Si vous n'êtes pas familier avec les logiciels libres, une définition simple indique qu'il s'agit d'un "logiciel dont le code source peut être consulté, modifié et amélioré par n'importe qui".
Les ingénieurs logiciels experts, les développeurs et toute personne intéressée par le développement et la conception de logiciels peuvent accéder au code source ouvert, y contribuer et le partager. En matière de sécurité, ce niveau d'accessibilité peut donc faire réfléchir certains utilisateurs.
Le logiciel libre étant la base de la pile de solutions TAO, il nous a semblé particulièrement important d'expliquer comment il est protégé afin que vous puissiez vous aussi avoir confiance dans ses capacités et son engagement en matière de sécurité.
Idées fausses courantes sur les logiciels libres
Aussi précieux que soient les logiciels d'essai à code source ouvert, les idées fausses à leur sujet empêchent beaucoup de gens de les utiliser et de leur faire confiance. Les trois idées suivantes sont particulièrement courantes.
Mythe 1 : Les logiciels propriétaires sont une meilleure option
Alors que le public peut utiliser, étendre et distribuer librement les logiciels libres, les logiciels propriétaires créent un système verrouillé. Son créateur reste le propriétaire légal, et le logiciel ne peut pas être modifié ou personnalisé pour ses utilisateurs. Cela signifie que les systèmes d'essai propriétaires sont plus coûteux, qu'ils entraînent des frais de licence, créent des silos de données et offrent un potentiel d'évolution limité.
Un système d'examen open source comme TAO, d'autre part, apporte l'économie de partage à l'évaluation au niveau mondial. De plus en plus de leaders EdTech profitent de la flexibilité et des économies inhérentes aux outils d'examen open source alors qu'ils commencent à numériser l'évaluation. Les membres de la communauté peuvent collaborer, échanger des ressources et du contenu, et bénéficier des innovations apportées au code source. Parce que le TAO est construit sur des normes ouvertes ainsi que sur un code source ouvert, les utilisateurs sont propriétaires de tout leur contenu, il n'y a donc aucun risque de créer des silos et de perdre des actifs dans un système verrouillé.
Mythe n° 2 : les sources ouvertes sont interchangeables avec les sources publiques.
Les logiciels libres ne sont pas des logiciels financés par la foule. Mais nous pouvons comprendre pourquoi les gens pensent que les deux sont interchangeables. De nombreuses personnes différentes peuvent travailler sur un logiciel libre. Et c'est essentiellement la base d'un projet financé par la foule. C'est un grand groupe de personnes qui se réunissent pour accomplir une tâche.
Cependant, vous ne pouvez pas dire "logiciel financé par la foule" à la place de "logiciel libre". Bien que de nombreuses personnes puissent contribuer à un projet financé par la foule, le produit fini et les droits restent entre les mains de la personne ou du groupe qui a lancé le projet. En revanche, les logiciels à code source ouvert permettent au public d'utiliser, de modifier et de distribuer ce qu'ils créent.
Mythe n° 3 : "Ouvert" signifie "moins sûr".
Oui, tout le monde peut utiliser des logiciels à code source ouvert. Mais cela n'en fait pas une option logicielle moins sûre. En fait, de nombreux utilisateurs pensent qu'il s'agit de l'option la plus sûre car de nombreuses personnes y travaillent simultanément. Il est donc plus facile d'identifier et de corriger les bogues et autres vulnérabilités.
Nous allons examiner la sécurité un peu plus en détail ci-dessous.
Une analyse de la sécurité des logiciels libres
Comme indiqué plus haut, l'accessibilité des logiciels libres alimente souvent le mythe selon lequel ils ne sont pas sûrs. Mais plus d'accessibilité ne signifie pas moins de sécurité. Si vous vous demandez comment les logiciels libres sont sécurisés, poursuivez votre lecture.
Infrastructure
L'infrastructure fait référence à la fondation qui soutient le fonctionnement du système logiciel. La façon dont les données circulent dans le système, ses fonctions et ses caractéristiques sont le produit des composants physiques et numériques qui constituent son cadre.
Les logiciels à code source ouvert ont une infrastructure ouverte. Les composants matériels, logiciels et réseau des outils de nombreux utilisateurs participent à la construction du cadre sur lequel reposent les logiciels à code source ouvert.
Quand on pense que les outils de chacun ne sont pas créés égaux, la question de la sécurité se pose. Mais pensez à la crédibilité des personnes et des institutions qui soutiennent de nombreuses solutions logicielles open-source. Les services de gestion en nuage de TAO fonctionnent sur une infrastructure qui a fait ses preuves dans le secteur bancaire, l'éducation et d'autres industries qui comptent sur une sécurité robuste.
