\u2019externalisation impliquent l\u2019aide d\u2019experts sp\u00e9cialis\u00e9s dans l\u2019application (comme Red Hat), ou un auto-h\u00e9bergement optimis\u00e9 pour une solution informatique sp\u00e9cifique (comme Kube Clusters, WP Engine ou autres).<\/p>\n

\u00c9videmment, l\u2019assistance payante est aussi la norme pour les logiciels propri\u00e9taires. Les solutions open source ne sont pas les seules \u00e0 en avoir besoin. Les co\u00fbts sont comparables. Comme le montre la pratique, l\u2019assistance technique annuelle d\u2019une application open source propre \u00e0 une entreprise n\u2019est que 10 \u00e0 15 % moins ch\u00e8re<\/a> que celle des logiciels propri\u00e9taires.<\/p>\n

La correction des bugs, l\u2019ajout de nouvelles fonctionnalit\u00e9s et la scalabilit\u00e9<\/strong><\/h2>\n

M\u00eame si les solutions open source m\u00e2tures sont r\u00e9guli\u00e8rement mises \u00e0 jour avec des fonctionnalit\u00e9s plus compl\u00e8tes et des corrections de bugs, il peut arriver que les d\u00e9veloppeurs ne donnent pas la priorit\u00e9 \u00e0 un bug critique pour l\u2019entreprise en question. C\u2019est encore plus courant avec les requ\u00eates de fonctionnalit\u00e9s. Dans ce cas, soit vous vous asseyez et attendez patiemment, soit vous utilisez le temps pr\u00e9cieux de vos d\u00e9veloppeurs (en interne ou en externe) pour \u00e9crire le code n\u00e9cessaire. Le point positif est que cela est possible, du moins en th\u00e9orie. Le point n\u00e9gatif est que les d\u00e9penses sont impr\u00e9visibles et peuvent rapidement augmenter.<\/p>\n

Il convient de souligner que vous n\u2019avez pas \u00e0 vous inqui\u00e9ter des patchs et des mises \u00e0 jour de l\u2019application avec l\u2019auto-h\u00e9bergement, mais qu\u2019il ne peut pas vous aider avec les r\u00e9glages individuels. Une entreprise avec un tel besoin fait certainement son entr\u00e9e sur le march\u00e9 du d\u00e9veloppement et doit choisir le format de l\u2019extension en cours de cr\u00e9ation\u00a0: un embranchement du principal produit logiciel ou un ajout \u00e0 la branche de d\u00e9veloppement principale en association avec les d\u00e9veloppeurs originaux de l\u2019application. C\u2019est l\u00e0 que les avantages strat\u00e9giques<\/a> de l\u2019open source entrent en jeu\u00a0: \u00e0 savoir la flexibilit\u00e9 d\u2019utilisation et la vitesse d\u2019innovation.<\/p>\n

L\u2019int\u00e9gration et le support multi-plateformes<\/strong><\/h2>\n

Pour les solutions \u00e0 composants multiples \u00e0 grande \u00e9chelle qui \u00e9changent activement des donn\u00e9es, l\u2019int\u00e9gration et la compatibilit\u00e9 avec d\u2019autres plateformes peuvent jouer un r\u00f4le d\u00e9terminant dans le choix du produit logiciel. La priorit\u00e9 reste le support des formats industriels pour le stockage et l\u2019\u00e9change des donn\u00e9es, ainsi que des interfaces de programmation d\u2019application (API) bien document\u00e9e. La solution d\u2019un seul fabricant avec un code logiciel propri\u00e9taire peut parfois mieux r\u00e9pondre \u00e0 ces crit\u00e8res qu\u2019un ensemble de solutions open source, m\u00eame de haute qualit\u00e9. Il est toujours int\u00e9ressant d\u2019estimer le co\u00fbt d\u2019ajustement d\u2019une solution open source si elle a montr\u00e9 certains avantages pour d\u2019autres crit\u00e8res et a pass\u00e9 la phase de la preuve de concept.<\/p>\n

Les risques, la s\u00e9curit\u00e9 et la conformit\u00e9<\/strong><\/h2>\n

L\u2019open source est souvent vendue comme une solution plus s\u00e9curis\u00e9e. Apr\u00e8s tout, si tout le monde peut voir le code source et corriger les bugs, ce doit \u00eatre plus s\u00fbr que l\u2019offre en bo\u00eete noire du propri\u00e9taire, n\u2019est-ce pas\u00a0?<\/p>\n

Comme toujours, la r\u00e9alit\u00e9 est plus complexe. Tout d\u2019abord, beaucoup d\u2019applications open source ont des millions de lignes de code que personne ne peut enti\u00e8rement v\u00e9rifier. Le nombre important de mises \u00e0 jour du code complique un peu plus la t\u00e2che. Cela \u00e9tant dit, petit ne veut pas dire s\u00fbr. Par exemple, la vuln\u00e9rabilit\u00e9 Shellshock<\/a> bas\u00e9e sur Bash est pass\u00e9e inaper\u00e7ue pendant 20 ans\u00a0!<\/p>\n

