L’info est passée sous nos radars. Il y a quelques semaines, Codethink, une société britannique spécialisée dans l’ingénierie logicielle open source, a annoncé une première mondiale : son système d’exploitation CTRL OS, basé sur Linux, vient de passer avec succès une évaluation de sécurité indépendante selon les normes SIL 3 (industrie) et ASIL D (automobile).
Ces niveaux représentent les exigences les plus élevées en matière de sécurité fonctionnelle, définies respectivement par les normes IEC 61508 pour les systèmes industriels et ISO 26262 pour l’automobile.
Qui est Codethink ?
Codethink est un intégrateur et développeur britannique actif depuis plus de 15 ans dans l’écosystème open source. L’entreprise est notamment impliquée dans des projets tels que GNOME, Freedesktop, Automotive Grade Linux et Yocto. Avec CTRL OS, elle cherche à prouver que l’open source, et notamment Linux, peut être utilisé dans des environnements critiques où la sécurité est essentielle.
Que signifie cette évaluation ?
L’évaluation réalisée par la société spécialisée exida ne constitue pas une certification formelle, mais un Safety Assessment baseline. Elle valide la méthodologie de Codethink pour construire et maintenir un système Linux utilisable dans des environnements critiques, en intégrant la sécurité dès le développement, et pas seulement en auditant le produit fini.
CTRL OS est aligné sur le Trustable Software Framework, un cadre open source hébergé par la fondation Eclipse, qui promeut des pratiques d’ingénierie transparentes pour les logiciels critiques.
Une démarche tournée vers l’industrie automobile, mais pas uniquement
À l’origine, Codethink visait l’automobile, où l’usage de Linux est de plus en plus courant dans les systèmes d’infodivertissement et les calculateurs embarqués. Mais la démarche pourrait inspirer d’autres secteurs comme l’aéronautique, le ferroviaire ou les équipements médicaux, qui utilisent déjà Linux mais peinent à démontrer la conformité de leurs piles open source aux exigences de sécurité.
Contrairement aux approches classiques qui adaptent Linux à la sécurité a posteriori, CTRL OS vise à construire la confiance dès la conception, en intégrant la preuve de conformité aux processus de développement. L’ambition affichée : réduire les coûts d’ingénierie sans sacrifier la rigueur.
Le rapport complet est disponible sur le site de Codethink.
