L’investissement de l’ANSSI – en tant que contributeur logiciel libre au sein de l'État - se veut pragmatique. Il répond à un réel enjeu de sécurité et de souveraineté, pour protéger les biens communs et investir dans des technologies et des solutions d’avenir.

Cette démarche se fonde sur les possibilités inédites qu’offre l’open source en termes d’adaptation, de maîtrise, d’évaluation et de diffusion, à la condition d’y consacrer les ressources nécessaires. Pour l’ANSSI, l’open source permet de développer les compétences indispensables à la maîtrise de technologies clés et de les partager autour de cas d’usage spécifiques.

Le logiciel libre facilite le partage des connaissances et des résultats, permet leur évaluation par les pairs, mais aussi de bénéficier des éventuelles contributions de la communauté et des acteurs du numérique.

L’ANSSI s’investit ainsi dans le logiciel libre pour répondre à de multiples objectifs : élaborer des solutions adaptées à de nouveaux cas d’usage, sécuriser les composants de base les plus utilisés, mais également développer, entretenir et partager sa compétence et sa maîtrise des technologies clés du numérique.

Elle est à la fois utilisatrice de technologies open-source, mais aussi fortement contributrice.

L’agence est depuis longtemps impliquée dans de nombreux projets open-source, par les contributions de ses agents et la publication de plusieurs de ses outils. La loi pour une République numérique de 2016 a fait des codes sources écrits par les administrations des données publiques, ayant vocation à être publiées. Nonobstant cette obligation (qui comporte certaines exceptions, par exemple pour des raisons de sécurité informatique), les publications de l'ANSSI peuvent se classer dans différentes catégories :

• les preuves de concept, qui sont publiées en l'état, sans garantie de maintenance ni de support. Elles ont servi de support à des travaux ponctuels (hackathon, écriture d'article, etc.), et sont publiées afin d'être utilisées par d'autres, par exemple pour reproduire des travaux publiés dans un article scientifique ;
• les outils utiles au quotidien pour l'un ou l'autre des métiers de l'ANSSI (opérationnel ou non), sont en général maintenus le temps qu'ils restent utiles en interne ou auprès de ses partenaires ;
• les grands projets, emblématiques de l'engagement de l'agence pour l'open source, pour lesquels l'ANSSI a cherché à élaborer une stratégie de publication, de coopération et de communication, ainsi qu'une feuille de route publique ;
• les contributions à des projets open-source existants, que ce soit pour corriger des bugs (de sécurité en général, mais parfois fonctionnels) ou afin d'améliorer les projets, de façon plus ou moins importante.

L'ANSSI dispose de plusieurs organisations Github pour regrouper les différents projets publiés:

• ANSSI-FR regroupe la plupart des projets autonomes
• DFIR-ORC (organisation Github) est un ensemble d'outils de recherche de compromission, utilisés en particulier par la sous-direction des Opérations lors de traitement d'affaires
• FCSC-FR regroupe les dépôts liés à l'organisation de la compétition French CyberSecurity Challenge (édition 2024)
• Rusticata est un ensemble de parseurs « sûrs » écrits en Rust, utilisés en particulier avec l'outil Suricata

L'ANSSI a publié par le passé un certain nombre de grands projets qui ne sont plus maintenus. On peut trouver en particulier:

• Wookey (et l'organisation Github correspondante)
• LEIA (Lab Embedded ISO7816 Analyzer A Custom Smartcard Reader for the ChipWhisperer)
• CLIP OS (organisation Github et archives) est un système d'exploitation durci sur base Linux visant des environnements multiniveaux (cohabitation d'environnement de différents niveaux de sensibilité)