Différences entre les versions de « Table ronde : l’Open Source comme levier de souveraineté numérique - Paris Open Source Summit »

De April MediaWiki
Aller à la navigationAller à la recherche
Ligne 76 : Ligne 76 :
 
==11’ 13==
 
==11’ 13==
  
<b>Henri Verdier : </b>Non, pas du tout.
+
 
 +
<b>Henri Verdier : </b>Non, pas du tout. Elles s’ajoutent sans problème. Une fois qu’on ramène la souveraineté à cette capacité d’agir, la France a intérêt à se doter de ses propres sécurités. Je ne sais pas si tu as prévu qu’on en parle. On a fait émerger quand même, en quelques années, France Connect pour pouvoir se dispenser de Facebook Connect, PayFiP avec la DGFiP [Direction générale des Finances publiques] pour se dispenser de PayPal, Tchap pour pouvoir avoir notre propre messagerie instantanée sur une base matrix-riot. Enfin on a mis un certain nombre de points de liberté comme ça. Nous on est prêts à les partager volontiers avec nos collègues. Plus on est de pays à utiliser les mêmes ressources et à mettre nos développeurs en commun plus on sera forts. On n’est pas obligé d’attendre que toute l’Europe décide d’y aller pour commencer et quand dans une philosophie authentiquement libre ensuite on tente de faire grossir la communauté.<br/>
 +
Ce qui me frappait, en revanche, quand j’entendais le début de la discussion c’est que, évidemment, il n’y a pas des bons et des méchants logiciels. Parfois on peut emprunter une stratégie libre qui ne sera pas une stratégie de souveraineté. Si vous n’avez aucun développeur qui maîtrise la techno ou si elle n’a pas de communauté du tout, ce n’est pas une affaire de religion, c’est vraiment une affaire « est-ce que ma communauté de développement est puissante, diverse, bien dans ses baskets ? » La première fois que j’ai fait un geste de retour vers le Libre dans l’État c’est juste parce que chaque fois que je demandais une modif de data.gouv.fr, je perdais six semaines à avoir un bon de commande venant du fournisseur puis deux mois de développement pour un truc qu’on savait faire en deux heures. Donc à la fin j’ai ré-internalisé une équipe et on l’a fait mais juste pour pouvoir faire ce qu’on voulait vite et pas cher. Je ne savais pas encore que j’allais partir vers le Libre ; c’était juste que je voulais pouvoir pivoter en 24 heures.
 +
 
 +
<b>Frédéric Simottel : </b>C’est ce qui dit Bernard Duverneuil, il faut maîtriser avant tout ; c’est un point important. Véronique, sur ce côté européen, juste un mot, au Syntec Numérique autour des droits d’auteur ; il n’y pas mal de débats aussi autour de ça.
 +
 
 +
<b>Véronique Torner : </b>Juste pour revenir à ce que disait Henri, je pense que ça ne suffit pas de faire le choix de l’<em>open source</em> pour la souveraineté. Il faut mettre en place, par ailleurs, une gouvernance. Mercredi c’était l’Open CIO Summit et il y avait un DSI qui disait qu’on pouvait être prisonnier également de l’<em>open source</em>. Si on ne met pas en place à côté une stratégie pour maîtriser on peut aussi se rendre prisonnier du logiciel libre ou de l’<em>open source</em>. Ce n’est pas juste le choix technologique ; à côté de ça il y a une stratégie de gouvernance d’ailleurs qui peut se matérialiser en fonction de ses enjeux. On peut, à un moment donné, dire je fais le choix de maîtriser, en fait, telle solution parce qu’elle est stratégique pour moi ; dans d’autres cas j’accepte, en fait, d’être dépendant parce que c’est moins stratégique.
 +
 
 +
<b>Frédéric Simottel : </b>On va revenir sur l’Europe un instant, on va continuer sur ce point-là. Henri puis un mot Vincent aussi.
 +
 
 +
<b>Henri Verdier : </b>Un mini-mot pour appuyer ce que tu viens de dire. Certains amis dans cette salle ont trouvé qu’on n’allait pas assez vers le logiciel libre ou pas assez vite. Nous, depuis deux ans, l’effort principal de la DINSIC ça a été de ré-encourager les agents publics à contribuer dans les communautés. Mais il y avait tout un raisonnement. À partir du moment où toutes les administrations et toutes les hiérarchies flippent quand un développeur va dans une communauté, en fait nous on pensait qu’on ne pouvait rien faire d’autre. Et on a commencé par attaquer ce problème-là, parce que c’est plus ça, c’est plus la gouvernance complète dans l’organisation qu’une stratégie d’achat, en fait.
 +
 
 +
<b>Frédéric Simottel : </b>Vincent c’est ça ? Quand on a préparé cette table ronde vous m’avez dit : « Attention, ce n’est pas parce qu’on utilise l’<em>open source</em> qu’on va être souverain, ce qu’il faut c’est maîtriser, bien identifier ses besoins. »
 +
 
