Document no 4 : Sécurité et mise à niveau des logiciels libres #
Ce que les dirigeants doivent savoir :
Les considérations liées à la sécurité et à la mise à niveau associées aux logiciels propriétaires conventionnels et aux logiciels libres.
Les principaux défis auxquels les organisations sont confrontées dans la mise à niveau et la sécurisation de leurs solutions logicielles libres.
Les stratégies pour assurer une gestion et une mise à niveau réussies des logiciels libres.
Éléments clés #
Les logiciels à risque zéro n’existent pas : Tous les logiciels, qu’il s’agisse de logiciels propriétaires ou de logiciels libres, comportent des sous-modules et présentent des risques devant être gérés. En fait, la plupart des entreprises de logiciels propriétaires conventionnels utilisent le code source ouvert dans leurs produits et participent à la mise à niveau des logiciels libres.
Les logiciels libres ne sont pas intrinsèquement moins sûrs que les logiciels propriétaires conventionnels. Comme tout logiciel, les logiciels libres comportent certains risques inévitables, mais cela ne doit pas vous décourager d’envisager leur utilisation au sein de votre organisation. La meilleure solution est de procéder à une évaluation approfondie des risques et d’élaborer des plans appropriés pour les atténuer.
Plus il y a d’intervenants qui utilisent un logiciel libre, plus il y a de chances que les problèmes de mise à niveau critiques et les failles de sécurité soient résolus. Les logiciels libres appuyés par une grande collectivité active d’utilisateurs et de développeurs sont plus susceptibles de recevoir régulièrement des mises à jour et des rustines de sécurité. Toutefois, si vous utilisez un logiciel libre qui n’est pas largement appuyé par une collectivité d’utilisateurs, vous devrez compenser en vous assurant que vous disposez des capacités internes appropriées (ou que vous êtes en mesure de faire appel à une assistance externe) pour surveiller les vulnérabilités de sécurité.
Ne créez pas de « bifurcation » (fork) si vous n’êtes pas en mesure d’assurer la mise à niveau; plus votre organisation crée de codes personnalisés, plus vous devrez effectuer de mises à niveau. Si vous créez une instance locale indépendante (en bifurquant le code), les mises à jour et les rustines de sécurité deviendront votre responsabilité – et deviendront de plus en plus difficiles, car votre version s’éloignera de la version initiale au fil du temps.