Un projet pilote de l'Office fédéral de la cybersécurité permet à la Suisse de renforcer sa sécurité numérique. Avec la collaboration de la communauté des développeurs, les failles de deux logiciels à code source ouvert ont pu être identifiées et réparées.

L'Office fédéral de la cybersécurité a collaboré avec la communauté des développeurs pour identifier les failles de deux logiciels à code source ouvert très utilisés parmi les membres de l'Administration fédérale (Photo prétexte). ATS

Keystone-SDA ATS

Concrètement, le projet a augmenté la transparence de la sécurité des logiciels à code source ouvert, réduit les zones d’attaque et ainsi renforcé la cyberrésilience. Il a également contribué significativement à la cybersécurité globale de la Suisse, écrit lundi l'Office fédéral de la cybersécurité (OFCS) dans un communiqué.

Ce dernier étudie actuellement les possibilités de soutien et de financement sur le long terme de contrôles de sécurité comparables à l’avenir. La sécurité des logiciels à code source ouvert n’est pas seulement un devoir technique, mais aussi une nécessité sociétale et un facteur décisif pour la souveraineté numérique et la capacité de défense de la Suisse, souligne l'OFCS.

Pour son projet pilote, mené de novembre 2024 à juin 2025, l'OFCS a choisi deux solutions logicielles à code source ouvert (TYPO3 et QGIS) qui font aujourd’hui partie intégrante de l’infrastructure numérique, en Suisse également et en particulier au sein de l'Administration fédérale. Le code source des logiciels à code source ouvert est en libre accès et peut être identifié, développé et amélioré par des développeurs du monde entier.

Selon une étude de la Haute école spécialisée bernoise, 97% des membres de l’administration publique, du système éducatif, du système de santé et de l’industrie utilisent des logiciels à code source ouvert dans au moins un domaine. L’importance économique de ces logiciels est tout aussi forte, note l'OFCS.

Nouveaux défis

Mais les contrôles de sécurité n’ont pas toujours lieu régulièrement ni de manière structurée. Ainsi, les failles peuvent rapidement entraîner d’importantes répercussions sur de nombreuses organisations compte tenu du développement à grande échelle de ces logiciels, constate l'OFCS dans son communiqué.

Le projet pilote a identifié huit failles, dont une de degré critique dans le système TYPO3, et six, dont une de gravité élevée pour le QGIS. Toutes les failles de sécurité majeures ont été résolues par l’équipe responsable de développeurs de code source ouvert dans un délai de 90 jours, précise l'office. Les versions actualisées des logiciels sont téléchargeables et les détails techniques sont documentés dans le rapport de contrôle.

TYPO3 est un système de gestion de contenu permettant de créer et de gérer des sites web. Il est principalement utilisé dans de grandes organisations telles que des entreprises, des hautes écoles et des autorités, car il est particulièrement performant pour les sites web complexes et multilingues.

QGIS est un système d’information géographique permettant de saisir, de traiter, d’analyser et de visualiser des données spatiales. Il est principalement utilisé dans la planification environnementale, l’urbanisme, la géographie et la recherche. Les autorités s’en servent pour créer des cartes et appuyer des décisions basées sur des données géographiques.