Lundi 9 février 2026, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié une mise à jour de sa politique Open Source. Même si l’ANSSI ne s’interdit pas d’utiliser des logiciels propriétaires, c’est bien l’Open Source qui est mis en valeur, enterrant au passage le mythe de la “sécurité par l’obscurité” au profit d’une approche transparente et collaborative.

“L’ANSSI s’engage de longue date au sein de l’écosystème open source, contribuant activement au renforcement de sa sécurité et à la diffusion de solutions numériques de confiance. Cette démarche s’inscrit dans une volonté plus large de promotion de l’innovation technologique et de la transparence au moyen de l’open source.“, peut-on lire dans ce nouveau communiqué.

L’ANSSI a dévoilé sa nouvelle stratégie, autour de 4 grands axes, notamment sur l’importance d’ouvrir le code des applications et de se structurer face aux enjeux de souveraineté numérique. Elle y évoque ses contributions dans le monde de l’Open Source, mais aussi sa façon de soutenir les différents acteurs.

• La publication de logiciels : l’ANSSI partage ses propres développements sous licences libres (en privilégiant la licence Apache 2.0).
• La contribution : les agents de l’ANSSI participent activement aux projets existants, comme le noyau Linux, par exemple.
• La structuration de l’écosystème : soutenir la communauté via le financement d’évolutions en matière de sécurité dans certaines solutions open source, mais aussi via le financement d’audits, comme l’audit HAProxy, par exemple. Des actions menées régulièrement par l’ANSSI depuis 2017.
• L’utilisation interne : privilégier les solutions libres pour les besoins de l’ANSSI, sans exclure l’utilisation de solutions propriétaires.

Cette approche pragmatique permet de limiter la dépendance aux éditeurs tiers et aux boîtes noires logicielles. “Ce parti-pris se fonde sur les possibilités qu’offre l’open source en termes d’adaptation, de maîtrise de la conception logicielle et de la chaine d’approvisionnement, de pérennité, de auditabilité, de portabilité et d’intégration.“, précise l’ANSSI.

Deux principes importants sont défendus par l’ANSSI :

• Secure-by-design : intégrer la sécurité dans les solutions dès la conception, et non dans un second temps.
• Open-by-default : l’accès au code source.

Les contributions de l’ANSSI

L’ANSSI centralise ses publications sur son GitHub, via un compte officiel : ANSSI-FR. Le choix des licences n’est pas laissé au hasard : la licence Apache 2.0 est utilisée de façon prioritaire, afin de favoriser la réutilisation du code, y compris dans des produits commerciaux.

“Si la réutilisation et l’intégration d’un code source dans un modèle propriétaire est considéré comme une menace pour l’objectif visé par la publication, alors un choix de licence avec obligation de réciprocité (comme la famille GNU GPL) est utilisé.“, précise l’ANSSI.

Les projets publiés sont classés en trois catégories distinctes :

• Les projets doctrinaux : démonstrateurs ou preuves de concept (PoC) liés à la recherche.
• Les outils internes : partagés par transparence, sans garantie de support.
• Les outils externes : destinés aux partenaires (comme les CERT), avec une gouvernance plus stricte.

La certification des applications open source

La certification CSPN délivrée par l’ANSSI est également attribuée à certains Open Source. En effet, ce sont des travaux réalisés chaque année, et même si des produits propriétaires ont cette certification CSPN, c’est aussi le cas de projets libres, comme KeePassXC et nftables. Tous les audits de sécurité et les audits CSPN sont regroupés sur cette page GitHub, peu importe l’issue.

Enfin, il est important de préciser que l’ANSSI ne travaille pas seule. En effet, des travaux sont menés en collaboration avec d’autres entités, y compris à l’échelle européenne. La DINUM, le BSI allemand ou encore l’ENISA sont cités par l’ANSSI. L’objectif étant de réussir à créer un écosystème européen capable de rivaliser avec les géants technologiques, en misant sur la confiance et la transparence.

Source