Guide CNLL/inno³ sur le Cyber Resilience Act : êtes-vous prêts pour les échéances de 2026 et 2027 ?

Posté par nuel le 17 janvier 2025 à 13:53. Édité par Benoît Sibaud, bobble bubble et Ysabeau 🧶. Modéré par Ysabeau 🧶. Licence CC By‑SA.

Étiquettes :

jan.

2025

Le CNLL, Union des Entreprises du Logiciel Libre et du Numérique Ouvert, est l’instance représentative de la filière du logiciel libre en France, et inno³ un cabinet de conseil spécialiste des modèles ouverts. Ils proposent le premier guide de conformité au CRA dédié aux acteurs de l’open source, destiné à accompagner sans attendre les acteurs dans la mise en conformité de leurs activités en décryptant les obligations nouvelles et adaptations nécessaires de processus. Il est publié sous licence Creative Commons By-SA 4.0.

Guide CNLL / inno³ sur le CRA

Pourquoi est-il nécessaire d'anticiper ?

Adopté formellement par l'UE en 2024, le CRA vise à renforcer la cybersécurité des produits logiciels (et matériels qui comportent des éléments numériques) pour répondre à la vulnérabilité accrue aux cyberattaques des entreprises et services publics européens. Les acteurs ont jusqu’au 10 septembre 2026 pour se mettre en conformité avec certaines obligations critiques (notification des vulnérabilités activement exploitées et des incidents graves) et jusqu’au 10 décembre 2027 pour s’adapter à l’ensemble des autres exigences du texte telles que la sécurité par principe ou la transparence vis-à-vis des consommateurs.

Un guide pratique pour vous accompagner

Le guide répond à un objectif de sensibilisation des membres du CNLL et plus largement des acteurs de la filière du logiciel libre (producteurs, intégrateurs et utilisateurs) aux enjeux et défis du CRA. À l’aide de mises en situation à partir d’exemples d’entreprises membres du CNLL, le guide propose une vision détaillée des modalités d’application et obligations nouvelles : documentation technique détaillée, gestion rigoureuse des vulnérabilités, déclaration de conformité et apposition du marquage CE, production d’une Software Bill of Materials (SBOM), etc.

Transformons ensemble cette contrainte réglementaire en opportunité d'amélioration de la sécurité, la qualité et la confiance pour nos produits et services !

👉 Explorez le guide dès aujourd'hui et contribuez à sa prochaine version en partageant vos commentaires ou en rejoignant le groupe de travail.

👉 Participez à la réunion de présentation en ligne qui aura lieu prochainement (informations à venir sur le site : cnll.fr).

Aller plus loin

Communiqué de presse (68 clics)
Guide en français (440 clics)
Guide en anglais (68 clics)
Présentation synthétique (18 slides) (110 clics)
Site du CNLL (42 clics)
Site d'inno³ (44 clics)

# Merci !

Posté par Vincent P (site web personnel) le 20 janvier 2025 à 10:18. Évalué à 4 (+3/-0).

Merci pour ce travail sur un sujet complexe et impactant pour le logiciel libre et l'IT en général sur ces prochaines années. C'est aux acteurs de l'opensource, notamment en France, de transformer les contraintes en opportunités !

Répondre
- [^] # Re: Merci !
  
  Posté par Guillaume Maillard (site web personnel) le 20 janvier 2025 à 16:27. Évalué à 3 (+1/-0).
  
  les contraintes en opportunités
  
  Il faut vraiment être un doux rêveur pour penser que tout le monde est prêt à la certification CE.
  
  Peut-être que les "certifiants" se réjouissent, mais dans la grande majorité les "certifiés" laisseront tombé ou quitteront le territoire.
  
  Cela m'étonnerait grandement que des "petits" développeurs américains se préoccupent assez de l'Europe pour ne pas tout simplement couper les ponts et couler des milliers de projets à travers les dépendances non CE.
  
  Répondre
  - [^] # Re: Merci !
    
    Posté par Cyrille Pontvieux (site web personnel, Mastodon) le 21 janvier 2025 à 04:46. Évalué à 2 (+0/-0).
    Je vais citer une partie du rapport, que finalement j’ai lu, pour bien préciser une chose importante :
    Le principe développé par le CRA est que seuls les produits distribués dans un cadre commercial
    sont soumis aux exigences de cybersécurité du Règlement. L’activité commerciale est caractérisée
    lorsqu’un produit est monétisé par son fabricant d’origine, mais il est tout à fait possible de
    contribuer à un logiciel Open Source sans être dans un cadre commercial17. En droit européen, la
    qualification d’une activité comme commerciale repose sur la notion d’activité économique, définie
    par la Cour de justice de l’Union européenne (CJUE) comme « toute activité consistant à offrir des
    biens ou des services sur un marché donné ». À ce titre, il apparaît que certaines activités d’acteurs
    économiques (indépendamment de leur statut juridique et de leur mode de financement) peuvent être
    considérées comme non commerciales, notamment s’il est possible de démontrer que :
    
