Pour s’affranchir de Microsoft et de l’omniprésence de Windows, l’État français mise sur deux projets open source aux noms dignes d’irréductibles Gaulois : Securix et Bureautix. L’idée : utiliser la distribution Linux NixOS pour la configurer aux petits oignons en respectant les recommandations de l’ANSSI.

On parle souvent de souveraineté numérique ces derniers mois, et je dirais même ces derniers jours suite à un séminaire organisé par la DINUM (Direction interministérielle du numérique). Pour rappel, la DINUM va migrer de Windows vers Linux pour les postes de ses agents (250 personnes), tandis que le déploiement de LaSuite va s’accélérer.

Sécurix, un projet basé sur NixOS

Avant de parler de Sécurix, parlons de NixOS. Ce n’est pas une distribution comme une autre. Elle présente la particularité d’avoir une approche déclarative pour sa configuration, dans l’esprit Infrastructure-as-Code. Autrement dit, vous déclarez la configuration souhaitée (fichiers ) et elle sera appliquée. Ainsi, NixOS est une distribution appréciée pour ce côté reproductible et sa fiabilité. Pour l’installation des paquets, NixOS s’appuie sur Nix, son propre gestionnaire de paquets connecté à une collection de 120 000 paquets.

Pour le gouvernement français, cette approche a un avantage : en jouant avec des fichiers de configuration, il est possible d’adapter l’environnement du système d’applications (paramétrage, logiciels, etc.). Il devient donc plus facile de créer des configurations standardisées et correspondant à des scénarios d’utilisation pour ensuite les appliquer. Surtout, cette approche assure une conformité des appareils vis-à-vis de la configuration définie par les équipes de sécurité.

NixOS est un choix intéressant et sûrement plus judicieux que de partir sur un énième fork d’une distribution comme Debian ou Ubuntu…

Sécurix quant à lui n’est pas un fork de NixOS. Il s’agit plutôt d’une configuration durcie basée sur NixOS. Autrement dit, NixOS sert de base, tandis que Sécurix est une configuration spécifique établie en adéquation avec les bonnes pratiques de l’ANSSI.

En effet, Sécurix (dont le code est publié sur GitHub sous licence MIT) offre un socle pensé pour répondre aux exigences en matière de cybersécurité :

• Un durcissement de l’OS : application stricte des règles de sécurité de l’ANSSI (à partir de ce guide).
• Une authentification moderne : la connexion au poste s’effectue via des clés de sécurité matérielles FIDO2, le mot de passe n’étant plus qu’un mécanisme de secours.
• Un chiffrement matériel : gestion de la chaîne de confiance avec Secure Boot et module TPM2.
• Un chiffrement des données : utilisation de ou d’un serveur Vault pour chiffrer les données des utilisateurs.
• Un déploiement automatisé : un système de “phone home” pour faciliter l’enrôlement et l’intégration rapide d’un nouveau poste de travail.

“Grace à NixOS, ce modèle de PC sécurisé est ré-instantiable pour des cas d’usages variables: poste multi-agent, poste multi-niveaux, poste en intranet seulement, etc. avec des équipes différentes, des souches de VPN différents.”, peut-on lire sur le GitHub.

Actuellement, Sécurix est disponible en version alpha et les équipes techniques travaillent sur ce projet depuis au moins un an. La première publication sur GitHub remonte à mars 2025.

Bureautix : un exemple d’utilisation de Sécurix

Bureautix incarne le déploiement d’un premier environnement utilisateur basé sur NixOS et Sécurix en tant qu’outillage.

“Cet exemple contient un kit permettant de configurer votre propre PC de bureau, baptisé « Bureautix », comprenant une liste des composants, un programme d’installation et des personnalisations pour le bureau. Vous pouvez vous en inspirer pour y ajouter vos propres personnalisations organisationnelles en le clonant, puis en créant une version privée.”, précise le GitHub.

Le GitHub de Bureautix apporte une précision importante à propos de la gestion décentralisée. Autrement dit, le gouvernement veut se passer de l’Active Directory, de FreeIPA et des annuaires LDAP d’une façon générale. L’approche de Bureautix est de s’appuyer sur un répertoire statique géré comme du code dans un dépôt Git, où les configurations sont récupérées par cette intermédiaire.

La France travaille sur son indépendance numérique, comme le montrent les actes récents et ces travaux.

Reste à savoir si Sécurix sera utilisé par les agents de la DINUM qui vont basculer de Windows à Linux. Pour le moment, il est précisé que Sécurix est une base d’OS sécurisée pour les postes d’administration (du SI), ce qui est cohérent vis-à-vis du guide ANSSI sélectionné en référence. Une déclinaison de cette configuration pour les postes des agents est envisageable, et cela ferait un premier essai sur un ensemble d’utilisateurs avant d’étendre le déploiement. Rappelons qu’il y a plus de 2 millions d’agents dans la fonction publique.

Souhaitons à Sécurix et Bureautix le même succès qu’Astérix et Obélix et un moment de gloire à la Footix.