 +
<b>Vincent Strubel : </b>Je me permettrais de plussoyer, si vous me permettez l’expression, sur ce qui a été dit. D’une part la souveraineté numérique ou la sécurité numérique ce n’est pas tout réécrire, tout refaire soi-même, c’est avant tout identifier quelques points de contrôle clefs, les technologies clefs qu’on a besoin de maîtriser. Et je peux vous renvoyer là-dessus sur un travail qui a été fait en début d’année, publié en début d’année, qui est la Revue stratégique de cyberdéfense, qui est en ligne et qui a un chapitre sur ces sujets-là avec un certain nombre d’idées, des technologies, la cryptographie évidemment, les systèmes d’exploitation et ainsi de suite. Et ensuite, maîtriser une technologie, ce n’est pas juste avoir une licence qui permet d’avoir une liberté d’usage. Il y a une différence entre liberté d’usage et capacité d’usage.<br/>
 +
Du point de vue de la sécurité, nous, ce dont on a besoin, c’est de pouvoir évaluer une solution, c’est de pouvoir l’adapter potentiellement pour corriger des choses ou faire mieux des choses dont on a besoin, c’est aussi pouvoir l’adapter dans l’urgence pour corriger des failles de sécurité. Tout ça nécessite de la compétence et donc ça nécessite un investissement que l’<em>open source</em> permet mais qui n’est pas automatique. Un logiciel libre peut être utilisé comme un logiciel propriétaire et on n’a, au-delà de la satisfaction intellectuelle, pas grand-chose de plus, donc ça nécessite un investissement.<br/>
 +
Un exemple concret, Henri en a cité quelques-uns moi je citerais qui me tient à cœur qui est CLIP OS, qui sera très présent sur le salon aujourd’hui, système d’exploitation sécurisé, développé par l’ANSSI – ça fait 15 ans qu’on a identifié le besoin de s’impliquer sur les systèmes d’exploitation. On a adapté un Linux, on a investi lourdement dedans – enfin tout est relatif – ce sont quelques ETP [équivalent temps plein], quelques personnes qui ont travaillé dessus pendant une dizaine d’années, qu’on publie aujourd’hui est c’est une <em>success-story</em>. C’est-à-dire qu’avec un investissement finalement relativement maîtrisé et raisonnable on obtient des vraies garanties de sécurité qui satisfont des besoins qui n’étaient pas couverts par des choses <em>open source</em> ou des choses sur étagère en tout cas. On a aussi une maîtrise dans la durée qui nous permet de réagir rapidement et enfin un effet : si je parle aujourd’hui de CLIP OS alors qu’on n’en a parlé tellement au cours des années écoulées, c’est qu’on le publie aujourd’hui et qu’effectivement on mise sur la fédération des bonnes idées, la fédération des contributions. Là encore ce n’est pas parce qu’on veut le maîtriser qu’on ne peut pas partager cette maîtrise avec d’autres acteurs, d’autres États européens, des contributeurs de la société civile, etc.<br/>
 +
Peut-être juste pour finir là-dessus, un point clef finalement dans la souveraineté numérique, ce n’est pas tant les licences d’usage, etc., le nerf de la guerre dans la numérique c’est la compétence L’<em>open source</em> n’a de sens que si elle est assortie d’une certaine compétence, elle permet de développer cette compétence, elle permet de l’exprimer, elle permet de la partager, mais sans compétences l’<em>open source</em> n’est rien.
 +
 
 +
<b>Frédéric Simottel : </b>Ce que vous pensez aussi, c’est que ce n’est pas parce qu’on a un industriel français dans ses solutions que ça y est, on est tout de suite souverain ?
 +
 
 +
<b>Vincent Strubel : </b>Ça dépend très largement, là encore, de la typologie des technologies. Il y a des choses où c’est très bien d’avoir des industriels français qui maîtrisent une technologie, de s’appuyer sur eux et on a vrai partenariat avec tout un tissu industriel. Il y a des choses qui sont tellement clefs pour l’État qu’il ne peut pas se permettre même d’externaliser et qu’il a besoin, dans une certaine mesure, de ré-internaliser au moins la compétence. Même passer une commande à un industriel, si on n’est pas compétent pour savoir ce qu’on veut, on n’aura pas ce qu’on veut !
 +
 