    la distribution est gratuite et sans objectif lucratif18 (c’est-à-dire sans contrepartie financière directe et sans intention de profit) ;
    
    le financement est assuré par des dons ou des subventions (pour les projets Open Source soutenus par des contributions volontaires ou des subventions publiques sans revenus tirés de la vente de produits ou services) ;
    
    l’absence de services payants associés (services associés tels que le support technique, la formation, l’hébergement ou la personnalisation).
    
    En conclusion, il apparaît que de certaines pratiques d’acteurs de l’Open Source entrent dans les
    situations qui ne sont pas nécessairement soumises aux nouvelles exigences du CRA compte tenu
    de l’absence d’activité commerciale.
    Ça veut dire que ça concerne pas beaucoup de logiciels libres. Ça va concerner nginx et mongodb/ferretdb par exemple, mais pas lighttpd ni pgmongo. En tout cas si j’ai bien compris ;-)
    Répondre
    - [^] # Re: Merci !
      
      Posté par Cyrille Pontvieux (site web personnel, Mastodon) le 21 janvier 2025 à 05:19. Évalué à 3 (+1/-0).
      
      Par contre, je me demande si ça va pas freiner à mort la distribution de PC sous OS libre… étant donné que ça donnerait le statut de distributeur au vendeur de matos + OS (même si l’OS n’est pas monétisé) et donc ça le soumettrait au CRA.
      
      J’ai pas trouvé d’exemple dans le rapport en regard de ce cas. Car évidemment, PERSONNE ne peut prendre en compte un OS libre, et donc tous les logiciels préinstallés, au titre du CRA…
      
      Répondre
    - [^] # Re: Merci !
      
      Posté par Guillaume Maillard (site web personnel) le 21 janvier 2025 à 11:12. Évalué à 3 (+1/-0).
      Ça va concerner nginx et mongodb/ferretdb
      
      Et tous les logiciels les utilisant/embarquant, le document indiquant que les dépendances doivent être CE…
      Canonical ou Redhat vont ils prendre le risque d'apposer CE sur "ssh", "rsync",… pour rester sur le marché de l'UE?
      
      Le CRA semble passer inaperçu sous couvert de "c'est bien, c'est pour votre sécurité"…
      
      Hors on a bien vu comment les conformités évoluent (avec les logiciels de paiement/comptabilité récemment).
      Au début, peut-être une auto attestation possible et rapidement une certification externe contraignante, régulière et couteuse avec l'introduction d'une norme.
      
      J'ai l'espoir que les géants du logiciel boycotteront l'UE afin que tout ce cirque soit annulé, une fois que les idéologues seront vivement poussés à solutionner la crise logicielle majeure qu'ils ont créé.
      Répondre
      - [^] # Re: Merci !
        
        Posté par devnewton 🍺 (site web personnel) le 22 janvier 2025 à 08:57. Évalué à 5 (+2/-0).
        
        Il faut séparer la sécurité de la conformité :-)
        
        Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
        
        Répondre
        
        [^] # Re: Merci !
        
        Posté par Tangi Colin le 12 février 2025 à 18:59. Évalué à 1 (+0/-0).
        
        Plus proche de nous on a déjà RED-DA qui sera obligatoire au 1er août 2025 sur n'importe quel produit sans fil communiquant qui mets un sacré bazard normatif !
        
        Répondre
        
        [^] # Re: Merci !
        
        Posté par Pol' uX (site web personnel) le 13 février 2025 à 09:34. Évalué à 2 (+0/-0).
        
        Encore un avis non conforme, émis par un dangereux anarchiste.
        
        Adhérer à l'April, ça vous tente ?
        
        Répondre
# Commentaire supprimé

Posté par ChristinaPalmer le 14 février 2025 à 08:16. Évalué à 0 (+0/-0). Dernière modification le 14 février 2025 à 08:25.

Ce commentaire a été supprimé par l’équipe de modération.

Répondre
# Et merde.

Posté par norihiori le 14 février 2025 à 14:43. Évalué à 1 (+1/-0).

Merci pour ce doc, malheureusement, il reste relativement indigeste (pour moi).

Le plus utile serait probablement un truc dans le genre du "référentiel écoconception", avec des étapes et niveau de difficulté, un genre de case à cocher.

Répondre

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.