Les mythes de l’IA et de la tech : Debunk #1 : « L’open source est peu fiable »

Le malentendu de départ : on confond “open source” et “absence de responsabilité”

L’open source décrit un mode de production et de diffusion du code. Il ne décrit pas, à lui seul, un modèle de support, de garantie, de SLA ou de conformité. Ces couches existent, et elles sont souvent commerciales. Mais elles s’appuient très largement sur un socle ouvert.

Si vous avez déjà acheté du logiciel propriétaire, vous avez en réalité souvent acheté un assemblage d’open source, mis en packaging, avec un contrat.

L’open source est partout (même quand on ne le “choisit” pas)

La plupart des organisations n’adoptent pas l’open source par conviction. Elles l’adoptent par gravité. Parce que leurs applications, leurs outils, leurs frameworks et leurs dépendances en contiennent déjà.

Un chiffre résume cette réalité : le rapport 2024 “Open Source Security and Risk Analysis” (Black Duck) indique que 96% des codebases auditées contiennent des composants open source [1].

Sur le web, la domination de Linux illustre la même évidence : Linux est utilisé par environ 60% des sites dont le système d’exploitation est connu [2].

Côté cloud, même chez Microsoft Azure, plus de 60% des cores clients exécutent des workloads Linux [3]. Sur l'ensemble des trois grands hyperscalers (AWS, Azure, Google Cloud), la part de Linux dans les VMs dépasserait 90% !

On ne parle pas d’un hobby ou d'une anecdote. On parle du plancher sur lequel repose toute l’industrie.

Une infrastructure invisible… et une valeur économique mesurée en trillions

Le point le plus sous-estimé est économique. Une étude de la Harvard Business School, The Value of Open Source Software, estime la valeur “côté demande” de l’open source à 8,8 trillions de dollars(ordre de grandeur du coût de remplacement si ce socle n’existait pas) [4]. Le centre D³ de Harvard en propose aussi une synthèse accessible [5].

Quand une technologie représente des trillions de dollars de valeur, elle n’est pas “peu fiable”. Elle est systémique.

“Oui, mais les failles ?” Log4j ne prouve pas l’échec. Il prouve la criticité.

L’objection revient toujours : Heartbleed, Log4Shell, les CVE, la supply chain…

Prenons Log4Shell. L’épisode a été brutal, mondial, et a révélé à quel point certaines briques sont sous-financées par rapport à leur criticité. Mais il montre surtout ceci : le risque ne vient pas de “l’ouverture”. Il vient du fait qu’on a longtemps traité des dépendances critiques comme des détails techniques, au lieu de les gérer comme une chaîne d’approvisionnement industrielle.

C’est d’ailleurs ce que reflète la montée en puissance des exigences “software supply chain” dans les politiques publiques, par exemple autour de l’Executive Order 14028 et des travaux associés chez NIST [6], ainsi que la définition et les “minimum elements” d’une SBOM (Software Bill of Materials) portés par la NTIA [7].

Le renversement : l’open source n’est pas seulement résilient, il est antifragile

Nassim Nicholas Taleb [8] a popularisé un concept utile : l’antifragilité. Ce n’est pas seulement “résister aux chocs”, c’est s’améliorer grâce aux chocs.

C’est exactement ce que fait l’open source, parce qu’il combine :

• Auditabilité : la possibilité de vérifier, tester, reproduire, analyser.
• Correction distribuée : les correctifs émergent de plusieurs acteurs (mainteneurs, entreprises, chercheurs, CERT…).
• Redondance : fork, alternatives, reprises de maintenance possibles.
• Institutionnalisation : des dispositifs existent pour renforcer les briques critiques. Exemple : le projet Alpha-Omega de l’OpenSSF [9] ou encore la Sovereignty Tech Agency allemande [10], lancés pour améliorer la sécurité de milliers de projets open source largement déployés et souvent sous-financés.

Chaque incident sérieux rend l’écosystème plus mature. C’est le mécanisme même de l’antifragilité.