 +
<b>Frédéric Simottel : </b>Jean-Noël.
 +
 
 +
<b>Jean-Noël de Galzain : </b>Moi je crois qu’il ne faut pas confondre effectivement <em>open source</em>, logiciel libre et gratuité. Et il ne faut pas se dire non plus que parce qu’on va développer un CLIP OS ou une messagerie à l’intérieur de l’État avec des agents publics, il y a une question de souveraineté ou de liberté. Le logiciel libre ça s’accompagne de moyens comme tout domaine dans l’innovation s’accompagne de moyens. Moi je suis éditeur de logiciels, par exemple, j’ai créé un éditeur de logiciels dans la sécurité. Mes développeurs travaillent dans le logiciel libre depuis le début. Le nom de ma boîte c’est Wallix, c’est <em>wall</em>, un mur, sous Linux. On a toujours travaillé sous Linux avec des logiciels libres, etc., et après on a un modèle industriel. Parce que dans la sécurité, les clients demandent un certain nombre de contraintes : il y a des contraintes particulières de sécurité. D’ailleurs quand l’ANSSI vient certifier, qualifier un logiciel, il n’y a pas d’histoire de logiciel libre ou pas logiciel libre : ce sont des choses extrêmement précises d’audit qui n’ont plus rien à voir avec la liberté de développer. Je crois que ce qui est important, ce qu’on voit par exemple dans le pôle Systematic, c’est qu’on voit effectivement que le logiciel libre c’est une communauté : les gens viennent travailler ensemble, développer du logiciel ensemble, développer des applications et pourquoi pas des nouvelles <em>appliances</em> hardware, des nouveaux objets connectés, etc. C’est ce qui va permettre à un entrepreneur qui a une idée, à un étudiant qui sort de l’école ou de l’université de lancer sa start-up sans avoir à payer une licence au départ, effectivement, en ayant des espaces de liberté pour développer et en quoi est-ce que ça a un rôle dans la souveraineté ? C’est que si on ne garde pas ces espaces de liberté pour créer nos propres outils, eh bien demain on ne fera qu’importer les outils des autres. Par exemple quand mon enfant, à l’école ou au collège, se connectera sur son environnement numérique de travail, eh bien il le fera en allant se connecter chez Google ou chez Facebook qui est aux États-Unis et à ce moment-là en lisant des logiciels en anglais, etc., en perdant peu à peu notre fil culturel, nos valeurs, etc., donc notre liberté d’entreprendre. Je crois que c’est hyper important de se dire que les gens qui sont autour de nous ont besoin de ça et ensuite ils ont besoin de moyens. C’est-à-dire qu’avec ce besoin de souveraineté et autour de cette possibilité de créer des logiciels, on a besoin, un entrepreneur ou une équipe de développeurs vont avoir besoin de pouvoir lever des fonds, de pouvoir trouver des partenariats avec des utilisateurs. Donc il y a absolument besoin, et ça c’est une bonne nouvelle que le Cigref dise « on va travailler avec l’<em>open source</em> » parce que ça ouvre tout un tas de possibilités pour des nouvelles solutions, des nouveaux produits qui viennent de l’<em>open source</em>. On a besoin de choses très concrètes, donc quelque part, quand on va développer une messagerie ou un nouvel OS parce qu’on estime qu’on en a besoin en France et qu’on a un besoin souverain là-dessus, il ne faut pas hésiter à faire appel à l’industrie.
 +
 
 +
<b>Frédéric Simottel : </b>Un tout petit mot de Véronique et Paula je vous passe la parole.
 +
 
 +
<b>Véronique Torner : </b>Juste par rapport au débat, je pense que c’est important de dire que l’<em>open source</em> est une brique importante dans une stratégie de souveraineté. Ça ne peut pas être la seule brique. D’ailleurs on en avait parlé ensemble : sur le rapport annuel de la Cour des comptes il a été dit, en fait, quel le logiciel libre et l’<em>open source</em> c’était un enjeu de sécurité et de souveraineté, mais c’est un composant ; c’est une brique. Et pourquoi c’est important ? Parce que l’<em>open source</em> en son sein porte des valeurs de traçabilité, d’explicabilité et ça ce sont des éléments importants si on veut avoir une stratégie, à un moment donné, de maîtrise et de contrôle, en fait, du numérique.
 +
 
 +
<b>Frédéric Simottel : </b>Paula Forteza.
 +
 
 +
<b>Paula Forteza : </b>Moi je voulais revenir sur comment l’État peut participer de ces projets <em>open source</em>. Maintenant l’État commence à être bon à développer lui-même des produits <em>open source</em> : on a les entrepreneurs d’intérêts généraux, les start-ups d’État qui commencent à développer eux-mêmes des produits <em>open source</em>, mais ils n’arrivent pas encore à participer activement dans les communautés en dehors de l’État. Je crois qu’il faut qu’on aille un peu plus loin que cet État plateforme qu’Henri avait bien théorisé il y a quelques années. L’État plateforme c’était : on met à disposition des données, des API, du code, pour que des acteurs extérieurs développent des services ou des applications. Je crois que maintenant il faut que l’État puisse participer dans ces communautés avec des compétences, avec du financement, qu’il puisse participer à la gouvernance. En fait, c’est un enjeu de souveraineté aussi pour pouvoir proposer les alternatives aux GAFA dont on a besoin, un peu ces champions français et européens dont tout le monde parle.
 +
 
 +
<b>Frédéric Simottel : </b>Vous pensez qu’il faut davantage d’ouverture ? Aujourd’hui on n’a pas assez, on va en reparler avec Henri, par rapport à ce qui a été mis en place pour ouvrir encore ?
 +
 
 +
<b>Paula Forteza : </b>Je crois qu’on a la politique de contribution du logiciel libre où les agents peuvent commencer à contribuer, mais c’est très incipient. Je crois que maintenant, il faut qu’on puisse aller investir sur par exemple sur toutes les apps qu’on retrouve sur Cloudron, des messageries, des éditeurs de texte, disons des logiciels, des services qui sont stratégiquement importants en termes de souveraineté. Si on veut faire ces champions européens, français du numérique, il ne faut pas qu’on copie Google, Facebook, etc., il faut qu’on les fasse avec nos valeurs, avec notre éthique, notre façon de faire en logiciels libres, donc l’État doit pouvoir contribuer financièrement en termes de gouvernance. On a encore du mal. L’État a été écarté, par exemple, de la Fondation LibreOffice parce qu’ils avaient du mal à apporter autre chose que juste un logo et une présence institutionnelle. Donc il faut trouver les véhicules juridiques, les véhicules en termes administratifs, pour pouvoir rentrer dans ces communautés et contribuer de façon proactive.
 +
 
 +
<b>Frédéric Simottel : </b>Et puis on parlera tout à l’heure de participation citoyenne, c’est aussi quelque chose d’important. Vincent Srubel puis Henri reviendra.
 +
 
 +
==23’ 57==
 +
 
 +
<b>Vincent Srubel : </b>Juste en réaction.

