NHS England se prépare à restreindre l'accès public au code source

NHS England prépare de nouvelles directives internes qui transféreraient la plupart des dépôts de logiciels financés par des fonds publics vers un paramètre privé, sauf si une exception explicite est accordée. Ce développement est pertinent car il représente un changement par rapport aux pratiques précédentes qui promouvaient l'accès ouvert au code développé avec des fonds publics.

Les directives, apparemment appelées “SDLC-8”, sont élaborées en réponse aux préoccupations selon lesquelles des systèmes d'intelligence artificielle tels que Mythos pourraient analyser des dépôts de code publics pour identifier des vulnérabilités. Selon des informations circulant parmi le personnel et les développeurs de NHS, la politique devrait entrer en vigueur autour du 11 mai 2026.

Selon un post Reddit citant des directives partagées avec New Scientist, le projet de politique stipule que tous les dépôts de code source doivent être privés par défaut, et l'accès public nécessiterait une approbation formelle dans des cas exceptionnels. Cette approche inverserait le précédent par défaut qui consistait à rendre le code financé par des fonds publics librement accessible.

La Free Software Foundation Europe a déclaré que retirer le code de la vue publique ne prévient pas les attaquants d'examiner les systèmes déployés ou les binaires. L'organisation a également affirmé que dépublier le code n'est pas une mesure de sécurité efficace.

Ce que montrent les chiffres

• La politique devrait entrer en vigueur autour du 11 mai 2026
• Tous les dépôts seraient privés par défaut, sauf si une exception explicite est approuvée
• Les directives sont appelées en interne “SDLC-8.”

La Free Software Foundation Europe a noté que le changement proposé contredirait le propre Standard de Service de NHS England et les directives du gouvernement britannique, qui exigent que les logiciels financés par des fonds publics soient ouverts et réutilisables par défaut. L'organisation a également déclaré que ce mouvement pourrait réduire la transparence et entraver le contrôle indépendant.

Le changement de politique semble entrer en conflit avec l'engagement précédemment déclaré de NHS England en faveur de la transparence, y compris ses efforts pour promouvoir les données ouvertes et l'accès ouvert aux informations par défaut. NHS England a précédemment publié des mises à jour sur ses initiatives de transparence, soulignant l'accès ouvert comme une pratique standard.

Des discussions parmi le personnel et les développeurs de NHS indiquent que les directives proposées ont été circulées de manière informelle, mais il n'y a pas eu de déclaration publique officielle de NHS England confirmant les détails ou la justification du changement. L'absence d'une annonce formelle laisse certaines questions sur la portée finale et la mise en œuvre de la politique.

Réaction de l'industrie

La Free Software Foundation Europe a déclaré que restreindre l'accès au code source ne traite pas les risques de sécurité sous-jacents et contredit les politiques gouvernementales établies sur l'ouverture. L'organisation a également déclaré que ce mouvement ne préviendrait pas les attaquants d'analyser le logiciel par d'autres moyens.

Certains critiques, selon la Free Software Foundation Europe, ont déclaré que rendre les dépôts privés pourrait réduire la transparence et limiter les opportunités d'examen indépendant, tout en n'améliorant pas nécessairement les résultats en matière de sécurité.

* Cet article est basé sur des informations publiquement disponibles au moment de la rédaction.