La “piste ANSSI” : quand l’autorité cyber française dit “open by default”

Le débat se clarifie quand l’autorité nationale de cybersécurité formalise sa position. L’ANSSI souligne l’intérêt de l’open source pour la maîtrise des technologies clés et l’écosystème de confiance [11], et a récemment mis à jour sa politique open source (février 2026) [12] en précisant de manière explicite qu'elle défend les principes de secure-by-design et open-by-default, tout en rappelant de ne pas exposer d’artefacts sensibles ou des configurations opérationnelles.

Le message à retenir est simple : ouvrir le code ne signifie pas exposer des secrets. Cela signifie rendre le système auditable, donc plus maîtrisable, plus portable, et souvent plus durable.

La vraie question à poser en comité de direction

La question n’est pas : « Est-ce que l’open source est fiable ? »
La question est : « Est-ce que nous gérons nos dépendances comme une infrastructure critique ? »

Si 96% de vos codebases contiennent déjà de l’open source, la réponse n’est pas “pour ou contre”. La réponse est “comment je le gouverne”.

Trois actions concrètes (qui changent tout)

1. Cartographier vos dépendances critiques (y compris transitives) et les classer par impact. L'Indice de Résilience Numérique peut aider votre COMEX à y voir plus clair. [13]
2. Mettre en place une SBOM et une politique de mise à jour réellement appliquée [7].
3. Investir là où vous dépendez : contribution, sponsoring, temps mainteneurs, support contractuel quand c’est nécessaire. L’infrastructure invisible tient parce qu’on l’entretient, comme toute infrastructure.

L’open source n’est pas “peu fiable”. Il est le système de production logicielle dominant, une infrastructure invisible mondiale évaluée en trillions [4][5]. Et surtout : il s’améliore quand il est stressé. C’est précisément ce qui le rend, à long terme, plus solide que beaucoup d’alternatives.

En ce qui concerne la fiabilité, le risque n’est pas l’open source. Le risque, c’est de dépendre d’un socle critique sans le traiter comme tel.

Références

# Source
[1] Black Duck, 2024 Open Source Security and Risk Analysis Report (PDF). https://www.nuaware.com/hubfs/Black%20Duck/rep-ossra-2024.pdf

[2] W3Techs, “Usage statistics of Linux for websites” (statistiques mises à jour quotidiennement). https://w3techs.com/technologies/details/os-linux

[3] Phoronix, "Linux Use On Microsoft Azure Crosses 60% [...]" https://www.phoronix.com/news/Azure-Endorses-AlmaLinux

[4] Harvard Business School Working Paper 24-038, Hoffmann et al., The Value of Open Source Software (PDF). https://www.hbs.edu/ris/Publication%20Files/24-038_51f8444f-502c-4139-8bf2-56eb4b65c58a.pdf

[5] Harvard Business School D³, “Revealing Value: The Economic Power of Open Source Software”. https://d3.harvard.edu/revealing-value-the-economic-power-of-open-source-software/

[6] NIST, “Executive Order 14028, Improving the Nation’s Cybersecurity” (page de suivi). https://www.nist.gov/itl/executive-order-14028-improving-nations-cybersecurity

[7] NTIA (US Dept. of Commerce), “The Minimum Elements for a Software Bill of Materials (SBOM)”. https://www.ntia.gov/report/2021/minimum-elements-software-bill-materials-sbom

[8] Nassim Nicholas Taleb, Random House (US). ISBN 1-400-06782-0. "Antifragile: Things That Gain from Disorder". https://en.wikipedia.org/wiki/Antifragile_(book)

[9] OpenSSF, “Alpha-Omega Project” press release (1 Feb 2022). https://openssf.org/press-release/2022/02/01/openssf-announces-the-alpha-omega-project-to-improve-software-supply-chain-security-for-10000-oss-projects/

[10] Sovereign Tech Agency (STA). https://fr.wikipedia.org/wiki/Sovereign_Tech_Agency_(STA)

[11] ANSSI, page “Open-source” (enjeux et position). https://cyber.gouv.fr/enjeux-technologiques/open-source/

[12] ANSSI, “L’ANSSI met à jour sa politique open source” (9 fév. 2026). https://cyber.gouv.fr/actualites/lanssi-met-a-jour-sa-politique-open-source/

[13] L'Indice de Résilience Numérique (IRN). https://resiliencenumerique.com