The Librery

Français

English

Français

English

Appearance

Courrier aux élu.e.s du Sénat et de l'Assemblée Nationale

Bonjour,

Je me permets de prendre contact avec vous en votre qualité de membre de l’Office parlementaire d’évaluation des choix scientifiques et technologiques (OPECST) ou de la Commission spéciale sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité

Je vous écris pour vous partager une réflexion, une inquiétude, et quelques propositions à propos des infrastructures numériques de l’Etat et de leurs dépendances à des outils libres ou open source.

Je m’appelle Julien Paris, je suis développeur open source et co-fondateur de la coopérative numérique multi. Notre coopérative produit uniquement du code open source, nous sommes très impliqués dans les communautés du logiciel libre, et cela fait plusieurs années que nous nous travaillons étroitement avec la DINUM ou d’autres agences de l’Etat (ANCT ou ADEME pour ne citer que celles-là).

En parallèle à mon activité professionnelle j’ai lancé depuis plus d’un an des discussions autour d’une préoccupation avec une cinquantaine de structures et/ou personnes physiques (venues du droit, des communs numériques, ou du secteur public).

Ces discussions nous ont mené à élaborer des propositions dont le but premier est d’assurer une meilleure résilience des systèmes d’information publics et privés, et de viser à une consolidation d’une filière où la France excelle, celle de l’open source.

A) MISE EN PERSPECTIVE

Pour rappel l’open source est un pilier essentiel de toutes nos infrastructures numériques, publiques ou privées, permet de l’innovation sur le plan technologique, mais pose aujourd’hui des questions de sécurité profondément non triviales (voir le rapport OSSRA 2024) :

  • en moyenne 96% de tous les outils numériques contiennent de l’open source ;

  • les briques open source représentent environ 77% du code source de tous nos outils ;

  • et dans l’ensemble tous les outils ou briques numériques à la base de nos infrastructures contiennent des risques de vulnérabilité (84%), et de risques de vulnérabilités à haut risque (74%).

Les conséquences de la non prise en compte de notre dépendance collective et fondamentale à l’open source, et l’absence de prise en compte des particularités propres à cet écosystème, peuvent mener à des situations de crise que la presse n'arrive qu'à survoler : fuites de données, cyberattaques, espionnage, ingérences extérieures...

On pourra citer, rien qu’en 2024 : à l’échelle mondiale il y a bien sûr eu l’effet de traîne après l’incident XZ utils, mais pour n’aborder que le territoire national le cas du journal Le Point (fuite de données de 900 000 personnes), le groupe Boulanger (base de données fuitée de 27 millions de lignes), France Travail (43 millions de personnes potentiellement touchées), Free (5 millions de clients), Amazon (base de données de millions de lignes), ou encore la CAF (600 000 comptes).

Il est ainsi estimé que la France est le 4e pays le plus touché par les fuites de données, et que le nombre de cyberattaques ne fait que croître.

Notre préoccupation commune est donc la suivante : comment faire en sorte de mieux garantir la "bonne santé" de l’écosystème de l’open source, afin de mieux garantir la sécurité et la résilience de nos infrastructures numériques communes pour tous les citoyens, tout en renforçant nos capacités d'innovation ?

Les principaux constats qui nous amènent aujourd’hui à vous solliciter aujourd’hui pourraient se résumer ainsi :

  • Nos infrastructures numériques (publiques ou privés) reposent en immense majorité sur des dépendances multiples à des outils libres / open source / communs numériques, maintenus et développés partout dans le monde.

  • Il existe une grande diversité de modèles économiques et de modes de contributions à ces outils, impliquant une complexité à cartographier les besoins des projets et qui contribue à quoi.

  • Cela étant l’insuffisance des financements pour l’open source reste un sujet récurrent depuis plus de 20 ans, menant aujourd’hui à une réappropriation (certains diront de ré-enclosure) de ces outils par certaines entreprises sous droit états-unien (GAFAM).

  • Le défaut de maintenance ou de mise à jour de certaines de ces dépendances peut conduire à des failles majeures de sécurité et/ou des défauts de service, particulièrement préoccupants lorsqu’il s’agit d’infrastructures publiques ou privées critiques ou sensibles (hôpitaux, banques, collectivités, défense…).

  • La France possède néanmoins un savoir-faire important et une expertise historique dans le domaine de l’open source, mais aussi dans le domaine de la gestion collective de droits.

  • La réglementation communautaire, et notamment la mise en oeuvre de la directive NIS 2 actuellement en première lecture au Sénat, serait une occasion de prendre en compte ce risque "assurantiel" majeur vis-à-vis des dépendances aux outils libres, de prendre des mesures à la hauteur des enjeux, tout en prenant en compte la réalité des conditions matérielles, organisationnelles et géographiques de leur maintenance aujourd'hui.

Cette mise en perspective et les discussions menées depuis environ un an avec différentes parties prenantes ont mené à dessiner des pistes concrètes de solutions, des propositions. Celles-ci posent toutes au centre la question des modes de financement de l’open source et des ordres de grandeur à avoir à l’esprit pour avoir un réel impact.

