L’une des premières décisions techniques d’un projet d’OS souverain est le choix de la distribution Linux sur laquelle s’appuyer. Le groupe de travail technique d’HexaOS a conduit pendant trois mois une évaluation comparative de quatre distributions candidates : NixOS, Debian, Ubuntu LTS et Fedora.
Debian : la stabilité avant tout
Debian est la distribution la plus ancienne (1993) et la plus auditée de l’écosystème Linux. Sa politique de stabilité — une nouvelle version stable tous les deux ans — en fait un candidat naturel pour les environnements administratifs où la prévisibilité prime sur la modernité. La Gendarmerie Nationale a d’ailleurs choisi Ubuntu, qui est elle-même basée sur Debian, pour ses 95 000 postes. Point faible : les logiciels disponibles sont parfois en retard de 2 à 3 ans sur les dernières versions.
Ubuntu LTS : le compromis pragmatique
Ubuntu Long Term Support (LTS) offre 5 ans de support de sécurité et une base applicative plus moderne que Debian pure. Canonical, son éditeur, propose des contrats de support commerciaux qui pourraient être adaptés à un contexte français — sous réserve que le code reste auditable. Principale interrogation : Canonical est une entreprise britannique. Sa gouvernance post-Brexit et ses engagements de long terme méritent une analyse juridique approfondie.
NixOS : l’approche révolutionnaire
NixOS représente une rupture paradigmatique : chaque composant du système est décrit de manière déclarative, ce qui garantit une reproductibilité totale des déploiements. Dans un contexte de sécurité, cette propriété est extraordinairement précieuse : on peut garantir que le système déployé sur 100 000 postes est bit-pour-bit identique à la description auditée. Le groupe technique penche sérieusement vers NixOS pour les environnements haute sécurité, malgré sa courbe d’apprentissage élevée.
La recommandation préliminaire
Le groupe propose une approche à deux vitesses : Ubuntu LTS comme base pour les postes de travail standard (faible coût de formation, large compatibilité applicative), et NixOS pour les systèmes sensibles (ANSSI, défense, renseignement). Cette approche permet de commencer rapidement tout en construisant vers un futur plus sécurisé.