Version du 30 décembre 2018 à 14:07


Titre : Table ronde : l’Open Source comme levier de souveraineté numérique

Intervenants : Paula Forteza - Véronique Torner - Bernard Duverneuil - Vincent Strubel - Henri Verdier - Jean-Noël de GALZAIN - Frédéric Simottel

Lieu : Paris Open Source Summit

Date : décembre 2018

Durée : 49 min

Visionner la table ronde

Licence de la transcription : Verbatim

Illustration :

NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Statut : Transcrit MO

Transcription

Frédéric Simottel : On va parler maintenant de souveraineté, vous savez c’est un mot qui est très employé aujourd’hui à l’international et même en France ; on va le voir avec nos invités ; je vous remercie de les accueillir. Je vais les inviter à me rejoindre sur scène : Paula Forteza, Véronique Torner, Bernard Duverneuil, Vincent Strubel, Henri Verdier et Jean-Noël de Galzain. Vous êtes les bienvenus sur scène. On peut les applaudir. Henri va être sur le canapé ou sur le fauteuil voilà allez-y, on est bien tous ensemble.
Dans l’ordre d’apparition sur scène : Bernard Duverneuil qui est président du Cigref et aussi DSI du groupe Essilor. Bonjour Bernard, merci d’être avec nous. Véronique Torner qui est administratrice de Syntec Numérique et coprésidente d’Alter Way, Véronique bonjour. Paula Forteza vous êtes députée, rapporteure du groupe de travail sur la démocratie numérique et les nouvelles formes de participation citoyenne à l’Assemblée nationale, bonjour. Vous avez aussi dirigé Etalab.

Paula Forteza : Inaudible.

Frédéric Simottel : Ce n’était pas vous, c’est Henri.

Paula Forteza : J’ai travaillé à Etalab.

Frédéric Simottel : Vous avez travaillé à Etalab. N’oubliez pas de prendre les micros. Henri Verdier, ambassadeur pour le numérique et puis ancien patron, c’est encore tout récent, de la DINSIC et justement on verra un peu toutes ces histoires de plateformes de l’État, vous allez comprendre tout cela avec nous. À vos côtés Jean-Noël de Galzain, vice-président du Pôle Systematic Paris-Région et CEO [Chief Executive Officer] de Wallix, bonjour Jean-Noël. Et puis à ma droite Vincent Strubel, sous-directeur expertise de l’ANSSI [Agence nationale de la sécurité des systèmes d’information]. Merci à tous d’être avec nous.
Ce mot souveraineté, je vous l’ai dit, il apparaît dans beaucoup de discours. Je ne vais pas vous faire Donald Trump : « Ce qui nous protège c’est notre souveraineté, l’exercice souverain de nos forces au service du progrès. C’est ça l’indépendance des nations ». Emmanuel Macron y va aussi de son couplet là-dessus. Si on devait définir un peu cette souveraineté numérique, Paula Forteza, s’il fallait donner une définition de ce mot « souveraineté numérique ».

Paula Forteza : J’aime bien prendre le mot « souveraineté » pas en termes régaliens, mais en termes de ce qu’on peut voir dans notre Constitution. Dans notre Constitution, à l’article 3, on définit la souveraineté comme appartenant au peuple. Donc pour moi la souveraineté c’est vraiment la maîtrise par les individus eux-mêmes du numérique, de leurs outils. Je crois qu’il faut remettre le citoyen au cœur de la souveraineté et que, dans ce sens-là, l’open source a toute sa place parce que ça permet justement de maîtriser les usages, de collaborer ; ça permet plus de transparence. Déjà, à partir de la protection des données personnelles, on commence à voir cette définition de la souveraineté numérique en termes individuels avec cette idée d’autodétermination informationnelle et ça commence à pénétrer les esprits petit à petit.

Frédéric Simottel : Véronique, un mot sur la souveraineté.

Véronique Torner : Du coup moi je vais prendre la position en tant qu’entrepreneur. Je pense que la souveraineté, pour une entreprise, c’est maîtriser sa trajectoire. Maîtriser sa trajectoire c’est porter une vision, être capable de se donner les moyens de cette vision, et puis également dans les moyens c’est de toujours avoir le choix. Nous chez Alter Way on a fait le choix de l’open source pour tous les atouts que représente l’open source que ce soit l’innovation, la collaboration, les domaines éthiques aussi qui sont importants à nos yeux et ça pour nous-mêmes mais également pour nos clients.

Frédéric Simottel : Bernard pour le côté entreprise, le Cigref que vous représentez, 140 grandes entreprises qui débattent, qui sortent des rapports sur le numérique et notamment le dernier rapport qui a été présenté hier soir par Stéphane Rousseau autour de l’open source dans l’entreprise.

Bernard Duverneuil : Absolument. L’open source aide à l’indépendance. La souveraineté, pour nous, c’est une définition un peu ouverte, mais c’est être maître de son destin, c’est être indépendant. L’open source peut nous y aider, on y reviendra, mais c’est maîtriser nos choix, maîtriser les solutions qu’on acquiert dans les entreprises, être capable de les supporter, de les faire évoluer à sa guise et ne pas être dépendant de fournisseurs ou d’un écosystème beaucoup plus restrictif.

Frédéric Simottel : Vincent, vous êtes de l’ANSSI, donc quand on parle souveraineté, on va relier ça avec la cybersécurité. Vous, selon votre prisme, quelle est votre définition de la souveraineté ?