Ces réflexions font d’ailleurs écho à différents travaux et programmes antérieurs (Rapport E. Bothorel, Rapport H. Verdier, Rapport A. Lemaire, recommandations Numeum, NEC, etc...) en tant qu’elles cherchent à trouver des pistes nouvelles pour :

  • Assurer la résilience des infrastructures numériques et des outils libres qui permettent aux services publics de fonctionner, dans une optique d’indépendance stratégique vis-à-vis de grandes sociétés extra-européennes (GAFAM, BATX...) ;

  • Assurer une plus forte capacité de mise en conformité avec les réglementations communautaires (RGPD, Digital Service Act, Cyber Resilience Act...) ;

  • Promouvoir et défendre le logiciel libre comme une filière industrielle à part, génératrice d'emplois, où la France occupe une place à part en Europe.

B) CO-CONSTRUIRE DES PROPOSITIONS

Sur la base de ces constats, et si vous partagez cette inquiétude pour nos infrastructures numériques, je voulais vous inviter à participer à co-construire et affiner ensemble quelques propositions pour répondre à ces enjeux.

Une des raisons principales de vous inviter à ces réflexions reste bien sûr qu’en tant que porte-parole de nos concitoyens, et par là également des entreprises et structures concernées par les sujets ici abordés, il est certain que vous saurez apporter un regard et des solutions nouvelles.

De manière plus spécifique il serait intéressant de pouvoir aborder avec vous la place accordée au soutien économique au logiciel libre dans les discussions relatives à la Résilience des infrastructures critiques et renforcement de la cybersécurité

Une des pistes qui nous semblait intéressante serait d’imaginer comment - dans une démarche expérimentale, concrète, dans le cadre législatif actuel et un soutien actif des institutions - il serait possible de mettre en place des mesures de soutien économique à l’open source à la hauteur des enjeux organisationnels et techniques.

Nous pensons que cela est sans doute possible, d’autant que certains projets numériques phares portés avec succès par l’Etat (SILL, Suite Numérique, France connect, AIC, ...) prouvent à la fois notre attachement collectif et l’utilité des solutions open source et libres.

Une première expérimentation pourrait s’appuyer sur certains de ces projets open source, afin de mesurer en conditions réelles les résultats les mesures que nous pourrions imaginer.

C) QUELQUES HYPOTHESES

Une première hypothèse expérimentale que nous tentons d'imaginer consisterait en la mise en place d’un organisme de gestion collective, paritaire et transparent, adossée à un fonds abondé par les secteurs publics et privés, dont la mission et spécialisation serait de soutenir économiquement l’écosystème particulier de l'open source en tant que filière industrielle.

Ces propositions et leur problématisation sont réunies dans ce site sous le nom de "The Librery", faisant office d’espace de documentation :

https://the-librery.eu/

Note : Il y a également un salon de discussion dédié et une bibliographie Zotero à disposition.

L'objectif général est d'imaginer un mode de pérennisation économique réaliste des outils numériques libres ou open source - que ce soit sur des couches "basses" ou des couches "hautes", pour l'applicatif ou pour leurs dépendances - complémentaire à d'autres formes de financements et d’aides existantes telles que les appels à projets, les subventions, ou la commande directe.

Les grands principes de cette idée d’organisme de gestion collective et de fonds associé seraient les suivants :

  • Un fonds géré de manière indépendante et paritaire, dont la gouvernance inclurait à la fois des acteurs publics, des acteurs privés (éditeurs, industriels), un comité scientifique, et de façon majoritaire des représentants des commoners (s’inspirant ici assez librement des grands principes ayant mené à la création de la SACD en 1777).

  • Un organisme et un fonds capable de mutualiser des contributions financières privées ou publiques, et chargé de ventiler ces sommes vers des outils/projets libres.

  • Côté acteurs publics un mécanisme simple de contribution financière de l’ordre de 2% des budgets alloués aux projets numériques, 2% reversés donc à ce fonds

  • Les personnes (morales ou physiques, privées ou publiques) abondant à ce fonds pourraient flécher ~50% de leur apport sur des projets précis de leur choix, la destination des autres ~50% étant choisie par l’organisme contributeur lui-même (s’inspirant ici du fonctionnement de Copie Publique).

  • De manière générale et dans un premier temps s’appuyer sur le droit et les réglementations existants pour envisager une expérimentation et itérer dans des conditions réelles, à court ou moyen terme.

Bien sûr ces hypothèses resteraient à affiner, notamment du point de vue de leur montage juridique, des capacités d’action des acteurs (notamment publics), et de l’argumentaire ou contreparties en direction des contributeurs financiers (publics ou privés). Autant de raisons qui nous poussent aujourd’hui à chercher à en discuter les contours avec vous.

J’espère que ces premières réflexions et cette invitation à échanger vous auront intéressé. Je reste bien évidemment disponible pour tout échange sur ces sujets, et serais heureux de connaître votre propre analyse et les mesures que vous comptez porter lors de vos échanges au sein de la commission.


Bien à vous


Julien Paris