OSPO Alliance : l’importance de la gouvernance de l’open source en entreprise – Frédéric Aatz

Publié le 17 septembre 2024
7 minutes de lecture
AZURE_0009

Frédéric Aatz a fait une grande partie de  sa carrière chez Microsoft et a occupé différents postes au sein de la filière française de Microsoft Azure, dont Directeur de la stratégie open source, et dernièrement Marketing & Business Lead. Depuis une quinzaine d’années, il a donc assisté et participé aux changements du géant Microsoft, qui s’est peu à peu redirigé vers une politique plus ouverte qu’à ses débuts. Frédéric Aatz a justement œuvré pour expliquer ce nouveau cap vers l’open source auprès de l’écosystème français. Aujourd’hui à la retraite, mais toujours passionné par les enjeux de l’open source, il continue de mettre son expérience et son expertise à profit en s’impliquant dans des projets comme l’initiative OSPO Alliance portée par les fondations OW2, Eclipse et Open Forum Europe. Frédéric Aatz partage avec nous sa connaissance de la logique OSPO et comment l’OSPO Alliance aide les organisations à mettre en place une véritable gouvernance de l’open source.

Avant d’aborder l’initiative OSPO Alliance, pouvez-vous commencer par expliquer ce qu’est un OSPO ?

OSPO est l’acronyme de Open Source Program Office ou Bureau de programme Open Source en français. Un OSPO est finalement une équipe au sein d’une organisation qui va se charger de rendre « programmatique » l’approche open source. L’émergence des OSPO est arrivée dans des structures très matures sur l’open source et qui ont eu le besoin d’une véritable gouvernance pour accentuer encore cet engagement. Il existe différentes formules d’OSPO, cela peut être une équipe de spécialistes de l’open source ou un/une « champion(ne) » qui défendra le sujet en interne et en externe. Parfois les OSPO sont nés de l’envie de développeurs qui se sont organisés et ont finalement pris le chapeau d’OSPO au fur et à mesure de la structuration d’une équipe dédiée à l’open source. Il y a aussi des OSPO qui sont venus par le besoin d’encadrer juridiquement l’open source dans l’entreprise avec des questions comme la protection des brevets, comment sortir d’une licence propriétaire pour passer à l’open source, etc. Il y a souvent différentes forces, qu’elles soient techniques, juridiques ou même économiques qui font qu’à un moment donné, les organisations se structurent autour d’une approche open source.

Et l’OSPO devient aussi le signal que l’entreprise n’en est plus à seulement utiliser des composants techniques open source, elle contribue vraiment à l’écosystème et en fait un sujet stratégique qui s’étend à toutes les fonctions (RH, marketing, directions générales, etc).

Les OSPO sont déjà très répandus aux États-Unis, beaucoup plus qu’en Europe, et a fortiori qu’en France. Personnellement je suis favorable à ce que ce modèle se diffuse plus largement dans les organisations publiques et privées en France. C’est d’ailleurs l’un des objectifs de l’OSPO Alliance de faciliter cette diffusion.

Comment vous expliquez que les OSPO soient aussi développés aux États-Unis, et si peu en France et en Europe ?

Très honnêtement je n’ai pas une réponse absolue à cette question. Ce que je sais c’est que les OSPO sont répandus aux États-Unis, mais il y a aussi un certain nombre d’acteurs en Asie qui se sont assez fortement développés en termes d’OSPO. Est-ce que le marché de l’open source a mûri plus rapidement dans ces pays qui ont donc atteint un niveau de maturité nécessitant de se structurer, et de s’organiser autour d’une activité OSPO ? Peut-être.

Si je zoome sur la France, même s’il y a des entreprises qui ont mis en place des OSPO, nous n’avons pas atteint une maturité suffisante. La maturité fait qu’on met la priorité au bon niveau et que, par conséquent, on affecte des ressources, du budget, du temps sur le sujet. En France, les entreprises qui ont des OSPO sont le plus souvent des sociétés du numérique qui font de l’engineering, éditent des logiciels, etc. Il y a trop peu d’entreprises publiques et privées – avec une activité principale  autre que la production de nouvelles technologies – qui ont la maturité pour prioriser l’open source et mettre en place un OSPO. Dans n’importe quelle entreprise aujourd’hui, la technologie est centrale mais les dirigeants n’ont pas forcément toujours compris ou digéré le fait que le logiciel fait complètement partie de leur supply chain et qu’il faut donc structurer tout cela. Heureusement, il y a des exemples à suivre comme Thalès, Orange, la Mairie de Paris, la DINUM, la SNCF, ou encore la MAIF,… pour ne citer qu’eux, qui font un travail formidable sur l’intégration de l’open source dans leur structure alors qu’elles ne sont pas dans le secteur des nouvelles technologies.

