L’OFCS et le NTC ont détecté et corrigé des failles sur TYPO3 et QGIS, posant les bases d’un contrôle régulier pour la cyberrésilience suisse.
En bref
- L’Office fédéral de la cybersécurité a analysé deux logiciels open source, TYPO3 et QGIS, dans le cadre d’un projet pilote mené avec le NTC.
- Huit failles ont été détectées dans TYPO3, dont une critique, tandis que QGIS présentait six vulnérabilités, dont deux de gravité élevée.
- Toutes les failles majeures ont été corrigées par la communauté en moins de 90 jours, améliorant la sécurité globale de ces outils.
- L’OFCS envisage d’institutionnaliser ces contrôles pour renforcer durablement la cyberrésilience et la souveraineté numérique de la Suisse.
Les logiciels à code source ouvert constituent un pilier essentiel de l’infrastructure numérique moderne. Près de 97 % des acteurs publics et privés suisses y recourent selon une étude de la Haute école spécialisée bernoise. Mais leur ouverture, gage de transparence et d’innovation, expose aussi à des risques : sans contrôles systématiques, des failles peuvent se propager rapidement à grande échelle. Conscient de cet enjeu, l’Office fédéral de la cybersécurité (OFCS) a lancé avec l’Institut national de test pour la cybersécurité (NTC) un projet pilote visant à évaluer concrètement la sécurité de solutions open source très répandues.
Des logiciels essentiels passés au crible
Entre novembre 2024 et juin 2025, les experts du NTC ont procédé à des contrôles ciblés sur TYPO3 et QGIS, deux piliers technologiques largement utilisés par les administrations et les entreprises. TYPO3, système de gestion de contenu (CMS), sert notamment à la création de sites web complexes et multilingues. QGIS, outil de système d’information géographique (SIG), permet de traiter et visualiser des données spatiales cruciales pour la planification urbaine ou environnementale.
L’analyse de TYPO3 a mis en évidence huit failles : deux dans le cœur du logiciel et six dans ses extensions. Parmi elles, une vulnérabilité critique et une autre de gravité élevée ont été rapidement corrigées. QGIS a présenté six résultats, dont deux jugés élevés sur la partie web (QWC2). Toutes les failles majeures ont été traitées par la communauté open source dans un délai de 90 jours, selon les processus de Coordinated Vulnerability Disclosure (CVD) supervisés par l’OFCS.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Les détails techniques sont disponibles dans le rapport de contrôle du NTC, qui documente les vulnérabilités et les correctifs publiés. Ce suivi public illustre la maturité de la communauté open source lorsqu’elle bénéficie d’un accompagnement institutionnel et de procédures claires de révélation coordonnée.
Une approche collaborative pour la résilience nationale
Le projet pilote a aussi confirmé l’efficacité du modèle collaboratif entre autorités publiques et communauté de développeurs. Les sécurités de l’État, des cantons et des communes ont participé à la sélection des logiciels, assurant que les contrôles portent sur des outils à fort impact. En retour, les développeurs de TYPO3 et QGIS ont réagi rapidement, publiant des versions corrigées et renforçant la confiance dans l’écosystème open source.
Cette démarche s’inscrit dans la cyberstratégie nationale suisse (CSN) et dans l’objectif « Fiabilité et disponibilité de l’infrastructure et des services numériques ». Elle prouve qu’une coopération structurée entre le secteur public et la communauté technique peut générer des gains rapides de sécurité. Elle contribue à réduire les zones d’attaque, à améliorer la transparence et à renforcer la défense digitale du pays.
L’OFCS étudie désormais la possibilité de rendre ces contrôles réguliers et durables. Une telle institutionnalisation permettrait d’intégrer la sécurité open source dans la gouvernance nationale, en garantissant des ressources et un suivi constant. Ce cadre contribuerait aussi à la souveraineté numérique suisse, en limitant la dépendance à des produits fermés et à des acteurs étrangers.
Un modèle à pérenniser pour le futur
Le projet pilote mené par l’OFCS et le NTC pourrait aussi servir de référence à d’autres pays européens. Elle démontre que l’ouverture du code n’est pas une faiblesse, mais une force lorsqu’elle est accompagnée d’un contrôle rigoureux et d’une coordination publique. Les institutions suisses y voient un levier de résilience et de compétitivité à long terme.
L’OFCS mentionne souhaiter pérenniser cette approche en prévoyant un financement régulier et une organisation stable pour les futurs audits. Ces évaluations pourraient à terme couvrir un large éventail d’outils open source critiques, consolidant la sécurité de l’écosystème numérique suisse.
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
