C’est un vent de fermeture qui souffle sur le service de santé britannique. Selon des rapports récents, le NHS England s’apprête à faire passer la majorité de ses dépôts de code source en mode « privé par défaut ». Cette nouvelle directive interne, baptisée « SDLC-8 », serait motivée par une crainte très actuelle : l’utilisation de systèmes d’IA par des attaquants pour scanner le code et y déceler des failles de sécurité.
Pour la Free Software Foundation Europe (FSFE), cette décision est un contre-sens historique (et technique) majeur.
Le mythe de la « sécurité par l’obscurité »
L’argument de la protection contre l’IA ne convainc pas les défenseurs du logiciel libre. Pour Johannes Näder, responsable de projet chez la FSFE, dépublier du code qui a déjà été public est inefficace : « Cacher le code ne le rend pas invisible aux yeux des attaquants qui analysent déjà les systèmes déployés. La « sécurité par l’obscurité » a été discréditée depuis longtemps. »
Au contraire, en verrouillant ses dépôts, le NHS se prive d’un pilier fondamental de la cybersécurité moderne : l’audit indépendant. Sans accès au code, les chercheurs en sécurité et les experts externes ne peuvent plus aider à identifier et à corriger les vulnérabilités avant qu’elles ne soient exploitées.
« Public Money? Public Code! »
Au-delà de la technique, c’est une question de principe et de souveraineté. La FSFE rappelle sa campagne phare : Public Money? Public Code! (Ndlr : argent public, code public). Le code du NHS est développé avec de l’argent public et, selon les propres directives du gouvernement britannique, il devrait être ouvert et réutilisable par défaut.
En tournant le dos à l’Open Source, le NHS risque, selon la FSF Europe, d‘augmenter la dépendance (lock-in) envers des prestataires propriétaires, de freiner l’innovation et la collaboration entre les différents organismes publics de santé, mais surtout de réduire la transparence et la confiance des citoyens envers leurs services publics numériques.
La FSFE appelle donc le NHS England à faire machine arrière. Plutôt que de fermer les portes, la fondation préconise de répondre aux enjeux de sécurité par de bonnes pratiques d’ingénierie logicielle : gestion rigoureuse des secrets, maintenance des dépendances, revues de code systématiques et défense en profondeur.
Pour le secteur de la santé, où la résilience et la responsabilité sont vitales, le logiciel libre n’est pas un risque, mais une protection, rappelle la FSFE.
