Le gouvernement français accélère sa stratégie de souveraineté numérique en initiant une migration de quelques centaines de postes de travail de Windows vers Linux. Ce déploiement pourrait avoir une particularité : s’appuyer sur une distribution Linux nommée NixOS, dont la configuration est déclarative. Voici une présentation de cette distribution Linux.
Récemment, l’État français a une nouvelle fois exprimé sa volonté de remplacer le système d’exploitation Windows par des solutions basées sur Linux. L’objectif affiché est clair : renforcer la souveraineté numérique nationale et s’affranchir des solutions extra-européennes.
Le 8 avril 2026, lors d’un séminaire dédié, la DINUM (Direction interministérielle du Numérique) a fait une annonce importante concernant la migration des postes de travail de ses agents vers Linux. Bien que cette première étape concerne seulement 250 personnes, elle indique la direction technique choisie par la France. En parallèle, un déploiement massif d’outils souverains comme “La Suite” (incluant la visioconférence Visio) est en cours auprès de 80 000 agents de l’Assurance Maladie.
Pour le changement de système d’exploitation, l’État pourrait ne pas retenir des distributions comme Debian ou Ubuntu, mais plutôt une autre distribution : NixOS.
Nous allons voir ensemble pourquoi ce choix technique a été fait, découvrir les projets Sécurix et Bureautix, et explorer le fonctionnement pratique de NixOS.
Pourquoi choisir NixOS ?
J’ai presque envie de dire que NixOS n’est pas une distribution Linux ordinaire. Sur des systèmes traditionnels (comme Ubuntu), l’administrateur utilise des commandes (comme apt-get install) pour ordonner à la machine d’installer des paquets et de modifier l’état du système.
De son côté, NixOS repose sur un modèle purement déclaratif. Au lieu d’exécuter des commandes successives, l’administrateur rédige un ou plusieurs fichiers de configuration (avec l’extension .nix) qui décrivent l’état final attendu de la machine cible. On y déclare les paquets à installer, les services à activer, et les paramètres de sécurité que l’on souhaite. Une seule commande permet ensuite à NixOS et à son gestionnaire de paquets Nix de lire ce fichier, de piocher parmi plus de 120 000 paquets disponibles, et de construire l’environnement exact.
Cette logique d’Infrastructure as Code garantit une reproductibilité parfaite des systèmes. Si vous appliquez le même fichier de configuration sur mille ordinateurs, vous obtiendrez mille postes strictement identiques.
NixOS propose une méthode garantissant une reproductibilité complète. Si vous copiez le fichier de configuration d’un serveur A vers un serveur B, vous obtiendrez deux systèmes techniquement identiques, et donc conformes à vos attentes.
Sécurix et Bureautix : la vision souveraine de l’État
D’après les projets publiés par la DINUM sur GitHub, l’État pourrait s’appuyer sur NixOS pour développer ses propres configurations adaptées à ses exigences de sécurité. Le projet principal se nomme Sécurix et il a été élaboré de façon à configurer un système dans le respect des recommandations de l’ANSSI. Ce projet semble davantage tourné vers l’administration du système d’information plutôt que vers les postes de travail des agents (notamment parce qu’il s’appuie sur le guide de l’ANSSI relatif à l’administration d’un SI).
J’ai le sentiment que Sécurix agit comme un framework de sécurité venant se greffer sur NixOS pour durcir la configuration. Il intègre un noyau Linux personnalisé, des modules de sécurité, et impose une authentification par clés matérielles (FIDO2), supprimant ainsi l’usage classique des mots de passe (sauf en cas de secours).
De son côté, Bureautix se présente comme une étape supplémentaire pour ajouter de la personnalisation et rendre la machine prête pour l’utilisateur final. Cette approche pourrait permettre la création de plusieurs configurations, et ainsi satisfaire les besoins des agents de l’administration publique.
La particularité de ce déploiement réside dans son architecture “Managed As Code”. Autrement dit, il n’est pas question ici de s’appuyer sur un annuaire Active Directory, ni même sur un annuaire LDAP open source. Ici, les configurations des postes sont stockées sur un dépôt de code (Git). Surprenant comme approche (et surtout il faut une équipe technique qui maitrise la techno). Le poste vient lire ces fichiers de configuration distants pour s’appliquer à lui-même ses règles.
