Plus les entreprises accélèrent leurs efforts numériques, plus la chaîne logicielle devient d’une importance capitale. Cependant, la sécurité reste la principale préoccupation qui empêche les entreprises d’utiliser les logiciels libres en production.
Pour toute entreprise, quel que soit le stade qu’elle atteint dans son parcours de modernisation, les changements engendrés par l’accélération des initiatives de transformation numérique s’appuient sur le développement d’applications. Les équipes de développement logiciel sont à présent appelées à mettre au point des applications plus fiables, plus sûres, plus intelligentes et plus adaptatives. Elles doivent à fortiori le faire plus vite, à l’échelle et pour tout type de cloud. Dans ce schéma, la chaîne d’approvisionnement logicielle devient d’une importance capitale, parce que les logiciels libres jouent un rôle de plus en plus important dans l’écosystème des logiciels d’entreprise.
On peut supposer que la quasi-totalité des grandes organisations dans le monde utilise au moins un logiciel libre. Des systèmes d’exploitation aux serveurs web en passant par les bases de données, les langages de programmation et Kubernetes, il existe un projet open source pour presque tout. Dans certains domaines, le logiciel libre est devenu la norme de facto, voire la seule option. Une étude publiée par VMware Tanzu affirme que les logiciels libres sont utilisés en production dans 95 % des entreprises interrogées.
Une répartition presque égale entre logiciels libres et commerciaux
« Au fur et à mesure que les entreprises deviennent plus grandes, elles sont légèrement moins susceptibles d’avoir des déploiements de logiciels libres en production, explique le rapport, peut-être en raison de politiques plus rigides dans les entreprises de plus grande taille ». Concernant l’approvisionnement en applications open source, l’étude constate une répartition presque égale entre open source et logiciels commerciaux. Environ 79 % des répondants utilisent l’open source commercial (distributions Linux commerciales telles que Red Hat, par exemple), 75 % utilisent des logiciels commerciaux qui incluent l’open source (par exemple, les logiciels commerciaux utilisant une base de données open source comme backend).
Enfin, 70 % utilisent l’open source communautaire, ce qui signifie qu’elles compilent et conditionnent le logiciel à partir du code source public et le supportent elles-mêmes. Les entreprises comptant plus de mille développeurs sont plus susceptibles d’utiliser l’open source communautaire (83 %), certainement parce qu’elles ont le plus de ressources.
Les OS libres en tête des usages
Les chercheurs se sont également intéressés aux types de logiciels libres utilisés par les entreprises. Sans surprise, les systèmes d’exploitation (83 %) arrivent en premier, suivis par les moteurs d’exécution (79 %), les bases de données ou les caches (75 %) et l’orchestration de conteneurs (65 %). Bien qu’il y ait une quantité surprenante de logiciels libres utilisés par les entreprises (42 % des répondants), la plus grosse part dans l’entreprise semble être liée à l’infrastructure ou au développement.
La sécurité étant une préoccupation majeure, l’étude a mis en évidence la différence de traitement sécuritaire entre les outils en productions et ceux en développement. « Il est étrange que les entreprises aient moins de sécurité — ou du moins une sécurité différente — dans le développement que dans la production, s’étonnent les rédacteurs du rapport. Le fait d’avoir des outils de sécurité différents dans le développement ajoute de la complexité lors du passage à la production, créant un maillon faible qui pourrait être exploité, comme dans les récentes attaques de la chaîne d’approvisionnement. Le développement devrait être tout aussi sécurisé que la production ».
Le risque cyber reste une préoccupation majeure
Pour 78 % des répondants, les logiciels libres en production sont gérés différemment des logiciels libres en développement. Cette fois, la taille de l’entreprise, donc ses capacités financières et humaines, ne rentre pas en ligne de compte. Les raisons invoquées pour expliquer ces différences sont les suivantes : exigences de la politique de sécurité interne (55 %), exigences de la politique informatique interne (autre que la sécurité) 46 %, et exigences de sécurité ou de conformité externes (43 %). Le support du fournisseur pour les logiciels libres utilisés en production est considéré comme une exigence par 29 %.
Presque tous les professionnels interrogés (94 %) sont préoccupés par la sécurité des logiciels libres en production. Certaines inhérentes au modèle libre, comme l’absence de garantie que les vulnérabilités seront corrigées ou patchées (63 %) ; ou alors la difficulté de se tenir au courant des vulnérabilités pour pouvoir y remédier (54 %). De telles préoccupations ont empêché 96 % des organisations de mettre en production des logiciels libres.
La sécurité reste le principal frein à l’adoption des logiciels libres en production ; 95 % des personnes interrogées conviennent que la chaîne d’approvisionnement logiciel est un risque critique pour la sécurité. Les organisations interrogées ont clairement indiqué que les avantages de l’utilisation du logiciel libre en production l’emportent sur les réticences. Les entreprises tentent de répondre aux préoccupations persistantes en établissant des exigences spécifiques pour l’utilisation des logiciels libres, mais elles estiment que des risques subsistent, notamment en raison du manque de visibilité sur les correctifs, les tests et les CVE.