Cyber Resilience Act adopté: les députés de l’UE répondent aux demandes de la communauté open source
Tout juste adopté, Cyber Resilience Act européen impose des contraintes de cybersécurité aux fournisseurs de produits numériques. Le texte final fait la distinction entre les acteurs de l’open source et les distributeurs de solutions commerciales.
Les députés européens ont adopté la loi sur la cyber-résilience (Cyber Resilience Act, ou CRA), avec 517 voix pour, 12 contre et 78 abstentions. Le communiqué du Parlement de l’UE rappelle que ce règlement a pour but de protéger tous les produits numériques dans l'UE contre les cyber-menaces. Les produits seront classés selon leur niveau de risque de cybersécurité, avec des processus d'évaluation de la conformité. Les dispositifs critiques, comme les logiciels de gestion d'identité, les gestionnaires de mots de passe et les caméras de sécurité, devront recevoir des mises à jour de sécurité automatiques. «La loi sur la cyber-résilience renforcera la cybersécurité des produits connectés, en s'attaquant aux vulnérabilités matérielles et logicielles, et fera de l'UE un continent plus sûr et plus résilient», a déclaré le rapporteur Nicola Danti.
Le monde open source soulagé
Lors de l'élaboration de la loi, le monde open source s’était un temps senti menacé, craignant que ce Cyber Resilience Act ait un effet dissuasif sur le développement des logiciels open source. Plusieurs associations avaient demandé à être davantage consultées. Les législateurs européens les ont finalement entendues. Dans une annonce publiée en janvier, suite à l'accord conclu en décembre, la Python Software Foundation se félicite notamment de l’introduction de la notion d’«open source steward» dans la version finale de la loi. Un concept qui désigne «toute personne morale, autre qu'un fabricant, dont le but ou l'objectif est de fournir systématiquement et durablement un soutien au développement de produits spécifiques comportant des éléments numériques qualifiés de logiciels libres, destinés à des activités commerciales, et d'assurer la viabilité de ces produits». Le texte fait ainsi une distinction claire entre les phases de développement et de fourniture de produits logiciels basé sur du code ouvert. La communauté open source craignait que la loi ne fasse pas cette distinction et considère que les acteurs de l’open source soient légalement responsables des problèmes de sécurité dans les produits commerciaux se basant sur les composants de code ouvert fournis gratuitement.
