Le Cyber Resilience Act (CRA) est un Règlement européen destiné à sécuriser l’écosystème numérique en imposant des normes de cybersécurité strictes pour les produits ayant des composants numériques (IoT). Cette législation répond à une prise de conscience croissante des vulnérabilités auxquelles sont exposés les utilisateurs dans un monde de plus en plus interconnecté.
En établissant un cadre réglementaire adapté, le CRA vise à éviter les failles de sécurité dès la phase de conception, voire dès la phase dite « idéation » et tout au long du cycle de vie des produits numériques, afin de garantir une protection efficace contre les cyberattaques.
Le CRA concerne différentes aspects de la structuration des produits intégrant des composants numériques, y compris les éléments dits « open source ».
Quels enjeux ?
La philosophie des licences dites open source repose sur les principes de partage et de collaboration entre les membres de la communauté. Ainsi, ces logiciels, dont le code source est accessible publiquement, permettent à quiconque de les utiliser, de les modifier et de les redistribuer, favorisant ainsi l’innovation technologique et le développement collaboratif, et ce, sous réserve du respect des conditions de licence.
Toutefois, ce mode d’échange collaboratif pose également des défis en termes de sécurité, en exposant potentiellement des vulnérabilités à une audience plus large, y compris à des acteurs malveillants.
L’intégration de logiciels open source dans les produits numériques présente, certes, des avantages considérables en termes de coût, d’innovation et de flexibilité. Toutefois, elle requiert également une attention particulière à la cybersécurité, étant donné que le caractère public du code peut faciliter l’identification et l’exploitation de vulnérabilités par des cybercriminels. La gestion proactive des risques et l’adoption de pratiques de développement sécurisées sont donc essentielles pour prévenir les failles de sécurité (ainsi que leurs exploitations).
Quelles sont les définitions et les obligations prévues par le Règlement ?
Le CRA intègre deux définitions spécifiquement dédiées à l’open source, à savoir :
D’une part, le terme « administrateur de logiciels ouverts » désigne les entités qui soutiennent activement le développement de logiciels open source pour un usage commercial, assurant la maintenance et la viabilité à long terme de ces logiciels.
D’autre part, un « logiciel libre et ouvert » se réfère à un logiciel dont le code source est partagé de manière ouverte et qui est mis à disposition sous licence libre, qu’il soit librement accessible, utilisable, modifiable et redistribuable pour tous ses droits.
En outre, des obligations particulières touchant l’open source sont clairement identifiées dans le texte.
a. Obligations incombant aux fabricants
Le CRA introduit des exigences spécifiques pour les fabricants de produits comportant des éléments numériques, y compris ceux qui intègrent des logiciels open source.
Premièrement, les fabricants doivent s’assurer que leurs produits sont conçus et développés en conformité avec les normes de cybersécurité dès la conception (mesures détaillées en annexe du CRA). Cela inclut l’obligation de réaliser une évaluation des risques de cybersécurité et de mettre en œuvre des mesures pour atténuer ces risques. L’évaluation des risques doit être documentée, mise à jour régulièrement, et inclure une analyse fondée sur l’utilisation prévue du produit. Cette évaluation des risques doit être incluse dans la documentation technique du produit et justifier l’application des exigences de sécurité. Le fabricant doit veiller à ce que les composants tiers, y compris les logiciels open source, n’affectent pas négativement la sécurité du produit.
Deuxièmement, une attention particulière doit être portée à la gestion des vulnérabilités et à la capacité de réaction en cas de découverte de failles de sécurité, y compris dans les composants open source. En cas de découverte de vulnérabilités, le fabricant doit informer les parties responsables, prendre des mesures correctives, et partager les solutions.
b. Obligations des administrateurs de logiciels ouverts
Pour les administrateurs de logiciels ouverts, le CRA définit des obligations visant à promouvoir une culture de sécurité proactive. Ils doivent établir des politiques de cybersécurité claires, encourager la divulgation responsable des vulnérabilités et collaborer étroitement avec les autorités pour traiter les risques de sécurité. Ces obligations reflètent la reconnaissance du rôle crucial que jouent ces administrateurs dans la sécurisation de l’écosystème open source et la nécessité d’un cadre réglementaire adapté à leur modèle opérationnel unique.
Quelle gestion de la conformité ?
La conformité réglementaire étant l’un des piliers de la confiance dans les produits, des mécanismes sont proposés afin de documenter cette dernière et de la maintenir.
a. Les programmes volontaires d’attestation de sécurité
Afin de soutenir la conformité au CRA, la Commission européenne peut établir des programmes volontaires d’attestation de sécurité spécifiquement conçus pour les logiciels open source. Ces programmes visent à fournir un mécanisme par lequel les fabricants peuvent démontrer que leurs produits répondent aux exigences de sécurité sans imposer un fardeau réglementaire disproportionné.
b. Les procédures d’évaluation de la conformité
Le CRA détaille également les procédures d’évaluation de la conformité que les fabricants doivent suivre pour certifier la sécurité de leurs produits numériques. Ces procédures permettent d’assurer que tous les composants, y compris les logiciels open source, sont testés et sécurisés.
Le détail des procédures figure en annexe du règlement.
c. Surveillance du marché et contrôle des produits comportant des éléments numériques sur le marché de l’Union
La mise en œuvre effective du CRA repose sur une surveillance et un contrôle rigoureux du marché par les autorités compétentes. Cela implique des inspections régulières et des audits de conformité pour s’assurer que les produits numériques, y compris ceux basés sur des logiciels open source, respectent les normes de cybersécurité établies. Ce mécanisme de surveillance vise à identifier et à corriger rapidement les non-conformités, renforçant ainsi la sécurité générale du marché numérique de l’UE.
Quelles sont les sanctions en cas de violations du Règlement concernant les logiciels ouverts ?
Le CRA prévoit des sanctions financières substantielles pour les opérateurs économiques qui ne respectent pas les exigences réglementaires, soulignant la gravité des enjeux en matière de cybersécurité. En effet, le texte prévoit une amende administrative pouvant aller jusqu’à 15 millions d’euros ou, si l’auteur de l’infraction est une entreprise, jusqu’à 2,5 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu.
Ces sanctions devraient encourager les fabricants et des administrateurs de logiciels ouverts à se mettre en conformité avec le CRA, en les incitant à adopter des pratiques de développement et de gestion sécurisées pour leurs produits.
Ainsi, le Cyber Resilience Act marque une étape importante dans l’évolution de la réglementation de la cybersécurité au sein de l’UE, avec des implications spécifiques pour l’écosystème des logiciels open source. En imposant des obligations claires aux fabricants et aux administrateurs de logiciels ouverts, le CRA vise à élever les normes de sécurité tout en reconnaissant l’importance de l’open source pour l’innovation technologique. La gestion efficace de la conformité et la mise en œuvre de sanctions en cas de non-respect soulignent l’engagement de l’UE à garantir un environnement numérique sûr pour tous.
MATHIAS AVOCATS vous accompagne – éditeurs de logiciels et autres opérateurs économiques – dans votre compréhension de ces nouvelles obligations du CRA et des risques associés ; et dans votre mise en conformité.
Contactez-nous !
Ensemble, développons vos projets et formons vos équipes ! Partageons nos expertises.