Dans ce contexte, comment l’OSPO Alliance est-elle née et quelles sont ses missions, ses ambitions ?

L’OSPO Alliance a été lancée en 2021 par trois fondations open source : Eclipse, OW2 et Open Forum Europe. La vocation de cette initiative est d’offrir un espace de partage d’expériences sur la gouvernance de l’open source, un endroit où les gens qui se préoccupent du sujet OSPO peuvent échanger, partager, apprendre et faire mûrir leurs réflexions. On a ouvert un forum en décembre 2023 par exemple, et on organise des REX pratiquement tous les mois (OSPO-Alliance OnRamp).

Il y a aussi différents groupes de travail qui se retrouvent régulièrement pour élaborer des outils de partage de l’information comme notre guide de bonne gouvernance de l’open source, le GGI (Good Governance Initiative). Il y a aussi un groupe qui gère tout le travail autour de la traduction de ce handbook pour le mettre à disposition dans de nombreuses langues. De mon côté, je contribue fortement sur la partie communication qui va cadencer les interventions Onramp et les partages d’expériences. Ce qui m’anime dans cette task-force communication est d’étendre la communauté et d’agréger petit à petit les expériences de chacun. Par exemple, dernièrement, des représentants de la société italienne pagoPa sont venus partager ce qu’ils font en Italie sur le secteur public et c’était très intéressant.

Et pour revenir au sujet de la promotion de l’OSPO en France, notre objectif n’est pas de concurrencer des organisations internationales comme ToDo Group, OSPO++ , mais de créer une influence géographique née en Europe et qui pourra bien entendu se diffuser au-delà des frontières européennes.

L’idée est d’ajouter encore un effort de communauté autour de la logique OSPO. Nous souhaitons aussi étendre la communauté à des personnes qui connaissent mal le sujet de l’open source, il faut évangéliser plus largement pour sortir de l’aspect purement IT de l’open source et qu’il soit compris par tous les métiers de l’entreprise.

Vous parliez d’un manuel édité par l’OSPO alliance, comment peut-il aider une entreprise à mettre en place un OSPO ? 

Le but de ce guide, qui s’appelle donc le GGI handbook, est de structurer et découper les enjeux que déclenchent l’adoption de l’open source.

Nous avons retenus cinq objectifs avec cinq activités qui se réfèrent à chacun des objectifs, ce qui donne une cartographie du niveau de maturité sur lequel on se place en tant qu’organisation. Par exemple le premier objectif est l’utilisation de l’open source. Quel est ma connaissance de cette utilisation (inventaire), comment l’utiliser, quels sont les risques légaux associés, est-ce que les solutions sont sécurisées, que me permettent de faire les licences, etc. Puis la deuxième phase c’est contribuer. À partir du moment où on s’inscrit dans une démarche open source, ce n’est pas seulement « prendre », c’est aussi comment on contribue et collabore à des projets ou encore combien de temps on laisse à ses développeurs pour contribuer, et comment valoriser leurs contributions ?, etc.

Le but de ce guide est vraiment de répondre à ces questionnements très concrets en fonction du niveau où se trouve l’organisation sur ces 5 phases de maturité qui vont de l’utilisation de l’open source jusqu’à la mise en place d’un OSPO.

Même si vous avez déjà un OSPO, ce guide sera utile pour pointer vos zones de faiblesse et élaborer votre feuille de route pour vous aider à les améliorer. Par exemple, si vous remarquez que votre service RH ne retient que des profils de développeurs qui n’ont pas de sensibilité à l’open source, il faudra inscrire dans votre plan que la logique open source n’est pas acquise du côté des RH, et qu’il sera nécessaire de les acculturer.

Et quand il n’y a pas d’OSPO, ce guide pourra aussi donner l’impulsion à un/une « Champion(ne) » pour initier l’engagement de l’entreprise dans l’open source. Il va notamment s’apercevoir que sa première mission sera d’expliquer l’open source à toute sa hiérarchie afin que toutes et tous comprennent le sens de mettre du temps et du budget sur ce sujet. 

Pour l’instant, nous avons de très bons retours sur ce GGI handbook, mais je suis toujours preneur de feedbacks pour continuer à l’enrichir.  

