Navigation
Les derniers articles
Suivez en direct

Suisse : un projet pilote renforce la sécurité des logiciels open source

Image conceptuelle d'un cube numérique lumineux avec les mots 'OPEN SOURCE' se fissurant au centre, entouré d'éléments rouges représentant des virus, symbolisant une faille de sécurité dans un logiciel libre.
L’OFCS et le NTC ont détecté et corrigé des failles sur TYPO3 et QGIS, posant les bases d’un contrôle régulier pour la cyberrésilience suisse.

En bref

  • L’Office fédéral de la cybersécurité a analysé deux logiciels open source, TYPO3 et QGIS, dans le cadre d’un projet pilote mené avec le NTC.
  • Huit failles ont été détectées dans TYPO3, dont une critique, tandis que QGIS présentait six vulnérabilités, dont deux de gravité élevée.
  • Toutes les failles majeures ont été corrigées par la communauté en moins de 90 jours, améliorant la sécurité globale de ces outils.
  • L’OFCS envisage d’institutionnaliser ces contrôles pour renforcer durablement la cyberrésilience et la souveraineté numérique de la Suisse.

Les logiciels à code source ouvert constituent un pilier essentiel de l’infrastructure numérique moderne. Près de 97 % des acteurs publics et privés suisses y recourent selon une étude de la Haute école spécialisée bernoise. Mais leur ouverture, gage de transparence et d’innovation, expose aussi à des risques : sans contrôles systématiques, des failles peuvent se propager rapidement à grande échelle. Conscient de cet enjeu, l’Office fédéral de la cybersécurité (OFCS) a lancé avec l’Institut national de test pour la cybersécurité (NTC) un projet pilote visant à évaluer concrètement la sécurité de solutions open source très répandues.

Des logiciels essentiels passés au crible

Entre novembre 2024 et juin 2025, les experts du NTC ont procédé à des contrôles ciblés sur TYPO3 et QGIS, deux piliers technologiques largement utilisés par les administrations et les entreprises. TYPO3, système de gestion de contenu (CMS), sert notamment à la création de sites web complexes et multilingues. QGIS, outil de système d’information géographique (SIG), permet de traiter et visualiser des données spatiales cruciales pour la planification urbaine ou environnementale.

L’analyse de TYPO3 a mis en évidence huit failles : deux dans le cœur du logiciel et six dans ses extensions. Parmi elles, une vulnérabilité critique et une autre de gravité élevée ont été rapidement corrigées. QGIS a présenté six résultats, dont deux jugés élevés sur la partie web (QWC2). Toutes les failles majeures ont été traitées par la communauté open source dans un délai de 90 jours, selon les processus de Coordinated Vulnerability Disclosure (CVD) supervisés par l’OFCS.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Les détails techniques sont disponibles dans le rapport de contrôle du NTC, qui documente les vulnérabilités et les correctifs publiés. Ce suivi public illustre la maturité de la communauté open source lorsqu’elle bénéficie d’un accompagnement institutionnel et de procédures claires de révélation coordonnée.

Une approche collaborative pour la résilience nationale

Le projet pilote a aussi confirmé l’efficacité du modèle collaboratif entre autorités publiques et communauté de développeurs. Les sécurités de l’État, des cantons et des communes ont participé à la sélection des logiciels, assurant que les contrôles portent sur des outils à fort impact. En retour, les développeurs de TYPO3 et QGIS ont réagi rapidement, publiant des versions corrigées et renforçant la confiance dans l’écosystème open source.

Cette démarche s’inscrit dans la cyberstratégie nationale suisse (CSN) et dans l’objectif « Fiabilité et disponibilité de l’infrastructure et des services numériques ». Elle prouve qu’une coopération structurée entre le secteur public et la communauté technique peut générer des gains rapides de sécurité. Elle contribue à réduire les zones d’attaque, à améliorer la transparence et à renforcer la défense digitale du pays.

L’OFCS étudie désormais la possibilité de rendre ces contrôles réguliers et durables. Une telle institutionnalisation permettrait d’intégrer la sécurité open source dans la gouvernance nationale, en garantissant des ressources et un suivi constant. Ce cadre contribuerait aussi à la souveraineté numérique suisse, en limitant la dépendance à des produits fermés et à des acteurs étrangers.

Un modèle à pérenniser pour le futur

Le projet pilote mené par l’OFCS et le NTC pourrait aussi servir de référence à d’autres pays européens. Elle démontre que l’ouverture du code n’est pas une faiblesse, mais une force lorsqu’elle est accompagnée d’un contrôle rigoureux et d’une coordination publique. Les institutions suisses y voient un levier de résilience et de compétitivité à long terme.

L’OFCS mentionne souhaiter pérenniser cette approche en prévoyant un financement régulier et une organisation stable pour les futurs audits. Ces évaluations pourraient à terme couvrir un large éventail d’outils open source critiques, consolidant la sécurité de l’écosystème numérique suisse.

Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.

☕ Contribuer aux frais
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

Les fondamentaux de la cybersécurité: Comprendre et appliquer les principes essentiels

À l’ère du numérique, la sécurité informatique est un enjeu crucial pour toute organisation.Sécurité des systèmes et des réseaux, du cloud, des applications, sécurité défensive et offensive, piratage psychologique…

📘 Voir sur Amazon
Ethical Hacking

Sécurité informatique - Ethical Hacking

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre. Cette nouvelle édition tient compte de l'actualité en matière de sécurité informatique et voit l'apparition de trois nouveaux chapitres qui traitent de la sécurité des mobiles, des voitures connectées et de l'étude des malwares.

📘 Voir sur Amazon

Cybersécurité de 0 à Expert

Vous entendez parler de cyberattaques tous les jours mais vous ne savez pas vraiment comment elles fonctionnent ? Vous voulez comprendre le monde de la cybersécurité sans jargon compliqué ni prérequis techniques ? Ce livre est votre point de départ idéal. Cybersécurité de 0 à Expert est un guide pas à pas qui vous emmène du niveau débutant jusqu’aux bases avancées, en expliquant chaque concept de façon claire et accessible.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.