/ Blog-FR
Qui prend les décisions concernant Keycloak ? – SSO open source?

Qui prend les décisions concernant Keycloak ? – SSO Open Source

Avril 2026
Auteur: Sadrick Widmann

Le SSO Open Source et la réalité derrière la gouvernance

Keycloak est l’un des projets open source les plus connus dans le domaine de la gestion des identités et des accès – et, en même temps, l’une des solutions de SSO Open Source les plus utilisées par les entreprises qui souhaitent gérer elles-mêmes l’authentification unique, la fédération d’identités ou des normes d’authentification telles que OAuth2 et OpenID Connect.

On observe souvent, en particulier dans les entreprises férues de technologie, une approche open source motivée par l’idée suivante:
« Nous pouvons bien gérer et contrôler cela nous-mêmes. »

Dans l’administration publique également – notamment en Allemagne –, Keycloak est régulièrement mentionné. Dans ce contexte, l’Open Source est souvent assimilé directement à la souveraineté.

(Nous avons expliqué pourquoi cette assimilation est réductrice dans notre précédent blog: La Souveraineté numérique grâce à l’open source: Un remède miracle ou une illusion?)

À première vue, cela semble logique:

Le code est ouvert.
Le logiciel peut être exploité en interne.
Personne n’est obligé de recourir à un fournisseur particulier.

Le SSO Open Source et Keycloak, l’un de ses représentants les plus connus, promettent: un contrôle total, aucun coût de licence, aucune dépendance vis-à-vis d’un fournisseur.

Mais si l’on va un peu plus loin, une autre question, plus décisive, se pose:

Qui décide réellement de l’avenir de Keycloak?

Un projet Open Source – aux origines claires

Le logiciel a été initialement développé par Red Hat et reste aujourd’hui encore fortement influencé par cet environnement. Parallèlement à la version communautaire, il existe une distribution commerciale: Red Hat Build of Keycloak.

Entre-temps, le projet a également été transféré à la Linux Foundation.

Mais même si le projet est aujourd’hui organisé sous l’égide d’une fondation, un examen plus approfondi révèle que son développement et son orientation continuent d’être largement déterminés par des développeurs issus de l’environnement de Red Hat ou d’IBM.

Ce modèle est typique de nombreux projets Open Source à succès:

  • Projet communautaire
  • Distribution commerciale
  • Modèles d’assistance et d’abonnement

Cela ne pose en soi aucun problème. Mais cela met en évidence une réalité importante:

L’open source – même au sein d’une fondation – ne signifie pas automatiquement qu’un projet est géré indépendamment des entreprises individuelles.

Qui écrit réellement le code?

Un coup d’œil aux données relatives aux contributions donne une image très claire de la situation.
Souveraineté de Keycloak ? - La dépendance vis-à-vis d'un petit nombre d'organisations, à l'exemple des statistiques « Authored a Commit »

Si l’on examine les chiffres relatifs aux « Authored a Commit » des 365 derniers jours, une tendance se dégage clairement:

  • 46% proviennent de Red Hat
  • 35% d’IBM
  • 10% d’Hitachi

Cela signifie:
👉 Plus de 80% du développement provient de deux organisations
👉 Plus de 90% proviennent de seulement trois organisations

Et même cette distinction n’a qu’une valeur relative. Red Hat fait partie d’IBM depuis 2019. Ainsi, une grande partie du développement provient en réalité du même groupe.

Une image similaire se dessine également si l’on ne se limite pas aux contributions de code, mais que l’on considère l’ensemble de l’activité au sein du projet – c’est-à-dire, par exemple, les révisions, les commentaires ou les activités des mainteneurs:

Souveraineté de Keycloak ? - Dépendance vis-à-vis d'un petit nombre d'organisations : l'exemple des statistiques « All Activities »
👉 Environ 74 % de toutes les contributions des 365 derniers jours proviennent également de l’écosystème de Red Hat et d’IBM.

Cette estimation est même corroborée par la Linux Foundation elle-même. On peut y lire: « This project mainly relies on only two organizations, which suggest risk if one withdraws. »

Si vous souhaitez consulter les données en détail, vous les trouverez dans le rapport Linux Foundation Insights.

Cela montre non seulement qui écrit le code, mais aussi qui comprend vraiment le produit. Au fil des ans, le savoir-faire central autour de Keycloak s’est développé précisément dans cet environnement.

Des organisations telles que Red Hat ont la compétence nécessaire pour faire évoluer le produit, prendre des décisions architecturales et définir la direction à suivre.

L’influence de Red Hat et d’IBM a-t-elle changé avec la Linux Foundation?

Keycloak a été transféré à la Linux Foundation en 2023.
Les attentes: plus de neutralité. Plus de communauté. Un développement plus décentralisé.

Mais les chiffres montrent une réalité différente.

Même sur le long terme – au cours des cinq dernières années -, la répartition reste très similaire:

  • 73 % Red Hat
  • 12 % Hitachi
  • 5 % IBM

En d’autres termes:

👉 La structure de gouvernance a changé sur le plan formel
👉 Mais pas le développement réel

Plus important encore: qui décide de ce qui est fusionné?

Une deuxième perspective est tout aussi importante:

Il ne s’agit pas seulement de savoir qui écrit le code, mais aussi qui pilote le projet et décide quel code y est intégré.

Ce rôle est assumé par les mainteneurs.

Ils:

  • révisent le code
  • décident des pull requests
  • contrôlent le processus de fusion
  • gèrent les versions

Et ce sont précisément ces rôles qui, dans de nombreux projets, sont assumés par un cercle relativement restreint de personnes, souvent étroitement liées à certaines entreprises.

Un coup d’œil aux responsables actuels de Keycloak révèle une situation similaire:

Ici aussi, l’environnement de Red Hat et d’IBM est fortement représenté, voire dominant, tant parmi les mainteneurs actifs que parmi les anciens: https://github.com/keycloak/keycloak/blob/main/MAINTAINERS.md

Ainsi, opter pour Keycloak, c’est choisir non seulement une solution SSO Open Source, mais aussi, indirectement, les entreprises qui parrainent le projet.

L’Open Source est une option, pas une stratégie

Ce n’est pas une critique à l’encontre de Keycloak. C’est la réalité de nombreux projets open source couronnés de succès.

Même les grands projets tels que:

  • Kubernetes
  • Linux
  • OpenStack

sont fortement influencés par certaines entreprises.

L’Open Source ne résout donc pas automatiquement la question de la gouvernance ou de la souveraineté numérique.

Et c’est précisément là que cela devient intéressant: Keycloak est un bon exemple de la manière dont l’Open Source peut favoriser l’innovation et créer une base technologique solide. Mais l’open source à lui seul ne répond pas aux questions stratégiques.

Keycloak est donc – malgré toute l’ouverture de son code – au final un produit comme les autres.

Un produit,

  • doté d’une gouvernance spécifique
  • clairement influencé par certaines organisations
  • et présentant des dépendances qu’il faut comprendre

L’Open Source ne nous dispense pas de cette réalité.

Vous recherchez plus d’informations sur Keycloak et la souveraineté numérique ?

Pour en savoir plus, consultez les pages suivantes:

Discutez avec nous de la manière dont vous pouvez renforcer la sécurité au sein de votre entreprise: Prenez rendez-vous gratuitement avec nos experts.

Retour en haut