Vincent Strubel : Par définition moi j’aurais une orientation très centrée sur la sécurité et sur le volet régalien de ce qui est entendu par l’article 3 de la Constitution. Pour nous la souveraineté c’est la capacité d’avoir les moyens de sécuriser, ou d’apporter les garanties de sécurité nécessaire à l’exercice de cette souveraineté ; ça passe par la maîtrise de solutions, évidemment, et l’open sourceest une des voies pour faire ça.

Frédéric Simottel : Henri, autour de cette souveraineté justement, est-ce qu’on peut être innovant aujourd’hui sans passer par les GAFA et sans avoir ce côté souveraineté un peu mis à mal ?

Henri Verdier : On a déjà dit beaucoup de choses effectivement la souveraineté c’est être son propre souverain donc ne pas plier le genou devant un autre. Pour moi et pour beaucoup d’informaticiens ça devrait être la capacité, le maximum de capacité d’agir. Ce qui m’a souvent frappé c’est que parfois un patron de PME a une vision de souveraineté plus précise et plus spontanée que quelques certains hauts fonctionnaires, c’est-à-dire si je suis dans une dépendance totale, si je ne peux pas ouvrir mon code, corriger un bug, comprendre si j’ai une backdoor, eh bien j’ai perdu beaucoup de degrés de liberté. Et puis Paula l’a rappelé, on a une démocratie donc celui qui est souverain c’est le peuple et la souveraineté de l’État c’est pour protéger l’autonomie du sujet, sa liberté d’information, d’action, d’entreprendre pour chaque citoyen.
Effectivement, pour arriver à la question de l’open source, moi je crois qu’une des choses que nous devons regarder en face c’est que nous sommes entrés dans une monde dans une économie plateformisée, dans laquelle il est extrêmement difficile d’innover sans s’appuyer sur ces grandes plateformes et je pense que la plupart des innovateurs qui sont dans cette salle, précisément peut-être pas dans cette salle, mais en général dans l’État ou dans les entreprises, si vous faites un produit génial, probablement que vous avez signé des conditions générales d’utilisation avec Apple ou avec Google Play, probablement avec PayPal, avec Google Maps, avec Facebook Connect, et vous vous êtes installé dans une sorte de dépendance qui n’est pas toujours dramatique mais qui est une véritable dépendance. On a pu voir cet été des API dont le coût a été multiplié par 140 sur décision unilatérale.

Frédéric Simottel : Google Maps.

Henri Verdier : On vient de voir ce matin que les Anglais dévoilent des fails qui montrent que Facebook avait un certain nombre d’accords avec certains fournisseurs et pas d’autres et c’était organisé pour écouter les conversations téléphoniques pour vous proposer des amis plus précis en regardant votre répertoire. Tout ça, si on ne le sait pas, si on ne l’opère pas, si on ne le tient pas, eh bien on est moins souverain.

Frédéric Simottel : Jean-Noël, souveraineté. Est-ce que cette souveraineté de l’angle soit Systematic soit Wallix. On a eu tout à l’heure cette vidéo Red Hat, c’est quand même l’une des grosses actualités de ces derniers jours. Est-ce que là ça met à mal cette idée de souveraineté ce rapprochement ou, au contraire, ça peut permettre d’étendre un peu plus cette culture open source ?

Jean-Noël de Galzain : Oui. Je pense que ça ne fait que montrer une étape supplémentaire où aujourd’hui l’open source rencontre un leader de l’industrie ou les leaders de l’industrie et ça montre aussi que les questions de souveraineté et d’open source ne sont peut-être pas le lien le plus évident qu’on peut faire. Je parlerais plutôt de liberté et d’open source. Pour ça je me souviens, il y a quelques années, il se trouve que quand on a lancé à l’époque l’Open World Forum qui était le prédécesseur du POSS, justement, on parlait beaucoup de logiciel libre, d’open source. Et en fait la quintessence de l’open source c’est le logiciel libre et au fond le logiciel libre c’est ménager des espaces de liberté, comme l’a très bien dit Henri, dans un monde où l’IT [Information Technology] a énormément changé et de quelque chose qui touchait l’informatique de gestion c’est devenu quelque chose d’universel. Dans cet environnement numérique universel, il faut préserver ses espaces de liberté qui permettent l’innovation, la disruption et qui permettent par exemple, comme l’a dit Véronique, à des entrepreneurs de changer l’ordre des choses.
En revanche, là où il ne faut pas être naïf, c’est que le monde a également beaucoup changé c’est-à-dire que l’IT est devenu industrielle, les entreprises n’ont pas exactement les mêmes attentes qu’un développeur individuel ou qu’un groupe de développeurs qui développent soit pour eux soit pour inventer quelque chose, donc il faut sans doute travailler sur la notion de souveraineté en ce sens qu’il faut permettre de conserver ces espaces de liberté. Donc il faut défendre à tout prix le logiciel libre, l’approche du logiciel libre, au même titre que ne pas mélanger ces questions de souveraineté et de liberté.

Frédéric Simottel : Mais là, avec Red Hat IBM, l’innovation, l’infrastructure, le cloud ?

Jean-Noël de Galzain : Red Hat IBM c’est l’innovation. C’est-à-dire qu’aujourd’hui les GAFAM ont effectivement porté la bataille sur le cloud. Il y a énormément de progrès, on voit bien que l’informatique va aller dans le nuage pour une grande partie et c’est pour faire un saut quantique, on va dire, sur les technologies du cloud face à Amazon, face à Google, face aux nouveaux concurrents de l’informatique. Le monde a changé, ce n’est plus forcément les fabricants de matériel ou seulement les fabricants de logiciels, c’est une nouvelle appliance dans laquelle on retrouve l’infrastructure, le logiciel et évidemment la communauté de développeurs qui est prête à l’utiliser pour créer des nouvelles applications. Donc c’est effectivement un saut dans l’innovation et le logiciel libre restera libre, existera toujours.