Pourquoi dont-on gérer l’open source de manière aussi particulière en entreprise selon vous ? Certains acteurs pensent au contraire que ce n’est pas forcément une bonne idée de mettre la lumière sur l’open source avec un OSPO, et qu’il faut l’amener doucement en faisant la preuve que cela marche aussi bien que le propriétaire ?

Je pense qu’on n’aurait pas besoin d’OSPO justement si la culture de l’open source était une évidence pour tout le monde, mais ce n’est pas le cas. Ceux qui pensent qu’un OSPO est inutile sont peut-être dans le cas de figure de l’organisation qui est déjà très très mature sur le sujet et n’a pas d’utilité à avoir une entité qui porte l’open source. Et faire la preuve que cela fonctionne, c’est bien, mais c’est du bottom-up, donc cela veut dire qu’il y a encore beaucoup de travail pour faire accepter l’open source et qu’en fonction de l’ambition sur ce sujet, un OSPO deviendra indispensable. On peut dire que l’OSPO est un étendard, c’est exactement comme nommer un responsable de la RSE par exemple. Il s’agit d’acter dans les deux cas que ce sont des valeurs, des modèles de travail, qui font partie intégrante de la stratégie globale d’une entreprise.

Quel serait le portrait robot de l’OSPO idéal ?

Il faut bien entendu que le/la champion(ne) ou la petite équipe qui compose l’OSPO soit expert(e) sur le sujet de l’open source, c’est une évidence, sinon l’OSPO ne peut pas être crédible. Ensuite si on devait faire le CV d’un OSPO, la première compétence à retrouver serait la communication. Les OSPO doivent être des facilitateurs dans la conduite du changement, et avoir la bonne manière de communiquer auprès de tous les services et de l’exécutif de l’entreprise. Il faut être conscient que son rôle ne se limite pas à l’IT, à regarder le code et les licences, cela va beaucoup plus loin, il faut qu’il arrive à mettre le sujet en avant, à l’expliquer, le vulgariser et faire comprendre ses enjeux. Il faut donc qu’il est aussi un certain « poids » dans l’entreprise, une reconnaissance qui fait que sa parole est audible au plus niveau de la hiérarchie de l’entreprise. Pourquoi aujourd’hui on entend parler beaucoup d’IA et de cloud au sein des comités de direction, mais très peu d’open source alors que les trois sont intimement liés ? Pour l’instant, les PDG de grosses entreprises et leurs actionnaires, n’ont pas forcément l’idée que cloud, IA et open source sont conjugués (et portent des caractéristiques propres), cela veut dire que l’open source a encore besoin de visibilité (et de compréhension de son rôle dans la chaîne de valeur numérique).

L’OSPO doit donc jouer ce rôle de porte étendard de l’open source en interne comme en dehors de l’entreprise.

Est-ce qu’il n’y a pas un risque aussi d’open source washing, dans le sens où l’entreprise justement communique sur son OSPO comme un étendard, mais qu’en réalité c’est une coquille vide ?

Oui, je pense qu’il y a toujours le risque que l’entreprise dise « regardez, on a un OSPO » et ne s’engage pas réellement dans une démarche open source. Mais à mon avis ce manque de sincérité est vite démasqué et devient contre-productif pour l’entreprise, donc le risque d’open source washing à travers l’OSPO est limité. Je dirais même qu’au contraire, si on veut faire de l’open source washing, il est plus facile de dire « je fais de l’open source, j’ai une stratégie open source », mais de ne pas la décrire. Mettre en place un OSPO signifie qu’il y a aura un ou des interlocuteurs pour parler de votre stratégie open source, c’est donc s’exposer davantage, un OSPO ne peut pas être qu’un écran de fumée. Si je reprends la dimension RH, avoir un OSPO peut attirer les talents, mais si derrière il n’y a pas de réelle stratégie open source, les développeurs vont restés trois mois et vont s’en aller en vous faisant une mauvaise réputation qui va encore accentuer vos difficultés de recrutement. Avoir un OSPO parce que c’est « la mode » est très dangereux pour l’entreprise en termes de crédibilité et de communication, parce qu’elle va devoir prouver ensuite sa maturité sur l’open source, c’est vraiment engageant !

Retrouvez l’interview de Frédéric Aatz et de beaucoup d’autres acteurs de l’open source dans notre livre : « Open Source et logiciel Libre : perspectives et visions des acteurs de l’Open Source »