ATELIER du lundi 31 mars de 11h30 à 13h30 à Paris (participation en ligne possible).

Etes-vous prêts pour les échéances de 2026 et 2027 du Cyber Resilience Act (CRA) ?

Le CRA est un dispositif adpoté par la Commission Européenne en 2024 pour répondre à la vulnérabilité accrue aux cyberattaques des entreprises et services publics européens,. Il vise à renforcer la cybersécurité et la cyberrésilience des produits logiciels (et matériels qui comportent des éléments numériques) connectés.

Le premier guide de conformité au CRA dédié aux acteurs de l’open source, proposé par le CNLL et inno³ a pour objectif de faciliter la compréhension du CRA et les effets attendus, et de proposer des recommandations concrètes.

N'attendez pas pour commencer à évaluer vos obligations nouvelles à venir et les adaptations nécéssaires de vos processus, rejoignez l'atelier du 31 mars !

📅 Quand ? Le 31 mars de 11h30 à 13h30, la rencontre sera suivie d'un buffet pour les personnes sur place.

📍 Où ? 137 Boulevard de Magenta 75010 Paris (nombre de places limité, participation en ligne possible).

L'objectif est de rendre la session de discussion la plus active possible, n'hésitez pas à lire d'un œil critique et intéressé le guide en amont. Vous pouvez même nous envoyer dès aujourd'hui vos diverses questions ou remarques afin de nous aider à préparer l'atelier : mission-cra-cnll@framagroupes.org.

Première fournée de l'année pour vos magazines préférés. Voici donc un petit panorama, de plus en plus restreint au niveau des éditeurs, forcément subjectif et parti{e,a}l, de la presse papier sortie récemment.

D'ailleurs cette année nous pouvons fêter les 30 ans des éditions Diamond. Encore plus vieux que LinuxFr.org ! 🎉 Joyeux anniversaire 🎂. À cette occasion, elles proposent de (re)découvrir l'une de leurs publications en offrant le numéro 270 de GNU/Linux Magazine via leur support de lecture en ligne, Kiosk Online (en HTML).

Sinon, voici les nouveautés sorties en janvier 2025 et disponibles jusque fin février, sauf pour le hors-série MISC disponible jusqu'à la fin mars :

• GNU/Linux Magazine France n^o 273 vous explique comment accéder au matériel PCIE depuis vos VM ;
• Linux Pratique n^o 147 utilise GATUS pour déployer une page de monitoring de vos services ;
• MISC magazine n^o 137 publie le second article de la série sur le Cyber Resilience Act et propose une intégration des exigences de ce dernier dans vos cycles DevSecOps ;
• Hackable n^o 58 allie domotique & vidéosurveillance sans sacrifier votre vie privé ;
• MISC hors-série n^o 31 donnera des idées aux Red Team avec cinq articles techniques décrivant des attaques concrètes et réussies sur le terrain.

Le CNLL, Union des Entreprises du Logiciel Libre et du Numérique Ouvert, est l’instance représentative de la filière du logiciel libre en France, et inno³ un cabinet de conseil spécialiste des modèles ouverts. Ils proposent le premier guide de conformité au CRA dédié aux acteurs de l’open source, destiné à accompagner sans attendre les acteurs dans la mise en conformité de leurs activités en décryptant les obligations nouvelles et adaptations nécessaires de processus. Il est publié sous licence Creative Commons By-SA 4.0.

Avec quatre discours inauguraux, quatre sessions en petits groupes et 30 présentations d’experts, la conférence annuelle d’OW2 traite des aspects techniques, éthiques et juridiques de l’open source à Paris, les 11-12 juin 2024.

La 15ᵉ édition d’OW2con rassemble des développeurs, entreprises, universitaires et organisations à but non lucratif. La conférence accueille également la Tunisie en tant que pays invité et met en lumière trois projets OW2 en leur décernant un prix OW2con'24 Best Project Awards distinguant des réussites dans plusieurs domaines : technologies, marché, communauté. L’édition 2024 est soutenue par 12 sponsors proches d’OW2 : Collabora Online, Huawei, Orange, Worteks, la Ville de Paris, Rocket.chat, Xwiki, OnlyOffice, la MAIF, NGI Search, NGI Zero Commons, et OpenUp.

Durant deux jours, plus de 200 développeurs internationaux auront l’occasion de discuter avec quelques dizaines d’intervenants, partenaires et membres de la communauté. Le thème central de cette édition est "Le financement des logiciels libres". Tous les participants pourront découvrir divers exemples de modes de financement et échanger sur les challenges et visions liés à ce sujet. Les appels à propositions en cours des fonds européens NGI Search et NGI Zero Commons Fund seront également présentés.

