EU cyber resilience act: A new challenge for open-source projects

• Le règlement européen sur la cyberrésilience (CRA) est sur le point de redéfinir la manière dont les produits numériques sont réglementés au sein de l'Union européenne.
• Lors de la présentation de la communauté RIPE du RIPE NCC publiée le 12 décembre 2024, l'expert en confidentialité et conformité August Bournique a détaillé les implications du CRA, en particulier pour les logiciels open source.

Ce qui s’est passé

Le CRA, qui a été officiellement adopté en 2024, est la dernière initiative de l'UE pour garantir la sécurité et la transparence des produits numériques comportant des composants réseau. D'ici 2027, tous les produits concernés devront se conformer à des exigences de sécurité strictes. Ce calendrier comprend plusieurs phases, à commencer par la déclaration obligatoire des violations et des vulnérabilités par les fabricants en 2026.

À partir de 2027, les fabricants devront respecter des normes de documentation technique et obtenir des certifications pour leurs produits. Le CRA introduit également un marquage visible par les consommateurs pour indiquer la conformité d'un produit aux normes de l'UE. Bien que cela vise à harmoniser la sécurité entre les États membres, cela s'accompagne de défis, en particulier pour les petites entités comme les projets open source. Voir aussi: Registre des membres disparaissant de l'AfriNIC.

Lire aussi: La Commission européenne publie des FAQ sur la finance durable
Lire aussi: Virkkunen et Ribera dirigeront la régulation des télécoms de l’UE en 2024

Bournique a souligné que les projets open source sont généralement exclus du CRA, à moins qu'ils n'aient une dimension commerciale. Cependant, déterminer ce qui constitue un projet open source « commercial » reste flou. Par exemple, recevoir des dons ou fournir des services de maintenance ne qualifie pas nécessairement un projet de commercial. En revanche, les projets explicitement vendus pour être intégrés dans des produits commerciaux pourraient entrer dans le champ d'application du CRA. Voir aussi: AfriNIC: disparition du registre des membres.

La loi repose également fortement sur l'auto-évaluation et la certification, ce qui, selon Bournique, pourrait être problématique en raison des ressources limitées pour la mise en application. L'Agence européenne pour la cybersécurité, ENISA, et les équipes nationales devraient superviser la conformité, mais avec seulement une centaine d'employés au sein de l'organisme de réglementation principal, la charge pourrait incomber aux fabricants pour s'assurer qu'ils respectent les exigences. Voir aussi: Alejandro Fernandez.

Pourquoi c'est important

Le CRA vise à renforcer la confiance des consommateurs et à unifier les normes de cybersécurité, mais son champ d'application large pourrait avoir des conséquences imprévues. Les développeurs open source, qui opèrent souvent en dehors des cadres commerciaux traditionnels, font face à des incertitudes quant à la manière dont le CRA s'applique à leur travail, voire s'il s'applique. Bien que la plupart des projets non commerciaux soient probablement exemptés, les projets utilisés dans des produits commerciaux pourraient encore rencontrer des obstacles à la conformité. Voir aussi: Aldo Garcia.

Bournique a mentionné que même avec des exemptions, les petites organisations pourraient avoir du mal avec l'ambiguïté juridique et les coûts potentiels de la mise en conformité. Pour les projets open source commerciaux, naviguer dans le CRA pourrait signifier engager un conseiller juridique ou risquer des pénalités. Cependant, il existe des concessions pour les petites entreprises, comme des amendes réduites, et des efforts sont en cours pour établir des normes spécifiques à l'industrie par le biais d'ONG comme la Linux Foundation. Voir aussi: Alcymer Vieira.

Le CRA signale également un changement dans la manière dont les régulateurs perçoivent la sécurité des produits numériques. En donnant la priorité à la cybersécurité dès la phase de développement, l'UE espère prévenir les violations plutôt que de simplement y réagir. Cependant, comme l'a noté Bournique, l'application évoluera probablement avec le temps, les interprétations de la loi façonnant son application pratique. Voir aussi: Alcides Cremonezi.

La présentation de Bournique lors de l'événement du RIPE NCC était particulièrement opportune compte tenu des implications du CRA pour la communauté open source. Fort de son expérience dans la gestion des questions de confidentialité et de conformité, il a fourni des informations essentielles sur la manière dont cette réglementation pourrait remettre en question les pratiques actuelles. L'écosystème open source jouant un rôle vital dans le développement des technologies en réseau, le CRA représente à la fois un obstacle et une occasion de repenser l'approche de la sécurité numérique. Voir aussi: Alberto Anaya.

Alors que l'échéance de 2027 approche, les organisations et les développeurs devront suivre de près l'évolution de ces réglementations, en veillant à ce que leur travail reste viable dans un paysage numérique de plus en plus réglementé. Voir aussi: Albert Kis.