Ensuite, le probl\u00e8me de la d\u00e9pendance est grave puisque les applications et le code ont leur propre cha\u00eene d\u2019approvisionnement. Une application open source peut utiliser une biblioth\u00e8que tierce open source, qui \u00e0 son tour est li\u00e9e \u00e0 une autre biblioth\u00e8que open source, et les personnes responsables de v\u00e9rifier l\u2019application ne vont probablement pas analyser toutes les biblioth\u00e8ques. Les risques d\u2019une telle cha\u00eene ont \u00e9t\u00e9 d\u00e9montr\u00e9s plusieurs fois\u00a0: une vuln\u00e9rabilit\u00e9 dans la biblioth\u00e8que gratuite Log4j<\/a> a affect\u00e9 des milliers de solutions open source et a eu un impact sur certains g\u00e9ants, dont Amazon, Cloudflare et Elastic. Une attaque qui rempla\u00e7ait les biblioth\u00e8ques NPM par des homonymes malveillants<\/a> fonctionnait sur Apple et Microsoft. Et la d\u00e9cision d\u2019un d\u00e9veloppeur ind\u00e9pendant de ne pas accepter la minuscule biblioth\u00e8que left-pad<\/a> dans le r\u00e9pertoire NPM a bloqu\u00e9 plus de milles applications et sites populaires (dont Facebook) pendant plusieurs heures.<\/p>\n

La d\u00e9pendance des programmes.Caption: Source : <a href=\"https:\/\/xkcd.com\/2347\" target=\"_blank\">xkcd.com\/2347<\/a><\/a>

La d\u00e9pendance des programmes.
Caption: Source : xkcd.com\/2347<\/a><\/p><\/div>\n

\u00a0<\/em><\/p>\n

La licence est un des autres probl\u00e8mes caus\u00e9s par cette d\u00e9pendance. Les licences open source sont assez sp\u00e9cifiques, et ce n\u2019est parce que c\u2019est gratuit qu\u2019il n\u2019y a pas de d\u00e9tenteur des droits d\u2019auteur. L\u2019application et ses biblioth\u00e8ques peuvent avoir plusieurs licences, et le non-respect d\u2019une des plus strictes (le copyleft<\/a>) est rempli de proc\u00e8s. Similaire au processus bien \u00e9tabli de l\u2019audit de s\u00e9curit\u00e9 informatique et de la mitigation des vuln\u00e9rabilit\u00e9s, les principaux utilisateurs et d\u00e9veloppeurs de programme open source devraient avoir mis en place un processus similaire afin de v\u00e9rifier r\u00e9guli\u00e8rement leur conformit\u00e9 \u00e0 la licence. Dans l\u2019id\u00e9al, ce processus devrait \u00eatre semi-automatis\u00e9<\/a>.<\/p>\n

Tous les points mentionn\u00e9s ci-dessus ne veulent pas dire que l\u2019open source est le pire choix depuis le point de vue de la s\u00e9curit\u00e9 de l\u2019information. Vous devez juste comprendre tous les risques qui en d\u00e9coulent\u00a0: l\u2019\u00e9quipe de d\u00e9ploiement doit \u00e9valuer la culture de d\u00e9veloppement et la fr\u00e9quence de sortie des mises \u00e0 jour de s\u00e9curit\u00e9 des applications participantes, et doit aussi contr\u00f4ler les d\u00e9pendances et les licences (par exemple, en achetant un inventaire logiciel, ou SBOM). De plus, si votre entreprise travaille dans le domaine du d\u00e9veloppement de logiciels, il convient d\u2019analyser tous les packs open source pour rechercher d\u2019\u00e9ventuelles vuln\u00e9rabilit\u00e9s et fonctionnalit\u00e9s malveillantes.<\/p>\n","protected":false},"excerpt":{"rendered":"

De plus en plus d\u2019entreprises optent pour les solutions open source. Nous vous expliquons comment r\u00e9aliser cette transition avec succ\u00e8s et quels sont les risques \u00e0 prendre en compte. <\/p>\n","protected":false},"author":2722,"featured_media":20297,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[3588,379,1246,4010,136,4369,914],"class_list":{"0":"post-20295","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-actualites-dentreprise","10":"tag-applications","11":"tag-developpement","12":"tag-economie","13":"tag-entreprise","14":"tag-open-source","15":"tag-risques"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/open-source-for-business-risks\/20295\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/open-source-for-business-risks\/25351\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/open-source-for-business-risks\/20792\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/open-source-for-business-risks\/27963\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/open-source-for-business-risks\/25644\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/open-source-for-business-risks\/26073\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/open-source-for-business-risks\/28525\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/open-source-for-business-risks\/34824\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/open-source-for-business-risks\/47442\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/open-source-for-business-risks\/20919\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/open-source-for-business-risks\/25953\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/open-source-for-business-risks\/31666\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/open-source-for-business-risks\/31373\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/actualites-dentreprise\/","name":"actualit\u00e9s d\u2019entreprise"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20295","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=20295"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20295\/revisions"}],"predecessor-version":[{"id":20299,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20295\/revisions\/20299"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/20297"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=20295"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=20295"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=20295"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}