L’Europe décidée à payer pour ses “infrastructures numériques” 

On a longtemps traité l’open source comme l’air. Omniprésent, invisible mais, surtout, gratuit. Jusqu’au jour où les infrastrucutres ont failli manquer d’oxygène. Lors des 10 ans de Software Heritage à l’UNESCO, la discussion a tout de suite pris un ton d’inventaire et de comptes à rendre, loin des slogans. “Nous utilisons l’open source pour des systèmes informatiques critiques et nous voulons y contribuer”, a martelé Stéphanie Schaer, directrice interministérielle du numérique (France). Derrière l’affirmation, une réalité que tout le monde connaît mais que peu budgètent réellement avec, in fine, des dépendances vitales maintenues par trop peu de mains. Représentée par le DG CONNECT, Thibaut Kleiner, la Commission a mis les pieds dans le plat : “Nous avons probablement dépensé environ 800 millions d’euros en six ans, mais sans structure, sans conservation, sans maintenance”. La directrice générale, Sovereign Tech Agency (Allemagne), Adriana Groh, a recadré le sujet avec une image d’infrastructure. “Notre société repose sur des logiciels et des données, pas seulement sur du béton.” Autrement dit, on ne parle plus de “culture open”, on parle de continuité d’activité, de cybersécurité et de capacité industrielle. 

L’État français exhibe ses preuves… et ses angles morts 

Après ce constat, Paris a joué la carte du concret. Et du volume. “Notre messagerie sécurisée est aujourd’hui utilisée par plus de 400 000 personnes”, a indiqué Stéphanie Schaer, avant d’enchaîner avec l’audience, “700 000 agents y sont abonnés”. Même stratégie sur la visioconférence souveraine, déployée vite, parce que l’usage commande. “Nous sommes déjà 40 000 utilisateurs, un an après le lancement”, a précisé la Française. Ces chiffres coupent court à une critique fréquente, celle d’un open source cantonné au symbole. Mais ils n’éliminent pas le vrai risque, situé plus en amont. Un outil adopté peut rester bâti sur des composants fragiles si la maintenance n’est pas financée, la gouvernance pas claire ou encore, la sécurité traitée “à la demande”. D’où la bascule vers une logique mutualiste. En décembre dernier, Paris, Berlin, Rome et La Haye ont lancé l’EDIC Digital Commons, un consortium européen pour coordonner investissements, priorités et achats autour de communs logiciels et de briques partagées. “L’objectif est de regagner du pouvoir numérique ensemble”, a résumé la directrice interministérielle du numérique. Une réponse aux règles du marché public où des administrations isolées développent les mêmes outils sans atteindre la taille suffisante pour les maintenir correctement. 

Pas des pansements sur des jambes cassées 

Reste que cette mutualisation n’a de sens que si elle finance le bon étage. L’intervention allemande a insisté là où ça fait mal, à savoir le travail ingrat de la maintenance. “Nous nous concentrons sur la couche infrastructure”, a expliqué Adriana Groh, directrice générale de Sovereign Tech Agency (Allemagne). Elle a ensuite rappelé l’analogie qui change la perception. “Des routes et des ponts existent aussi en logiciel”, a-t-elle poursuivi, pour défendre l’idée d’un service d’intérêt général financé par l’argent public. Comme dernier clou du cercueil, elle a ciblé la culture du post-incident. “Nous ne pouvons pas mettre des pansements sur des jambes cassées”, a averti la directrice générale allemande. Difficile de ne pas penser aux électrochocs récents de la supply chain open source. L’affaire XZ, la porte dérobée détectée, fin mars 2024, dans une petite bibliothèque logicielle utilisée partout, souvent sans que ses utilisateurs en aient conscience. Ce composant, maintenu par très peu de personnes, était sur le point d’être intégré dans des systèmes critiques. L’épisode a rappelé qu'une dépendance apparemment mineure peut fragiliser tout un écosystème. Dans ce contexte, “payer l’invisible” revient à acheter de la résilience, pas une posture de souveraineté. 

Hubs, réglementation, risque de transfert de charge

Une fois l’urgence posée, le débat a glissé sur le nerf politique. Qui paie et qui porte la responsabilité. Côté science, l’agent de programme scientifique chez Chan Zuckerberg Initiative Foundation, Dario Taraborelli a pointé un biais durable. “Nous valorisons la nouveauté”, a-t-il constaté. Donc on finance les fonctionnalités, rarement l’entretien. “Mettre 1 % du financement public de la recherche dans le logiciel critique, ce serait 10 milliards de dollars par an”, a calculé l’agent de programme scientifique. Son chiffrage prouve bien l'écart entre les discours et les moyens investis. À Bruxelles, Thibaut Kleiner a déplacé le projecteur vers la gouvernance. “Les fondations ne sont pas gouvernées avec l’Europe en tête”. En sous-texte, une critique des dépendances européenne à des infrastructures stratégiques pilotées hors du continent. Mais cette volonté de reprise en main se heurte à une tension croissante. Le Cyber Resilience Act impose de nouvelles obligations de sécurité, avec un risque clair : faire peser la conformité sur les mainteneurs open source eux-mêmes. La ligne de crête est là. Sécuriser, oui. Mais sans transférer la charge vers ceux qui maintiennent déjà sous tension, au risque de décourager les projets ou de les pousser ailleurs. À l’UNESCO, l’accord minimal a tenu en une idée. Les communs numériques ne survivront pas à la gratitude. Ils survivront à des budgets bien gouvernés.