Dans les organisations, les risques humains demeurent souvent les plus négligés dans une étude globale d’analyse de la gestion des risques. Néanmoins, ils peuvent se révéler extrêmement dévastateurs à terme, en tenir compte fait partie des obligations des décideurs. On répertorie ainsi principalement trois principaux styles de risques humains :

• les délais,
• la contrefaçon,
• la modification du code source.
  

L’impact non commercial du logiciel libre se traduit généralement par une incertitude sur la finalisation d’une version logicielle. Or le terme incertitude est plus qu’antagoniste avec une stratégie d’organisation. Cette dernière tente de naviguer dans un environnement le plus certain ou le moins aléatoire avec un objectif de seuil de rentabilité en adéquation avec ses indicateurs prévisionnels. Dans le monde libre, aucune contrainte commerciale de sortie de produit n’existe. La disponibilité d’une solution interviendra donc lorsque la qualité sera jugée satisfaisante. Contrairement aux éditeurs propriétaires qui disposent de roadmaps 123 précises mais souvent non tenues, le libre reste pour sa part assez flou dans la mise à disposition de ses logiciels 124.

Ce risque est certes à pondérer car tout dépend effectivement si la version attendue est considérée comme stratégique par l’organisation ou non. La typologie du secteur s’inscrit aussi comme un paramètre fondamental pour qualifier et quantifier cette composante. Dans le domaine bancaire, la mise à jour d’une suite bureautique s’effectue à un rythme d’une nouvelle version tous les deux ou trois ans. Les raisons en sont simples : des tailles de parcs souvent conséquentes à modifier et une évolutivité de l’utilisation quasi stagnante dans ce secteur. Ces risques de dérive de délais seront donc à minimiser ou à maximiser selon le contexte de l’organisation concernée.

Le point suivant concerne la contrefaçon. Il est essentiel de respecter le patrimoine d’autrui. Dans tous les cas, le logiciel mis à disposition gracieusement ou non reste la propriété de son auteur. Ce dernier en dispose donc et peut à tout moment le transformer et le rendre « propriétaire » par exemple, s’il le désire. La contrefaçon du logiciel favorise d’ailleurs cette transformation qui relève néanmoins de l’exception. On constate même souvent la situation diamétralement opposée. La licence propriétaire devient alors une licence libre. Il est donc important d’éduquer et d’informer sur cette thématique de respect du logiciel libre. Trop de personnes conçoivent le logiciel libre comme un bien public. Pour éviter les contrefaçons, des mesures de sanction deviennent indispensables. La FSF ou le projet gpl-violations 125 veillent néanmoins à faire respecter les licences et se chargent de défendre les droits des développeurs en cas de litige. Dans ce contexte, il est important qu’il coexiste des licences standardisées.

Dans une entreprise, les risques internes se révèlent souvent supérieurs aux risques externes : collaborateur mécontent, négligence, … L’ouverture du code source, s’il offre beaucoup d’avantages traduit également un inconvénient majeur. Il présente ainsi l’opportunité pour des personnes techniques expérimentées de rajouter du « code malicieux 126 ». Cette spécificité est en fait à double tranchant. C’est à la fois une force et une faiblesse.

De par une ouverture extérieure grandissante de l’entreprise, des patchs malins trouvent aussi le bon chemin pour nuire volontairement. Néanmoins, dans ce cas de risque externe, les failles de sécurité se corrigent généralement très rapidement. Par rapport à un contexte propriétaire, les risques internes à l’organisation connaissent une croissance tandis que les risques externes ont plutôt tendance à décroître. Tout devient donc une question de pertinence.
Une étude de risque complète est une nécessité absolue. Ne pas la faire, c’est encourir des risques financiers lourds pour l’organisation.

Chapitre V – Gestion du risque et logiciel libre : les points clés

• Tout décisionnaire se doit de mesurer l’ensemble des risques inhérents avant de faire un choix portant sur une solution logicielle. La maîtrise des risques est une nécessité et dépend de chaque organisation. Chaque étude est unique.
• Le logiciel libre présente des risques comme toute solution, le nier est une aberration. Trois principales classes de risques sont clairement identifiables : les risques communautaires, juridiques et humains.
• Le monde libre manque de ressources, de nombreux projets ne survivent pas faute de contributeurs ou par manque de ténacité. Les contributeurs se découragent parfois à cause de choix techniques mal appropriés. Choisir une solution libre nécessite l’étude de la communauté et de sa pérennité.
• Dans certains cas, suite à des discordances, la création d’un fork intervient. Il représente un nouveau projet d’une solution déjà existante. Les environnements de bureau KDE et GNOME symbolisent cet état de fait. La division est souvent source de fragilité. Néanmoins dans le monde libre, les solutions sont construites sur du code ouvert et l’interopérabilité est un leitmotiv. Le risque final s’en trouve donc minimisé.
• Les risques juridiques constituent une Epée de Damoclès pour le monde libre. Le nombre de licences ne cesse de se multiplier. 70% des licences libres sont néanmoins sous licence GNU GPL. Il est important d’avoir au plus deux ou trois licences pour aboutir à une standardisation de ces dernières et favoriser l’assemblage de briques logicielles.
• Le brevet symbolise un des sujets les plus épineux. Le logiciel n’est rien de plus que la transcription d’un algorithme mathématique, il n’y a pas invention d’un dispositif physique, la brevetabilité ne s’applique donc pas. La validité d’un brevet international dure vingt ans. Circonscrire le monde des TIC à cet horizon est quasiment impossible. Brevet et logiciel sont totalement incompatibles dans une vision « marché » du monde de l’informatique.
• Attention, certains logiciels propriétaires incluent des logiciels Open Source. Pour des raisons commerciales, ils peuvent être présentés comme étant un logiciel libre. Avant d’acheter une solution, il est important de connaître sa licence et ses caractéristiques inhérentes.
• Les risques humains sont souvent omis, pourtant dans certains cas, leur poids est considérable. Dans le monde libre, il est impossible de donner une date de sortie sur une solution logicielle, le produit est diffusé lorsque sa qualité est jugée suffisante. L’ouverture des codes sources présente de nombreux avantages mais il existe également le revers de cette situation : des personnes mal intentionnées et averties techniquement deviennent capables de modifier le code à leur avantage si elles le désirent.
• Néanmoins, le plus grand risque à terme, c’est de ne pas utiliser du logiciel libre au sein de son organisation, car cette politique revient à se priver d’avantages stratégiques et concurrentiels forts.
  

123 Document généralement sous forme de tableaux présentant les dates de sortie des nouveaux produits d’un éditeur de logiciels.
124 Hormis certaines distributions phares qui ont aussi des roadmaps.

125 http://www.gpl-violations.org/
126 Ce risque existe aussi dans le cas du logiciel propriétaire, mais il constitue alors un risque externe pour l’entreprise. En effet, l’éditeur a tout loisir, de rajouter du « code malicieux », inconnu de son client. Dans ce cas, la correction sera encore plus complexe à réaliser, le code source étant fermé, le client ne peut pas résoudre cette problématique par ses propres moyens.