Adieu Windows : SécuRix et Bureautix, le Linux de l’État gaulois

Le gouvernement prépare la migration de 250 agents vers une « distribution NixOS maison » développée par la DINUM, qui a officialisé sa sortie de Windows au profit de Linux le 8 avril 2026. Le projet Sécurix, en phase alpha, inclut des mécanismes de défense robustes et vise à garantir que seul le code validé par l’État puisse s’exécuter sur les machines des agents.

On parle fréquemment de souveraineté numérique, mais que signifie-t-elle concrètement ? La réponse repose sur deux noms : Sécurix et Bureautix. En s’appuyant sur NixOS, une distribution Linux très différente, le gouvernement préparerait discrètement la transition post-Windows pour ses agents.

Avant d’imaginer que Windows disparaisse soudainement de toutes les administrations françaises, il convient de poser certaines bases. La migration annoncée cette semaine concerne 250 agents, et non 2,5 millions. Toutefois, derrière ce chiffre modeste se cache un projet technique beaucoup plus ambitieux : Sécurix.

L’information qui circule au sujet d’une « distribution NixOS maison » développée par le gouvernement est à la fois vraie et plus complexe qu’il n’y paraît. Techniquement, il ne s’agit pas d’un fork, mais d’une configuration renforcée basée sur NixOS.

Tout a débuté lors d’un séminaire interministériel organisé le 8 avril 2026 par la DINUM, à l’initiative du Premier ministre Sébastien Lecornu. À cette occasion, la Direction interministérielle du numérique a officialisé sa transition de Windows vers Linux, une annonce symbolique touchant environ 250 agents, mais qui met en lumière Sécurix, le socle technique sur lequel cette transition repose.

Selon les dernières informations de l’écosystème cloud-gouv, la DINUM (Direction interministérielle du numérique) développe un logiciel nommé Sécurix, dont le code est publié sur GitHub sous licence MIT.

Ce ne serait pas simplement un système d’exploitation, mais un socle de travail. Développé au sein du département OPI (Opérateur de Produits Interministériels) de la DINUM, Sécurix constitue la base technique pour créer des environnements de travail hautement sécurisés.

Le périmètre de cette migration reste modeste : 234 agents à la DINUM. Cependant, elle s’inscrit dans un mouvement beaucoup plus vaste. Parallèlement, la Caisse nationale d’Assurance maladie a annoncé la migration de ses 80 000 agents vers les outils du socle numérique interministériel : Tchap pour la messagerie, Visio pour les réunions et FranceTransfert pour l’échange de documents. C’est à cette échelle que la transition commence à avoir un impact significatif.

C’est ici qu’intervient Bureautix : ce ne serait pas un produit commercial, mais un « exemple » de configuration bureautique qui montrerait comment transformer ce socle de base en outil quotidien pour un agent de l’État.

Le choix de NixOS comme fondation technique n’est probablement pas anodin. Contrairement à une distribution Linux classique, NixOS permet une gestion déclarative. Pour résumer, on décrit l’état souhaité du système dans un fichier de configuration, et la machine se construit d’elle-même de manière identique, chaque fois. Pour l’État, cela offre la possibilité de maintenir un parc informatique maîtrisé, auditable et, surtout, souverain.

Le projet Sécurix serait actuellement en phase alpha et ne propose pas encore de support, mais ses ambitions sont claires. Il devrait s’agir d’un modèle réinstanciable capable de s’adapter à plusieurs cas d’usage critiques : postes multi-agents, accès intranet exclusif ou administration système de haut niveau. Ce projet viserait à respecter les recommandations les plus strictes de l’ANSSI.

De manière technique, ce socle intégrerait des mécanismes de défense robustes. On y inclurait la gestion des puces TPM2, le chiffrement des données via des clés physiques Yubikey (LUKS FIDO2) et un enrôlement centralisé pour le Secure Boot. L’idée serait de garantir que seul le code validé par l’État puisse s’exécuter sur la machine. Pour la gestion des secrets, des outils comme Vault ou age seraient également présents, renforçant ainsi la protection.

However, ce qui rendrait Sécurix vraiment unique, c’est sa capacité de reproductibilité. Grâce à NixOS, en cas de corruption ou de panne d’un poste, il suffirait de redéployer sa configuration pour retrouver un système sain en quelques minutes. Ceci constitue une rupture nette par rapport au modèle Windows, où chaque machine finit par développer sa propre « vie » et ses propres failles au fil du temps.

La DINUM ne travaille pas seule. Chaque ministère, y compris les opérateurs publics, devra formaliser d’ici l’automne 2026 son propre plan de réduction des dépendances extra-européennes, basé sur sept axes : poste de travail, outils collaboratifs, antivirus, intelligence artificielle, bases de données, virtualisation et équipements réseau. Ce calendrier contraignant est porté par la ministre déléguée au Numérique, Anne Le Hénanff, qui avait déjà alerté en 2023, en tant que députée, sur « le piège Microsoft ».

De son côté, Bureautix servirait de démonstrateur. Ce projet montrerait comment ajouter les couches nécessaires à un usage administratif sur la brique Sécurix : suite bureautique, outils de communication et accès aux services souverains de l’État. Cela prouverait qu’il est possible de se passer des solutions propriétaires américaines pour les tâches quotidiennes.

Le point le plus radical ? Bureautix n’utiliserait pas d’annuaire centralisé traditionnel comme l’Active Directory de Microsoft. À la place, il s’appuierait sur un répertoire statique géré comme du code dans un dépôt Git. Les nouveaux utilisateurs ou les modifications de droits seraient distribués via des mises à jour système. C’est une approche simplifiée qui réduirait considérablement la dépendance à des infrastructures lourdes et souvent vulnérables.

La suite de l’histoire reste à écrire. Si Sécurix en est encore au stade expérimental, il s’aligne parfaitement avec la stratégie « Cloud de confiance » de la France. L’idée serait de disposer de serveurs souverains d’un côté, et de « clients sécurisés » de l’autre, parfaitement intégrés à cet écosystème.

La DINUM a également prévu d’organiser en juin 2026 les premières « rencontres industrielles du numérique », censées matérialiser une alliance public-privé pour la souveraineté européenne. Un précédent appelle à la prudence : la ville de Munich, qui avait migré son administration vers Linux avant de faire marche arrière une décennie plus tard. La souveraineté numérique ne se décrète pas ; elle se construit dans la durabilité et résiste rarement seule aux changements de majorité.