Découverte de NixOS en pratique
À l’occasion de cet article, je souhaitais vous faire découvrir rapidement NixOS, et notamment son approche pour la configuration. Par défaut, le système d’exploitation est livré avec un fichier de configuration personnalisable : /etc/nixos/configuration.nix.
Dans ce fichier, l’administrateur peut lire et modifier de nombreuses directives. On y trouve par exemple la configuration du chargeur d’amorçage (Grub), le nom d’hôte de la machine, et la configuration du clavier. Il y a également des informations sur la configuration du profil de l’utilisateur.
L’installation de logiciels supplémentaires s’effectue simplement en ajoutant leur nom à une liste dans ce fichier. Par exemple, nous pouvons y déclarer quelques noms : libreoffice, vlc, et wget.
Puis, pour commencer à dessiner les contours d’un poste de travail durci (hardening), nous pouvons ajouter des directives de sécurité. Par exemple :
L’activation du pare-feu Linux.
Le blocage des clés USB via le service usbguard.
La sécurité applicative avec apparmor.
La désactivation matérielle de la webcam au niveau du noyau pour prévenir l’espionnage.
NixOS permet d’aller loin dans l’isolation. Il est possible d’attribuer des logiciels à un seul utilisateur spécifique. Plutôt intéressant pour appliquer le principe de moindre privilège. En déclarant le paquet thunderbird ou nmap uniquement dans la section de l’utilisateur “Florian”, ce logiciel sera inaccessible pour les autres utilisateurs de la même machine.
Une fois le fichier enregistré, il suffit d’exécuter une seule commande pour basculer sur la nouvelle configuration. Le système vérifie la syntaxe, télécharge les paquets nécessaires ainsi que leurs dépendances, et bascule immédiatement sur le nouvel état. Les logiciels et les services (comme USB Guard) sont alors actifs.
sudo nixos-rebuild switch
À partir de là, les nouvelles applications déclarées dans la configuration sont immédiatement disponibles ! Le paramétrage effectué au niveau du système est également effectif.
La magie du Rollback : gérer les erreurs de configuration
Toute modification de configuration comporte des risques. Imaginons qu’un administrateur fasse une erreur dans le fichier en supprimant thunderbird pour le remplacer par l’application cowsay. Après avoir appliqué la configuration, le client de messagerie devient introuvable pour l’utilisateur !
Sur un système classique, la résolution nécessiterait de relancer des processus d’installation manuels. NixOS propose une solution efficace : la fonction de rollback, ou de retour-arrière si vous préférez. Grâce à un système de pointeurs vers les anciennes configurations, il est possible d’annuler les changements.
En exécutant la même commande que précédemment, mais en lui ajoutant le paramètre –rollback, le système annule l’erreur de configuration. Ainsi, le poste de travail NixOS revient à sa configuration précédente : Thunderbird est de nouveau fonctionnel et l’application non désirée disparaît.
sudo nixos-rebuild switch –rollback
Cette fonctionnalité est en adéquation avec les besoins actuels en matière de gestion de parcs, mais l’approche basée uniquement sur du code pourra effrayer les administrateurs habitués à gérer des parcs Windows.
Les défis d’une telle migration
Bien que le projet soit techniquement pertinent pour s’affranchir des éditeurs historiques, la route est encore longue. Une telle migration entraîne de nombreux défis opérationnels et humains.
Tout d’abord, il sera nécessaire de disposer d’équipes techniques capables de maîtriser Linux, NixOS et les concepts d’Infrastructure as Code. Passer de l’Active Directory et Windows à Linux et Git (pour faire simple), ce n’est pas du jour au lendemain.
Du côté des utilisateurs, il faudra accompagner le changement pour des agents habitués depuis des décennies à l’environnement Windows. Et puis, côté applicatif, il faut s’assurer qu’ils retrouvent des fonctionnalités équivalentes à ce qu’ils avaient dans les outils Microsoft pour accomplir leurs missions. Il y aura forcément des mauvaises surprises et des concessions à faire à ce niveau-là.
Enfin, les coûts liés à la formation, à la réinstallation des machines et à leur provisionnement représentent un enjeu tout aussi important.
Si le choix de NixOS (avec Sécurix et Bureautix) par l’État se confirme, cela illustrera une véritable volonté d’abandonner Windows. Cela signifiera aussi qu’il y aura un bouleversement important pour les équipes techniques afin de repenser la gestion des postes de travail.
Quel est votre avis à ce sujet ?
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.