Le Cyber Resilience Act adopté en Europe : une réponse aux demandes de la communauté Open Source

En imposant des contraintes de cybersécurité sur les fournisseurs de produits numériques, cette loi renforce la sécurité des produits connectés en s’attaquant aux vulnérabilités matérielles et logicielles. Ce faisant, l’Europe se veut un continent plus sûr et résilient face aux menaces informatiques.

Une législation rassurante pour le monde du logiciel libre

Dans le cadre de l’élaboration de cette nouvelle loi, certaines voix se sont élevées au sein du monde de l’open source, craignant que celle-ci n’ait un effet dissuasif sur le développement des logiciels libres. Néanmoins, suite à l’accord trouvé en décembre dernier, la fondation Python Software a notamment salué dans une annonce publiée en janvier l’introduction du concept de responsable de logiciel libre (ou « open source steward ») dans la version finale de la loi.

Le concept d’open source steward désigne toute entité juridique autre que le fabricant, dont l’objectif principal est de soutenir de manière constante et durable le développement de produits spécifiques contenant des éléments numériques qualifiés de logiciels libres à des fins commerciales, et d’en assurer la viabilité. Il est à noter qu’une start-up française qui évolue dans ce domaine se démarque : Filigran lève 15 millions d’euros pour améliorer son internationalisation.

La communauté open source craignait que la loi ne fasse pas cette distinction et considère les acteurs du logiciel libre comme légalement responsables des problèmes de sécurité dans les produits commerciaux basés sur des composants de code open source fournis gratuitement.

Des exigences renforcées pour les fournisseurs de produits numériques

En plus de répondre aux préoccupations de la communauté open source, le Cyber Resilience Act vise à améliorer la cybersécurité en imposant une série d’obligations aux fournisseurs de produits numériques. Ils devront notamment assurer une meilleure réactivité face aux incidents de cybersécurité et mettre en place des mécanismes permettant une coopération accrue avec les autorités nationales et européennes compétentes. Les dispositifs connectés vendus dans l’Union européenne devront également être conformes aux normes de sécurité reconnues au niveau mondial.

En instaurant une législation cohérente en matière de cybersécurité, l’Europe espère créer un environnement propice à l’innovation tout en assurant la protection des intérêts économiques et stratégiques de ses membres. Les acteurs du monde numérique, qu’ils soient issus de l’industrie du logiciel libre ou non, pourront ainsi continuer à développer leurs projets dans un cadre juridique clair et sécurisé.

Une législation attendue face aux enjeux actuels

Avec le développement rapide des nouvelles technologies, les enjeux liés à la cybersécurité deviennent de plus en plus cruciaux pour les entreprises et les institutions européennes. Le Cyber Resilience Act représente une étape importante dans la prise en compte de ces défis, en imposant des normes de sécurité renforcées pour les produits connectés et en tenant compte des spécificités du secteur open source.

À noter : en adoptant cette législation, les décideurs européens ont réussi à trouver un équilibre entre la protection des individus et la préservation d’un espace propice à l’innovation. Les acteurs du monde numérique peuvent désormais se concentrer sur la création et l’amélioration de technologies et de produits, sereinement et en toute sécurité.