DrupalCon Vienna 2025 : Une nouvelle impulsion entre IA et puissance Open Source

C’est un moment privilégié pour :  

• prendre le pouls de la communauté,
• prendre connaissance de l’évolution des usages,
• observer l’émergence de nouvelles fonctionnalités,
• écouter la révélation des nouvelles APIs du framework en préparation.  

Notamment, dans le contexte actuel, où les LLM se diffusent et se généralisent de plus en plus. Ils bouleversent à la fois notre manière de consulter le web et la manière dont nous le construisons, avec des enjeux qui évoluent au fur et à mesure de leurs progrès. 

La Driesnote : Cap sur les grands axes du CMS 

Cette année, c’est à Vienne que s’est tenu cet événement auquel l’équipe Axess s’est rendu. C’est une tradition, chacun de ces rendez-vous commence par la « Driesnote », une prise de parole introductive du fondateur durant laquelle les grands axes et les problématiques du moment sont portés à la connaissance de la communauté Drupal. Communauté dont d’ailleurs l’activité ne cesse de croître puisque le nombre de contribution autour de Drupal a doublé depuis 2023 !  

IA et Drupal : Entre risques et opportunités 

Parmi les problématiques mises en évidences, la part croissante et la propagation des intelligences artificielles génératives à tous les niveaux du web. Soulignant notamment que bien qu’impressionnante et « révolutionnaires » ces outils n’en sont pourtant qu’à leur début :  

Sur la dernière année, 69 % des recherches ont été faites « sans clique » mais par l'intermédiaire d’outils discussionnels, interrogeant la façon de produire des sites, leur cible et leur finalité. Avantage non négligeable au regard de cet enjeu, Drupal est déjà "AI compatible”.  

Les LLMs interrogent la façon dont on consulte le web mais également la façon de produire des sites web. Ce pose alors la question : pourquoi développer un site si une intelligence artificielle peut le générer ? Et bien, simplement parce que le niveau de maturité actuel de ces outils ne permet pas encore de construire de vraies applications sur mesure clés en main. Ils évoluent rapidement et nécessitent des adaptations quant aux méthodes de production. L’humain reste pour l’heure la garantie d’une gestion de projet fiable à 100%.  

Aussi pour répondre à ce genre d’enjeux, la solution ne serait-elle pas de coupler Drupal avec ce type d’outils pour accélérer et fluidifier la mise en place d’un site web ? C’est dans cette démarche qu’a été introduit Drupal Canvas. Un module Drupal en cours de développement (au statut de RC actuellement) qui permet la construction d’une page complète depuis une interface dédiée sans avoir à écrire une ligne de code. Une innovation importante pour les marketers. S’appuyant sur l’arrivée récentes des Single Directory Components, il permet la création de composants et leur implémentation depuis une page de layout, directement depuis le CMS sans avoir à installer quoi que soit d’autre qu’un site Drupal. Ainsi, une équipe marketing, par exemple, a plus facilement la main sur la composition et la prévisualisation d’une page qu’une simple contribution back office, facilitant ainsi le process de design et le développement depuis le demandeur. 

En résumé, l’IA est : 

• Un risque car il met en cause directement les outils traditionnels de construction / développement du web actuel.
• Une opportunité dans le sens ou son concourt depuis les outils traditionnels permet de pouvoir bénéficier de ses avantages au sein de Drupal, par exemple, pour l’améliorer en s’appuyant sur ce qu’il fait déjà très bien : construire des sites répondant à tous les besoins du marché. 

Théming et front-end : Drupal comme design system natif 

Depuis un certain nombre d’années des initiatives et évolutions émergent depuis le core drupal sur l’appréhension du theming par les équipes front-end. Historiquement existait un couplage fort entre développement backend et mise en forme d'un site. Bien que toujours localisé dans un dossier dédié, le thème drupal restait encore trop peu ouvert aux compétences front qui dépendaient d’interventions backend sur un certain nombre de tâches ou prérogatives qui pourtant les concernent directement.  