Frédéric Simottel : Bernard, du côté des entreprises, on regarde comment ce type de rapprochement, les Microsoft GitHub, les Red Hat IBM ?

Vincent Strubel : Les grandes entreprises donc le Cigref mais aussi les administrations sont extrêmement vigilantes sur les rachats par ces grands du logiciel de structures qui étaient initialement extrêmement innovantes parce qu’on a pu constater, par le passé, que ces grands éditeurs avaient tendance in fine à tuer l’innovation ou en tout cas cette innovation-là, donc on est assez vigilants. On est inquiets sur le fait que ces grands éditeurs puissent, aujourd’hui, continuer à laisser l’innovation se développer au sein de ces structures-là. Donc pour l’instant on est vigilants, bien évidemment, mais il ne nous semble pas que la concentration soit facteur d’innovation.

Frédéric Simottel : Henri Verdier, souveraineté, on pense souveraineté nationale, on pense souveraineté aussi européenne, est-ce qu’il y a une contradiction dans l’univers évidemment dans lequel nous sommes autour de l’open source et des technologies ?

11’ 13

Henri Verdier : Non, pas du tout. Elles s’ajoutent sans problème. Une fois qu’on ramène la souveraineté à cette capacité d’agir, la France a intérêt à se doter de ses propres sécurités. Je ne sais pas si tu as prévu qu’on en parle. On a fait émerger quand même, en quelques années, France Connect pour pouvoir se dispenser de Facebook Connect, PayFiP avec la DGFiP [Direction générale des Finances publiques] pour se dispenser de PayPal, Tchap pour pouvoir avoir notre propre messagerie instantanée sur une base matrix-riot. Enfin on a mis un certain nombre de points de liberté comme ça. Nous on est prêts à les partager volontiers avec nos collègues. Plus on est de pays à utiliser les mêmes ressources et à mettre nos développeurs en commun plus on sera forts. On n’est pas obligé d’attendre que toute l’Europe décide d’y aller pour commencer et quand dans une philosophie authentiquement libre ensuite on tente de faire grossir la communauté.
Ce qui me frappait, en revanche, quand j’entendais le début de la discussion c’est que, évidemment, il n’y a pas des bons et des méchants logiciels. Parfois on peut emprunter une stratégie libre qui ne sera pas une stratégie de souveraineté. Si vous n’avez aucun développeur qui maîtrise la techno ou si elle n’a pas de communauté du tout, ce n’est pas une affaire de religion, c’est vraiment une affaire « est-ce que ma communauté de développement est puissante, diverse, bien dans ses baskets ? » La première fois que j’ai fait un geste de retour vers le Libre dans l’État c’est juste parce que chaque fois que je demandais une modif de data.gouv.fr, je perdais six semaines à avoir un bon de commande venant du fournisseur puis deux mois de développement pour un truc qu’on savait faire en deux heures. Donc à la fin j’ai ré-internalisé une équipe et on l’a fait mais juste pour pouvoir faire ce qu’on voulait vite et pas cher. Je ne savais pas encore que j’allais partir vers le Libre ; c’était juste que je voulais pouvoir pivoter en 24 heures.

Frédéric Simottel : C’est ce qui dit Bernard Duverneuil, il faut maîtriser avant tout ; c’est un point important. Véronique, sur ce côté européen, juste un mot, au Syntec Numérique autour des droits d’auteur ; il n’y pas mal de débats aussi autour de ça.

Véronique Torner : Juste pour revenir à ce que disait Henri, je pense que ça ne suffit pas de faire le choix de l’open source pour la souveraineté. Il faut mettre en place, par ailleurs, une gouvernance. Mercredi c’était l’Open CIO Summit et il y avait un DSI qui disait qu’on pouvait être prisonnier également de l’open source. Si on ne met pas en place à côté une stratégie pour maîtriser on peut aussi se rendre prisonnier du logiciel libre ou de l’open source. Ce n’est pas juste le choix technologique ; à côté de ça il y a une stratégie de gouvernance d’ailleurs qui peut se matérialiser en fonction de ses enjeux. On peut, à un moment donné, dire je fais le choix de maîtriser, en fait, telle solution parce qu’elle est stratégique pour moi ; dans d’autres cas j’accepte, en fait, d’être dépendant parce que c’est moins stratégique.

Frédéric Simottel : On va revenir sur l’Europe un instant, on va continuer sur ce point-là. Henri puis un mot Vincent aussi.

Henri Verdier : Un mini-mot pour appuyer ce que tu viens de dire. Certains amis dans cette salle ont trouvé qu’on n’allait pas assez vers le logiciel libre ou pas assez vite. Nous, depuis deux ans, l’effort principal de la DINSIC ça a été de ré-encourager les agents publics à contribuer dans les communautés. Mais il y avait tout un raisonnement. À partir du moment où toutes les administrations et toutes les hiérarchies flippent quand un développeur va dans une communauté, en fait nous on pensait qu’on ne pouvait rien faire d’autre. Et on a commencé par attaquer ce problème-là, parce que c’est plus ça, c’est plus la gouvernance complète dans l’organisation qu’une stratégie d’achat, en fait.