D’autres témoignages et débats aborderont les dernières tendances technologiques et sociales, y compris l'avenir de l’open source. Par ailleurs, les nouvelles réglementations (CRA, AI Act), et systèmes de standards européens seront discutés lors d’une table ronde animée par Simon Phipps de l’OSI, ainsi que dans diverses conférences.

Cette revue de presse sur Internet fait partie du travail de veille mené par l’April dans le cadre de son action de défense et de promotion du logiciel libre. Les positions exposées dans les articles sont celles de leurs auteurs et ne rejoignent pas forcément celles de l’April.

• [Silicon] Cyber Resilience Act: l'open source en ordre de bataille
• [Ars Technica] German state gov. ditching Windows for Linux, 30K workers migrating
• [LeMagIT] La découverte de la porte dérobée XZ révèle une attaque de la chaîne logistique Linux

Cette revue de presse sur Internet fait partie du travail de veille mené par l’April dans le cadre de son action de défense et de promotion du logiciel libre. Les positions exposées dans les articles sont celles de leurs auteurs et ne rejoignent pas forcément celles de l’April.

• [ICTjournal] Cyber Resilience Act adopté: les députés de l'UE répondent aux demandes de la communauté open source
• [RFI] Elon Musk lance la bagarre des IA en promettant une intelligence artificielle en accès libre
• [l'Informé] Offensive au Conseil d’État contre l’hébergement de nos données de santé par Microsoft (€)
• [InformatiqueNews.fr] Open source et télétravail: 2 piliers similaires du Future of Work

Le texte final du CRA, projet de directive qui a pour objectif d’améliorer la cybersécurité des produits numériques en Europe, a été adopté par à l’issue du trilogue entre les institutions de l’Union Européenne. Il est probable qu’il sera adopté prochainement lors d’un vote au Parlement européen, et qu’il entrera en vigueur dans environ deux ans. À la clef, des pénalités très fortes pour les entreprises qui ne respecteront pas les critères.

Le texte prévoit que la Commission doit préparer des guides, notamment à l’intention des PME :

La Commission devra élaborer des guides pour aider les opérateurs économiques, en particulier les micro, petites et moyennes entreprises, à appliquer le présent règlement. Ces guides devront porter notamment sur le champ d’application du présent règlement, en particulier la notion de traitement des données à distance et les implications pour les développeurs de logiciels libres, l’application des critères utilisés pour déterminer la période de maintenance des produits comportant des éléments numériques, l’interaction entre le présent règlement et d’autres textes législatifs de l’Union et la notion de « modifications substantielles ».

Par ailleurs, l’UE a chargé le CEN/CENELEC d’élaborer des normes de développement de logiciels sécurisés et invite les communautés du logiciel libre à contribuer à ce processus, directement ou indirectement:

(6b) Lors de l’élaboration des mesures de mise en œuvre du présent règlement, la Commission consulte et tient compte des avis des parties prenantes concernées, tels que les autorités compétentes des États membres, le secteur privé, y compris les micro, petites et moyennes entreprises, la communauté des logiciels libres, les associations de consommateurs, le monde universitaire et les agences ou organes de l’Union compétents ou les groupes d’experts établis au niveau de l’Union.

Le consensus des observateurs sur le document final semble être que celui-ci a « patché » les problèmes les plus graves qui ont été soulevés par les acteurs du logiciel libre au cours du processus législatif. Néanmoins il reste à la fois des problèmes de fond (le texte donne une définition des « logiciels libres et open source » qui se démarque sensiblement des définitions de la FSF et de l’OSI) dont l’impact juridique à long terme n’est pas encore connu, ainsi que toutes les questions pratiques de la mise en œuvre de la directive et des normes associées par les entreprises, avec un surcoût pour les PME qui reste estimé à 30% des coûts de développement.

Cette revue de presse sur Internet fait partie du travail de veille mené par l’April dans le cadre de son action de défense et de promotion du logiciel libre. Les positions exposées dans les articles sont celles de leurs auteurs et ne rejoignent pas forcément celles de l’April.