Dans ce sens, une conférence mettait en avant tout le travail entrepris par la communauté depuis quelques années pour donner de plus en plus d’espace, depuis le thème lui-même, aux compétences du développeur front-end. Ouvrant de plus en plus d’API à implémenter directement depuis cet espace dédié pour enrichir, factoriser et centraliser toutes les fonctionnalités intrinsèques à l’apparence de son site. Tout est d’ailleurs résumé dans le titre de la conférence « Drupal as the first design system native ».  

L’enrichissement du theming et ce qui y est permis est si complet qu’il permet de proposer une mise en forme agnostique des notions métiers et de la logique qui lui est propre. On peut citer les exemples antérieurs comme la notion de breakpoints qui sont passés d’entité de configuration à l’implémentation de .yaml depuis le thème mais également les single directory components ou encore plus récemment l’icon API dont la gestion complète est possible depuis le thème lui-même. 
 Ainsi dans cette même volonté ont été annoncés en exclusivité à la DrupalCon de Vienne l’ouverture de nouvelles API comme :  

• la token API pour les variables css dont le support de variables va tendre à s’élargir à mesure de l’arrivée de nouvelles releases,
• la style API pour packager des styles css prêt à l’emploi... 

Autant d’initiatives qui nous permettent d’imaginer que le thème Drupal devient un terrain de jeu toujours plus enthousiasmant pour le développeur front-end. 

Sécurité : un pilier incontournable 

Pour finir, par sans doute le plus important, comme souvent lors de ce type d’événement, il est question de sécurité. Sujet sur lequel s’est tenu une conférence « Secure by design » rappelant que les tentatives de compromissions de systèmes d’informations sont croissantes. Qu’à cet égard penser son développement comme robuste en amont et tout au long de la vie du projet est un prérequis essentiel que ce soit lors de la phase de build comme lors de la maintenance. 

1. Drupal étant l’un des CMS les plus sûr du marché son choix est déjà un bon point de départ. 
2. La qualité du code déployé et l’accompagnement technique sont aussi déterminants pour répondre à ce type d’enjeux et doivent être le facteur principal au-delà d’autres considérations. 
3. L’application, elle-même, est une cible potentielle. 
4. Le scope autour du projet est également concerné par ce type de risque, que ce soit le hardware, l’infrastructure réseau, la donnée, sa gestion ou encore l’humain qui gravite autour. 
5. Pour ce qui concerne le niveau applicatif, les actions pour prévenir des attaques sont nombreuses : respect des coding standards, vérification du code depuis la CI, revue de code, bonne gestion des secrets, report de CVE ainsi que le suivi. 

L’open source et la communauté qui l’accompagne reste un avantage significatif pour répondre à ce besoin que ce soit dans la surveillance par le plus grand nombre des sources ou par la mise à disposition de modules pour affiner les besoins de sécurité selon son site. Qu’il s’agisse de mettre en place de l’authentification à 2 facteurs, de mettre en place une politique de mot de passe, de protéger ses formulaires ou de loguer les actions utilisateurs, beaucoup de modules communautaires rendent tout cela possible. 

Pour faciliter la communication de vulnérabilités par un tiers sur un site, un fichier security.txt peut être exposé. Fichier depuis lequel sont affichés les informations essentielles pour effectuer les démarches auprès des interlocuteur en charge de la maintenance. 

Comme résumé lors de la conférence, dans le cadre d’un développement applicatif, la sécurité n’est pas une feature mais une exigence à observer.

Pour conclure

Autant de sujets, d’annonces et de réflexions qui font de Drupal, son écosystème et sa communauté un projet toujours en mouvement et toujours à jours. Que ce soit autour de son environnement techniques ou des problématiques plus larges comme l’arrivée toujours plus disruptive des LLMs.