Ouvrir un droit d’audit du code source aux clients dont le contrat le justifie — publics sensibles, infrastructures critiques, exigences souveraines fortes — sous accord de confidentialité#
De quoi s’agit-il concrètement#
Cet engagement ne consiste pas à publier le code source — l’éditeur reste propriétaire et conserve l’intégralité de ses droits — mais à reconnaître à certains clients un droit de vérification par des yeux indépendants. La distinction est essentielle : l’audit ouvert sous accord de confidentialité préserve la propriété intellectuelle et le secret des affaires, tout en répondant à un besoin légitime de vérification sur des sujets qui ne se vérifient pas par des certificats. Les clients concernés sont typiquement les administrations sensibles, les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE) au sens de NIS2, certains ministères, et les acteurs d’infrastructures critiques (énergie, transport, santé, finance) dont le contrat porte des exigences souveraines fortes.
Le droit d’audit, formellement inscrit dans le contrat, précise plusieurs paramètres : (a) le périmètre de l’audit — composants concernés, type de revue (revue de pratiques de chaîne d’approvisionnement, revue de composants tiers déclarés, recherche de portes dérobées, revue de cryptographie, revue de gestion des secrets) ; (b) les conditions matérielles — accès en environnement contrôlé (salle dédiée, postes durcis), durée plafonnée, personnes habilitées (auditeurs internes du client, ANSSI ou équivalent européen, cabinet d’audit indépendant choisi par le client sur liste accordée) ; (c) le régime de confidentialité — accord de non-divulgation, restitution limitée à un rapport de conclusions partageable avec un nombre déterminé de personnes nommées ; (d) la fréquence — typiquement une fois par an, ou sur événement déclencheur. Cet engagement éclaire directement le domaine 7 du Profil de souveraineté (transparence et auditabilité).
Pourquoi cet engagement compte#
La thèse 13 du manifeste fonde cet engagement : « la souveraineté technologique n’est pas une fin. Elle est la condition pour qu’une organisation — entreprise, administration, particulier — puisse continuer à exploiter ses données et à mener ses opérations, quels que soient les événements : défaillance d’un fournisseur, conflit géopolitique, sanctions, rachat hostile, bascule unilatérale d’un éditeur. C’est un droit, pas un confort. » Pour les opérateurs critiques, exploiter ses données et mener ses opérations « quels que soient les événements » suppose de pouvoir vérifier ce qui s’exécute dans la chaîne de confiance, et non simplement de se reposer sur une déclaration de l’éditeur. Le droit d’audit est l’instrument qui rend cette vérification possible sans exiger l’ouverture totale du code.
Cet engagement participe de la nouvelle section « Les conditions d’équivalence pour le propriétaire » de la page À propos. La condition « droit d’audit du code source » est la septième et la plus directement orientée vers les acteurs sensibles. Elle complète pub-005-establish-software-escrow (séquestre, qui concerne le moment où l’éditeur disparaît) en permettant pendant la vie du contrat une vérification équivalente à ce que les éditeurs open source offrent par défaut à leurs utilisateurs. Sans cet engagement, l’écart entre éditeur OS et éditeur propriétaire reste maximal pour les clients pour lesquels la vérification est non négociable. Avec cet engagement bien encadré, l’éditeur propriétaire peut servir des marchés que la doctrine d’achat publique réserverait sinon à l’open source.
Exemple concret de mise en œuvre#
Un éditeur français de solution EDR (endpoint detection and response) pour les administrations et les opérateurs critiques, environ 70 salariés, prend cet engagement en mai 2026 avec un horizon de 12 mois. La trajectoire passe par plusieurs étapes. Premier trimestre : élaboration d’une procédure d’audit en collaboration avec un cabinet de cybersécurité accrédité (PASSI), définition d’un environnement d’audit isolé (poste dédié, code décompressé sur un volume chiffré, journalisation complète des consultations). Deuxième trimestre : rédaction d’une clause-type intégrée au contrat-cadre des clients OIV/OSE et des marchés publics ministériels, validée par les services juridiques de l’éditeur et par un client pilote.
Troisième et quatrième trimestres : conduite d’un premier audit avec un client pilote (un ministère), portant sur la conformité de la chaîne d’approvisionnement déclarée, la revue cryptographique, et la recherche de portes dérobées. Le rapport, remis sous accord de confidentialité, conclut sans réserve majeure. À l’horizon des 12 mois, la clause est intégrée à tous les nouveaux contrats avec des clients qualifiés et la procédure est documentée publiquement (sans détails techniques sensibles) dans le Profil de souveraineté. Plusieurs réponses à appels d’offres ministériels mentionnent explicitement le droit d’audit comme un facteur de différenciation, et l’éditeur observe une accélération des consultations sur les marchés réservés à ce niveau d’exigence.
Anti-pattern à éviter#
Un droit d’audit théorique mais entouré de conditions tellement restrictives qu’il est inopérant en pratique (uniquement chez l’éditeur, sur place, sans outils, avec un préavis très long, sur un périmètre trivial) vide la clause de tout contenu. Un audit limité aux seuls auditeurs choisis et payés par l’éditeur lui-même n’apporte aucune indépendance. Une restitution si encadrée par la confidentialité que le client ne peut pas même partager les conclusions à sa propre direction sécurité est contraire à l’esprit de l’engagement. Inversement, un droit d’audit ouvert à tous les clients sans qualification met en danger la propriété intellectuelle et la sécurité du dispositif — l’engagement doit rester ciblé sur les clients dont le contrat le justifie.
Indicateurs de réussite#
À l’horizon des 12 mois, vous pouvez raisonnablement considérer cet engagement tenu si la clause d’audit est intégrée au contrat-type des clients qualifiés, si la procédure d’audit est documentée et validée par un cabinet accrédité, si au moins un audit a été conduit avec un client pilote et son rapport remis dans les conditions prévues, et si la mention de cet engagement figure dans le Profil de souveraineté.
→ Documenté dans le dossier#
Catégorie dans le schéma JSON : audit. Horizon par défaut : 12 mois. Applicable à : entreprises.