Frédéric Simottel : Vincent c’est ça ? Quand on a préparé cette table ronde vous m’avez dit : « Attention, ce n’est pas parce qu’on utilise l’open source qu’on va être souverain, ce qu’il faut c’est maîtriser, bien identifier ses besoins. »

Vincent Strubel : Je me permettrais de plussoyer, si vous me permettez l’expression, sur ce qui a été dit. D’une part la souveraineté numérique ou la sécurité numérique ce n’est pas tout réécrire, tout refaire soi-même, c’est avant tout identifier quelques points de contrôle clefs, les technologies clefs qu’on a besoin de maîtriser. Et je peux vous renvoyer là-dessus sur un travail qui a été fait en début d’année, publié en début d’année, qui est la Revue stratégique de cyberdéfense, qui est en ligne et qui a un chapitre sur ces sujets-là avec un certain nombre d’idées, des technologies, la cryptographie évidemment, les systèmes d’exploitation et ainsi de suite. Et ensuite, maîtriser une technologie, ce n’est pas juste avoir une licence qui permet d’avoir une liberté d’usage. Il y a une différence entre liberté d’usage et capacité d’usage.
Du point de vue de la sécurité, nous, ce dont on a besoin, c’est de pouvoir évaluer une solution, c’est de pouvoir l’adapter potentiellement pour corriger des choses ou faire mieux des choses dont on a besoin, c’est aussi pouvoir l’adapter dans l’urgence pour corriger des failles de sécurité. Tout ça nécessite de la compétence et donc ça nécessite un investissement que l’open source permet mais qui n’est pas automatique. Un logiciel libre peut être utilisé comme un logiciel propriétaire et on n’a, au-delà de la satisfaction intellectuelle, pas grand-chose de plus, donc ça nécessite un investissement.
Un exemple concret, Henri en a cité quelques-uns moi je citerais qui me tient à cœur qui est CLIP OS, qui sera très présent sur le salon aujourd’hui, système d’exploitation sécurisé, développé par l’ANSSI – ça fait 15 ans qu’on a identifié le besoin de s’impliquer sur les systèmes d’exploitation. On a adapté un Linux, on a investi lourdement dedans – enfin tout est relatif – ce sont quelques ETP [équivalent temps plein], quelques personnes qui ont travaillé dessus pendant une dizaine d’années, qu’on publie aujourd’hui est c’est une success-story. C’est-à-dire qu’avec un investissement finalement relativement maîtrisé et raisonnable on obtient des vraies garanties de sécurité qui satisfont des besoins qui n’étaient pas couverts par des choses open source ou des choses sur étagère en tout cas. On a aussi une maîtrise dans la durée qui nous permet de réagir rapidement et enfin un effet : si je parle aujourd’hui de CLIP OS alors qu’on n’en a parlé tellement au cours des années écoulées, c’est qu’on le publie aujourd’hui et qu’effectivement on mise sur la fédération des bonnes idées, la fédération des contributions. Là encore ce n’est pas parce qu’on veut le maîtriser qu’on ne peut pas partager cette maîtrise avec d’autres acteurs, d’autres États européens, des contributeurs de la société civile, etc.
Peut-être juste pour finir là-dessus, un point clef finalement dans la souveraineté numérique, ce n’est pas tant les licences d’usage, etc., le nerf de la guerre dans la numérique c’est la compétence L’open source n’a de sens que si elle est assortie d’une certaine compétence, elle permet de développer cette compétence, elle permet de l’exprimer, elle permet de la partager, mais sans compétences l’open source n’est rien.

Frédéric Simottel : Ce que vous pensez aussi, c’est que ce n’est pas parce qu’on a un industriel français dans ses solutions que ça y est, on est tout de suite souverain ?

Vincent Strubel : Ça dépend très largement, là encore, de la typologie des technologies. Il y a des choses où c’est très bien d’avoir des industriels français qui maîtrisent une technologie, de s’appuyer sur eux et on a vrai partenariat avec tout un tissu industriel. Il y a des choses qui sont tellement clefs pour l’État qu’il ne peut pas se permettre même d’externaliser et qu’il a besoin, dans une certaine mesure, de ré-internaliser au moins la compétence. Même passer une commande à un industriel, si on n’est pas compétent pour savoir ce qu’on veut, on n’aura pas ce qu’on veut !

Frédéric Simottel : Jean-Noël.

