Ce qu'on sait factuellement
D'après l'article publié par IT-Connect en avril 2026 (avec lien vers le dépôt GitHub des projets, en cours de publication depuis mars 2025) :
- Sécurix est une configuration Linux durcie basée sur NixOS, une distribution à approche déclarative (Infrastructure-as-Code).
- Bureautix est un exemple d'usage de Sécurix comme environnement bureautique utilisateur.
- Approche : gestion décentralisée des configurations via Git, durcissement aligné sur les recommandations de l'ANSSI, authentification FIDO2, chiffrement matériel (Secure Boot, TPM 2.0), déploiement automatisé.
- Migration annoncée : la DINUM (Direction interministérielle du numérique) migre 250 agents de Windows vers Linux dans ce cadre.
- État du projet : version alpha à la date de publication (avril 2026).
Les projets se positionnent comme « ré-instantiables pour des cas d'usage variables : poste multi-agent, poste multi-niveaux, poste en intranet seulement ». Autrement dit, l'ambition est de produire un socle reproductible plutôt qu'une distribution monolithique.
Pourquoi NixOS, et pas Debian ou RHEL ?
Le choix de NixOS est cohérent avec l'angle d'attaque sécurité : la distribution permet de définir chaque ligne de configuration du système dans un fichier déclaratif versionné, et de revenir en arrière en quelques secondes si une mise à jour casse quelque chose. Pour une administration qui doit prouver l'état exact de ses postes lors d'un audit, ou redéployer 1000 machines à l'identique, c'est un atout structurel.
Pour une PME, c'est aussi la limite : NixOS demande une expertise plus pointue qu'Ubuntu ou Debian. Le retour sur investissement n'est intéressant que sur de gros parcs, ou sur des environnements à haute exigence de reproductibilité.
Le contexte : la souveraineté numérique au sens large
Sécurix et Bureautix s'inscrivent dans un mouvement plus large de souveraineté numérique française :
- CLIP OS, distribution durcie publiée par l'ANSSI elle-même depuis 2018, pour des usages à très haute sécurité.
- La feuille de route ANSSI 2026-2027 publiée le 14 avril 2026 fixe des objectifs concrets : MFA obligatoire pour tous les administrateurs au 31 décembre 2026, EDR/XDR sur tous les ordinateurs et serveurs à la même date, transition cryptographique post-quantique d'ici 2030.
- Le programme Numérique en Commun et la stratégie Cloud au centre, qui orientent les administrations vers les offres souveraines (SecNumCloud).
Le message est clair : l'État construit, avec ses propres outils, une posture cyber qu'il assumera devant les directives européennes (NIS2, DORA) et les exigences de continuité numérique.
Ce qu'une PME peut en retenir, sans migrer sous Linux
Pour la majorité des PME, basculer 15 ou 50 postes sous Linux n'est ni réaliste, ni souhaitable : les logiciels métier français (cabinets, expertise comptable, professions juridiques) sont massivement développés pour Windows. Mais quatre principes du projet Sécurix sont directement transposables, sans changer d'OS :
1. La configuration comme code
Documentez la configuration de référence de vos postes Windows et serveurs dans un dépôt versionné (Git ou simple répertoire SharePoint). Stratégies de groupe (GPO), images de déploiement (WIM ou Intune Autopilot), profils MDM : tout ce qui définit l'état d'un poste doit être traçable et reproductible.
2. Le durcissement aligné sur l'ANSSI
L'ANSSI publie des guides d'hygiène et des configurations recommandées pour Windows et Active Directory. Ces guides ne sont pas réservés à l'administration : ils sont publics et applicables à toute PME. Voir notre offre Infrastructure & Systèmes qui les met en œuvre.
3. L'authentification FIDO2
Les clés matérielles FIDO2 (YubiKey, SoloKeys) sont aujourd'hui supportées par Microsoft 365, Google Workspace, GitHub, et la majorité des services métier. Elles éliminent le risque de phishing par mot de passe et constituent une MFA bien plus robuste que les codes SMS ou TOTP. Pour un coût de 30 à 70 € par utilisateur, ce sont les meilleurs euros sécurité que vous dépenserez en 2026.
4. Le chiffrement matériel par défaut
Secure Boot, TPM 2.0, chiffrement BitLocker du disque : ces fonctionnalités sont incluses dans toute machine professionnelle vendue depuis 2020. Elles sont souvent désactivées par défaut, ou jamais vérifiées. Un audit rapide permet de les activer sur l'ensemble du parc.
Le piège à éviter
« On va passer à Linux pour la sécurité » est rarement une bonne décision en PME. Linux n'est pas magiquement plus sûr — il est différemment sûr. Une distribution mal configurée, jamais mise à jour, avec des comptes administrateur partagés et des logiciels installés depuis des dépôts douteux est aussi vulnérable qu'un Windows négligé. La sécurité vient des pratiques, pas de l'OS.
En revanche, certains usages spécifiques tirent un vrai bénéfice à passer sous Linux : machines de développement, serveurs internes, équipements industriels embarqués, postes haute sensibilité. Là, le sujet vaut une vraie discussion.
À retenir
Ce que Scryptoura fait pour vous
Notre offre Infrastructure & Systèmes applique les mêmes principes que Sécurix sur du Windows ou du Linux serveur : configuration documentée, durcissement aligné ANSSI, FIDO2 pour les comptes admin. Le Diagnostic Découverte évalue où votre parc se situe sur ces quatre axes, et propose un plan d'amélioration priorisé.