La Linux Foundation Europe vient de publier son rapport 2025 : si les entreprises européennes adoptent massivement l’open source, rares sont celles qui disposent d’une stratégie claire ou d’un pilotage structuré. Cela a pour conséquences directes une dépendance persistante à des technologies extra-européennes, des difficultés à sécuriser la supply chain logicielle et entraîne indéniablement une valeur économique captée ailleurs. Pour Solutions Numériques & Cybersécurité, Olivier Lambert, CEO et co-fondateur de Vates, éditeur français de solutions de virtualisation 100% open source (alternative à VMware) décrypte les enjeux de souveraineté numérique, d’adoption et de modernisation.
SNC : Le rapport de la Linux Foundation Europe souligne un paradoxe : l’open source est omniprésent, mais sans stratégie claire. Qu’est-ce qui manque en Europe ?
Olivier Lambert : L’Europe, et la France en particulier, disposent d’une communauté open source forte et passionnée. Mais il y a un décalage entre cette base et la compréhension des décideurs, notamment dans les grands groupes. Pour beaucoup, l’open source reste mal compris, surtout par une génération qui n’a pas grandi avec cette culture. Les jeunes diplômés l’utilisent naturellement depuis 15 à 20 ans. Mais au niveau décisionnel, il existe encore une méfiance ou une méconnaissance. C’est avant tout une question de culture et de génération.
Quelle différence entre une adoption technique et une vraie stratégie open source ?
O. L. : La plupart des entreprises viennent à l’open source d’abord pour des raisons techniques, pas idéologiques. Elles cherchent une solution qui fonctionne, pas à devenir expertes Linux. C’est seulement après adoption qu’elles découvrent les avantages stratégiques : transparence, indépendance, communauté de contributeurs. Mais tant qu’on reste dans une adoption « par conviction », on plafonne. Pour franchir un cap, il faut transformer l’usage technique en stratégie pilotée : évaluer les dépendances, identifier les projets critiques, investir dans leur pérennité.
Les Open Source Program Offices (OSPO) sont présentés comme un levier clé. Pourquoi sont-ils si rares ?
O. L. : Parce que l’open source reste perçu comme une question technique, pas stratégique. Tant que les décideurs ne s’en emparent pas, on ne passe pas à l’échelle. Or, une vraie stratégie suppose d’intégrer l’open source au plus haut niveau – comme on sourcerait des matières premières critiques dans l’industrie. Sans cela, on continue à utiliser des briques essentielles développées par quelques individus dans leur temps libre, ce qui est dangereux.
La sécurité logicielle est au cœur des débats. Quelles bonnes pratiques recommandez-vous ?
O. L. : Deux approches existent. Si vous achetez une solution open source portée par un éditeur, c’est à lui d’assurer la maintenance, la mise à jour et la sécurité des dépendances. Vous payez pour ce service. Si vous consommez directement de l’open source « gratuit », vous devez internaliser cette responsabilité : surveiller vos dépendances, maintenir vos propres SBOM, patcher vous-mêmes. Ne rien faire expose à des failles critiques.
Le règlement européen Cyber Resilience Act (CRA) va renforcer les obligations de sécurité. Qu’est-ce que cela change ?
O. L. : Le CRA est une bonne initiative : il structure les pratiques de cybersécurité et responsabilise les éditeurs. Mais il faut l’adapter à l’open source. Dans un logiciel propriétaire, la chaîne de valeur est intégrée. Dans l’open source, elle est fragmentée, avec des projets portés par des communautés ou des individus. On ne peut pas leur imposer les mêmes obligations qu’à un grand éditeur. Le défi, c’est de trouver un cadre adapté, qui renforce la confiance sans décourager les contributeurs.
Vous êtes positionné sur la virtualisation. En quoi cette brique est-elle stratégique pour la souveraineté européenne ?
O. L. : La virtualisation est la base du cloud. Sans elle, aucune infrastructure ne tourne. Or, aujourd’hui, nous dépendons quasi exclusivement de solutions américaines. L’open source est une condition nécessaire, mais pas suffisante : encore faut-il que la gouvernance et les compétences soient en Europe. C’est pourquoi il faut des éditeurs européens capables de porter ces briques critiques. Sinon, même en développant nos propres logiciels métiers, nous resterons dépendants d’infrastructures extra-européennes.
Quel message adresser aux DSI et décideurs européens ?
O. L. : Acheter un logiciel est un acte politique, qu’on le veuille ou non. Continuer à choisir par facilité les solutions américaines ou chinoises revient à affaiblir notre propre écosystème. Mon message est simple : testez les solutions européennes, même sur une partie de votre infrastructure. En les adoptant, vous contribuez à faire émerger les leaders de demain. Sans cela, on restera dépendants et c’est paradoxalement aux États-Unis que nos éditeurs français trouvent aujourd’hui leurs clients les plus fidèles.
