De plus en plus d’organisations sont confrontées au choix stratégique du type de logiciel à adopter. Logiciel propriétaire ou Open source, comparons ces deux types de solution pour vous aider à déterminer le modèle le plus adapté à votre projet de GED/ECM.

Le logiciel Open source

Le logiciel Open source est une marque de certification de l’Open Source Initiative (OSI) et fait référence à un logiciel développé et testé via une collaboration ouverte. Toute personne possédant les connaissances académiques requises peut donc accéder au code source, le modifier et distribuer sa propre version du code mis à jour.

Une solution GED/ECM sous licence Open source est destinée à être partagée ouvertement par les utilisateurs et redistribuée par d’autres, tant que les conditions de distribution sont conformes à la définition open source de l’OSI. Les programmeurs ayant accès au code source d’un programme sont autorisés à manipuler des parties de code en ajoutant ou en modifiant des fonctionnalités qui n’auraient pas fonctionné autrement.

Le logiciel propriétaire

Un logiciel « propriétaire » est un logiciel qui appartient uniquement à l’individu ou à l’organisation qui l’a développé. Comme son nom l’indique, il reste la propriété exclusive de ses créateurs ou éditeurs. Eux seuls en détiennent les droits d’auteur et peuvent modifier ou ajouter des fonctionnalités au code source du programme.

Le propriétaire ou l’éditeur du logiciel  est le garant de la disponibilité, de l’évolutivité et de la fiabilité auprès des utilisateurs finaux à travers un « contrat de licence utilisateur final » définissant les conditions légales d’utilisation du logiciel.

Le tableau ci-dessous récapitule les principales différences entre les 2 modèles :

Attention aux coûts cachés

Les solutions Open source ont connu ces dernières années un fort taux d’adoption, particulièrement auprès des entreprises et organisations qui fondent leur décision d’achat principalement sur le « coût d’acquisition ».

Mais si le coût d’acquisition est relativement faible comparativement aux solutions propriétaires (car le coût des licences est nul), les solutions Open source ont des coûts « cachés » invisibles à l’achat. C’est pourquoi le Coût Total d’Acquisition (ou Total Cost of Ownership – TCO) est un indicateur plus pertinent dans la décision d’achat. Il prend en effet également en compte les coûts indirects, moins visibles de prime abord :

• Coût d’utilisation (licences)
• Coût d’installation
• Coût d’adaptation du logiciel aux besoins métier spécifiques à l’organisation
• Coûts de formation (création de la documentation, conduite de changement, prise en main de la solution)
• Coûts fixes liés aux équipes IT internes à mobiliser pour assurer l’évolutivité de la solution
• Coût du support et de la maintenance
• Coût des mises à jour (upgrade logiciel)
• Coût de non qualité (en cas d’indisponibilité, failles de sécurité, etc.)

Ces coûts, bien identifiables dans le cas des solutions propriétaires, s’accumulent dans le cas des solutions open source et peuvent finir par représenter un budget important. Les solutions Open source répondent la plupart du temps à moins de 50% des besoins métier spécifiques d’une organisation. Elles doivent alors être personnalisées pour répondre aux exigences professionnelles spécifiques et aux données non remplies. Ces développements coûteux rendent souvent les mises à niveau plus difficiles.

Bien analyser les risques

Les recherches ont montré que 78% des bases de code auditées contenaient au moins une vulnérabilité Open source, dont 54% étaient à haut risque et susceptibles d’être exploitées par les pirates. L’utilisation de code Open source comporte donc des risques pour la sécurité, qui ne proviennent pas de la qualité du code source mais de la combinaison de facteurs liés à la nature du modèle source ouvert et à la façon dont les entreprises gèrent leurs logiciels (consulter le rapport détaillé de l’étude).

• Accès public aux codes sources

Les codes des projets Open source sont disponibles pour tout le monde. Les pirates peuvent tirer parti de la publication des codes sources pour développer des vulnérabilités en vue de pénétrer les organisations utilisant ces technologies.

• Menaces internes
• La possibilité de pirater la solution Open source de l’intérieur est un des plus gros risques de sécurité.
• Risque d’atteinte à la propriété intellectuelle

Les composants Open source peuvent présenter des risques d’atteinte à la propriété intellectuelle car ces projets manquent de contrôles commerciaux standard, ce qui permet au code propriétaire de s’intégrer aux projets open source. Aussi, en cas de préjudice causée par leur utilisation, aucune responsabilité ne pourra être engagée afin de couvrir les dommages et intérêts encourus.

• Risques opérationnels
  L’une des principales sources de risques lors de l’utilisation de composants Open source dans l’entreprise provient d’inefficacités opérationnelles. Il est pratiquement impossible de mettre à jour les composants à mesure que de nouvelles versions deviennent disponibles, ce qui provoque d’importantes vulnérabilités de sécurité et des retards qui peuvent être catastrophiques.
• Risques d’abandon de la solution
  Certains projets Open source finissent par disparaitre parce qu’ils ne sont plus mis à jour. Pour atténuer ce risque, les organisations s’efforcent de recruter de profils IT experts en interne, mais l’informatique n’est pas leur cœur de métier.

Il semble en définitive plutôt risqué de conseiller l’Open source, une solution certes souple et attirante, mais dont l’utilisation est sans conteste plus risquée. Face à la diversité croissante des données à protéger et aux menaces toujours plus sophistiquées, on ne saurait trop conseiller l’usage des logiciels propriétaires. Ils sont bien plus sécurisés, et pas forcément plus coûteux sur le long terme. Pensez-y avant de décider !