De plus, un vaste bassin de collaborateurs signifie plus d'yeux et de solutions pour les vulnérabilités. L'infrastructure permet d'identifier et de corriger les problèmes plus rapidement, ce qui sécurise encore davantage les logiciels à code source ouvert.
Cryptage
Le développement de logiciels est un processus incroyablement détaillé, souvent complexe et parfois très confidentiel. De nombreuses données sont utilisées et transférées, dont la plupart ne devraient être accessibles qu'aux créateurs.
Mais la nature ouverte des logiciels libres permet au public de les compléter et de les modifier librement. Ainsi, tout le monde peut essentiellement tout voir. Cela dit, cela ne signifie pas qu'il n'y a pas de solutions de cryptage pour assurer la sécurité de l'expérience logicielle.
Par exemple, le chiffrement par cryptographie est standard dans les logiciels à code source ouvert. Cependant, cela en déconcerte certains, car toute personne ayant accès à un logiciel libre peut découvrir l'algorithme de cryptage. Mais il faut toujours une clé privée ou un mot de passe pour accéder au code source. Sans cette clé privée ou ce mot de passe, il est impossible de décrypter le code source, ce qui empêche tout accès non autorisé. En outre, plus il y a de personnes qui comprennent l'algorithme de cryptage, plus souvent il peut être déconstruit et amélioré.
Surveillance du réseau
La surveillance du réseau est un élément essentiel du programme de sécurité des logiciels à code source ouvert. Les nombreuses personnes qui utilisent des logiciels à code source ouvert disposent de leurs propres réseaux, qu'ils soient très sécurisés, pas du tout, ou quelque part entre les deux.
Les logiciels libres peuvent accueillir tout le monde. Mais cela ne signifie pas pour autant qu'il n'a pas pour priorité d'éloigner les menaces du réseau et d'empêcher les utilisateurs non autorisés d'y accéder.
M. Domotz résume parfaitement les capacités de la surveillance des réseaux en déclarant : "Une façon de détecter les événements malveillants, comme l'accès non autorisé à un réseau, est de s'appuyer sur un système de surveillance proactif qui effectue périodiquement un contrôle de sécurité de vos réseaux. De tels systèmes vous alertent également si une nouvelle menace potentielle est découverte."
Les logiciels libres permettent de mettre en place des solutions de surveillance du réseau qui font exactement cela : surveiller le trafic entrant sur la plateforme et détecter les utilisateurs et les intentions malveillantes en temps réel.
Audits, solutions de sauvegarde et récupération
Toute conversation sur la sécurité des logiciels est incomplète sans la mention des audits, des solutions de sauvegarde et des options de récupération. Les violations de données, les bogues et autres vulnérabilités sont inévitables dans les logiciels à code source ouvert. Nous pouvons, une fois encore, en remercier l'abondante accessibilité.
Mais le fait que tant de personnes collaborent sur le même logiciel ouvre la voie à un audit permanent. Les utilisateurs peuvent prendre n'importe quelle partie du code source ou du logiciel et l'analyser à la recherche de problèmes. Beaucoup vont jusqu'à effectuer une analyse SWOT, en identifiant les forces, les faiblesses, les opportunités et les menaces pour le succès du logiciel.
Ces audits comprennent également de nombreux tests. Les services gérés en nuage que nous avons mentionnés plus haut subissent régulièrement des tests de pénétration effectués par des services de test tiers afin de garantir la conformité et une sécurité suffisante. De nombreuses autres solutions logicielles ouvertes font de même.
Les solutions de sauvegarde et de récupération sont également des éléments essentiels de la sécurité des logiciels à code source ouvert. De nombreuses solutions logicielles à code source ouvert ont des solutions de sauvegarde et de récupération intégrées dont les utilisateurs peuvent tirer parti. Ou bien ils peuvent fournir des suggestions d'outils de sauvegarde et de récupération qui s'intègrent bien à leurs systèmes.
Au minimum, on vous rappellera de sauvegarder vos données. Et vous pourrez alors prendre l'initiative sur la façon dont vous voulez aborder la récupération de vos données si elles sont compromises.
La ligne de fond
Les logiciels de test à code source ouvert peuvent être accessibles au public, mais cela ne les rend pas moins sûrs que leurs homologues propriétaires. Au contraire, beaucoup s'accordent à dire que le logiciel libre est l'option la plus sûre. Et vous pourriez en faire autant après avoir lu la description ci-dessus de la manière dont les logiciels libres sont sécurisés.