• [Républik IT Le Média] Jean-Claude Laroche (Cigref): «c'est essentiel que communauté open-source et entreprises parlent»
• [Clubic.com] Mastodon veut limiter le harcèlement sur son réseau avec une nouvelle fonctionnalité
• [Le Monde Informatique] Des auteurs poursuivent OpenAI et Microsoft pour violation du droit d'auteur
• [atlantico] Cette information open source qui dérange la presse traditionnelle
• [Archimag] Stéfane Fermigier: 'la loi sur la cyber-résilience présente des risques considérables pour l'écosystème du logiciel libre'

Cette revue de presse sur Internet fait partie du travail de veille mené par l’April dans le cadre de son action de défense et de promotion du logiciel libre. Les positions exposées dans les articles sont celles de leurs auteurs et ne rejoignent pas forcément celles de l’April.

• [Le Monde.fr] Inquiétudes autour d'un règlement européen sur la sécurité des navigateurs Web
• [Next INpact] Mozilla propose un dépôt Debian pour Firefox Nightly, un changement plus important qu'il n'y paraît
• [ZDNet France] Libre et open source express: Smile, smartphone Murena, conversions aux logiciels propriétaires
• [EurActiv] Loi cyberrésilience: accord en vue sur les logiciels open source et le maintien en conditions opérationnelles
• [CNNum] Tribune - «Les liens de l'Etat à la population ne devraient pas dépendre des frasques de quelques réseaux sociaux.»

Cette revue de presse sur Internet fait partie du travail de veille mené par l’April dans le cadre de son action de défense et de promotion du logiciel libre. Les positions exposées dans les articles sont celles de leurs auteurs et ne rejoignent pas forcément celles de l’April.

• [ZDNet France] Nous sommes en 2030 et les portefeuilles numériques ont remplacé… vos portefeuilles
• [ZDNet France] Pourquoi l'open source est le berceau de l'intelligence artificielle
• [Clubic.com] Crise Unity: le studio Re-Logic (Terraria) s'engage à soutenir financièrement des moteurs concurrents
• [LeMagIT] Cyber Resilience Act: la Linux Foundation craint un modèle open source à deux vitesses (€)
• [ZDNet France] Le support long terme au noyau Linux passe à 2 ans (au lieu de 6)
• [ouest-france.fr] Les ateliers informatiques démarrent en octobre avec L’@ssourie

Cette revue de presse sur Internet fait partie du travail de veille mené par l’April dans le cadre de son action de défense et de promotion du logiciel libre. Les positions exposées dans les articles sont celles de leurs auteurs et ne rejoignent pas forcément celles de l’April.

• [ZDNet France] Risques du Cyber Resilience Act: 'Le logiciel libre est une source de souveraineté' (Philippe Latombe)
• [Basta!] Un projet de loi pour renforcer la censure du web: «Une perspective inquiétante pour la liberté d'expression»
• [ZDNet France] DMA: surprise chez les six géants du numérique concernés
• [Next INpact] Le marketing de l'IA «ouverte»
• [Silicon] Les 14 logiciels libres entrés au SILL cet été

Le Cyber Resilience Act ou CRA est un sujet qui a déjà été évoqué sur ces pages.

Il s’agit d’un projet de directive qui a pour objectif louable d’améliorer la cybersécurité des produits numériques en Europe. Cependant, c’est un texte “buggé” qui va faire l’objet d’un vote crucial cette semaine, le 19 juillet, au sein du comité ITRE du Parlement européen, et qui pourrait être adopté dans la foulée, sans vote en session plénière, par le Parlement lui-même. Si rien de change d’ici son adoption finale, il aura des conséquences particulièrement lourdes pour les petites et moyennes entreprises (PME) évoluant dans le domaine du logiciel libre, et plus généralement sur la filière du logiciel libre, une composante essentielle de l’économie numérique européenne.

Quels sont les principaux problèmes que pose le texte du comité ITRE pour la filière européenne du logiciel libre ?

Nous en discutons de manière plus détaillée dans cette dépêche, qui reprend, en très grande partie, un communiqué du CNLL.

Cette revue de presse sur Internet fait partie du travail de veille mené par l’April dans le cadre de son action de défense et de promotion du logiciel libre. Les positions exposées dans les articles sont celles de leurs auteurs et ne rejoignent pas forcément celles de l’April.

• [Silicon] Comment l'UE perçoit l'open source en France
• [Le Monde.fr] Le Sénat vote à l'unanimité un projet de loi pour «sécuriser et réguler l'espace numérique»
• [Le Monde.fr] IA: le comité d'éthique propose de davantage réguler les services comme ChatGPT que les modèles «open source» (€)
• [ZDNet France] Red Hat soupçonné de trahir l'open source
• [Next INpact] Cyber Resilience Act: une commission du Parlement européen exempte les logiciels libres non commerciaux
• [Silicon] Open Source: une valeur sûre pour les services IT