Jean-Noël de Galzain : Moi je crois qu’il ne faut pas confondre effectivement open source, logiciel libre et gratuité. Et il ne faut pas se dire non plus que parce qu’on va développer un CLIP OS ou une messagerie à l’intérieur de l’État avec des agents publics, il y a une question de souveraineté ou de liberté. Le logiciel libre ça s’accompagne de moyens comme tout domaine dans l’innovation s’accompagne de moyens. Moi je suis éditeur de logiciels, par exemple, j’ai créé un éditeur de logiciels dans la sécurité. Mes développeurs travaillent dans le logiciel libre depuis le début. Le nom de ma boîte c’est Wallix, c’est wall, un mur, sous Linux. On a toujours travaillé sous Linux avec des logiciels libres, etc., et après on a un modèle industriel. Parce que dans la sécurité, les clients demandent un certain nombre de contraintes : il y a des contraintes particulières de sécurité. D’ailleurs quand l’ANSSI vient certifier, qualifier un logiciel, il n’y a pas d’histoire de logiciel libre ou pas logiciel libre : ce sont des choses extrêmement précises d’audit qui n’ont plus rien à voir avec la liberté de développer. Je crois que ce qui est important, ce qu’on voit par exemple dans le pôle Systematic, c’est qu’on voit effectivement que le logiciel libre c’est une communauté : les gens viennent travailler ensemble, développer du logiciel ensemble, développer des applications et pourquoi pas des nouvelles appliances hardware, des nouveaux objets connectés, etc. C’est ce qui va permettre à un entrepreneur qui a une idée, à un étudiant qui sort de l’école ou de l’université de lancer sa start-up sans avoir à payer une licence au départ, effectivement, en ayant des espaces de liberté pour développer et en quoi est-ce que ça a un rôle dans la souveraineté ? C’est que si on ne garde pas ces espaces de liberté pour créer nos propres outils, eh bien demain on ne fera qu’importer les outils des autres. Par exemple quand mon enfant, à l’école ou au collège, se connectera sur son environnement numérique de travail, eh bien il le fera en allant se connecter chez Google ou chez Facebook qui est aux États-Unis et à ce moment-là en lisant des logiciels en anglais, etc., en perdant peu à peu notre fil culturel, nos valeurs, etc., donc notre liberté d’entreprendre. Je crois que c’est hyper important de se dire que les gens qui sont autour de nous ont besoin de ça et ensuite ils ont besoin de moyens. C’est-à-dire qu’avec ce besoin de souveraineté et autour de cette possibilité de créer des logiciels, on a besoin, un entrepreneur ou une équipe de développeurs vont avoir besoin de pouvoir lever des fonds, de pouvoir trouver des partenariats avec des utilisateurs. Donc il y a absolument besoin, et ça c’est une bonne nouvelle que le Cigref dise « on va travailler avec l’open source » parce que ça ouvre tout un tas de possibilités pour des nouvelles solutions, des nouveaux produits qui viennent de l’open source. On a besoin de choses très concrètes, donc quelque part, quand on va développer une messagerie ou un nouvel OS parce qu’on estime qu’on en a besoin en France et qu’on a un besoin souverain là-dessus, il ne faut pas hésiter à faire appel à l’industrie.

Frédéric Simottel : Un tout petit mot de Véronique et Paula je vous passe la parole.

Véronique Torner : Juste par rapport au débat, je pense que c’est important de dire que l’open source est une brique importante dans une stratégie de souveraineté. Ça ne peut pas être la seule brique. D’ailleurs on en avait parlé ensemble : sur le rapport annuel de la Cour des comptes il a été dit, en fait, quel le logiciel libre et l’open source c’était un enjeu de sécurité et de souveraineté, mais c’est un composant ; c’est une brique. Et pourquoi c’est important ? Parce que l’open source en son sein porte des valeurs de traçabilité, d’explicabilité et ça ce sont des éléments importants si on veut avoir une stratégie, à un moment donné, de maîtrise et de contrôle, en fait, du numérique.

Frédéric Simottel : Paula Forteza.

Paula Forteza : Moi je voulais revenir sur comment l’État peut participer de ces projets open source. Maintenant l’État commence à être bon à développer lui-même des produits open source : on a les entrepreneurs d’intérêts généraux, les start-ups d’État qui commencent à développer eux-mêmes des produits open source, mais ils n’arrivent pas encore à participer activement dans les communautés en dehors de l’État. Je crois qu’il faut qu’on aille un peu plus loin que cet État plateforme qu’Henri avait bien théorisé il y a quelques années. L’État plateforme c’était : on met à disposition des données, des API, du code, pour que des acteurs extérieurs développent des services ou des applications. Je crois que maintenant il faut que l’État puisse participer dans ces communautés avec des compétences, avec du financement, qu’il puisse participer à la gouvernance. En fait, c’est un enjeu de souveraineté aussi pour pouvoir proposer les alternatives aux GAFA dont on a besoin, un peu ces champions français et européens dont tout le monde parle.

Frédéric Simottel : Vous pensez qu’il faut davantage d’ouverture ? Aujourd’hui on n’a pas assez, on va en reparler avec Henri, par rapport à ce qui a été mis en place pour ouvrir encore ?

Paula Forteza : Je crois qu’on a la politique de contribution du logiciel libre où les agents peuvent commencer à contribuer, mais c’est très incipient. Je crois que maintenant, il faut qu’on puisse aller investir sur par exemple sur toutes les apps qu’on retrouve sur Cloudron, des messageries, des éditeurs de texte, disons des logiciels, des services qui sont stratégiquement importants en termes de souveraineté. Si on veut faire ces champions européens, français du numérique, il ne faut pas qu’on copie Google, Facebook, etc., il faut qu’on les fasse avec nos valeurs, avec notre éthique, notre façon de faire en logiciels libres, donc l’État doit pouvoir contribuer financièrement en termes de gouvernance. On a encore du mal. L’État a été écarté, par exemple, de la Fondation LibreOffice parce qu’ils avaient du mal à apporter autre chose que juste un logo et une présence institutionnelle. Donc il faut trouver les véhicules juridiques, les véhicules en termes administratifs, pour pouvoir rentrer dans ces communautés et contribuer de façon proactive.

Frédéric Simottel : Et puis on parlera tout à l’heure de participation citoyenne, c’est aussi quelque chose d’important. Vincent Srubel puis Henri reviendra.

23’ 57

Vincent Srubel : Juste en réaction.