Le Cyber Resilience Act entend apporter de nouvelles règles en matière de cybersécurité à la fois pour le matériel et les logiciels. Son application à l’open source soulève de nombreuses questions et inquiétudes dans la communauté. Canonical tire la sonnette d’alarme.
Dans un article de blog publié en début de semaine, Stephanie Domas, Chief Information Security Officer (CISO) de Canonical, revient sur les implications à court terme de l’introduction du Cyber Resilience Act dans l’Union Européenne.
Cette nouvelle législation vise à améliorer la cybersécurité des appareils et logiciels connectés. Elle impose de nouvelles exigences aux développeurs, fabricants et distributeurs de produits numériques. Objectif : harmoniser les règles de mise sur le marché et à établir un cadre de sécurité pour tout le cycle de vie des produits. Le CRA répond également aux préoccupations liées à la sécurité des objets connectés, à la suite de nombreuses failles constatées.
Problème : le CRA suscite également des inquiétudes dans la communauté open source. Pour la CISO de l’éditeur, la terminologie utilisée manque de précision, notamment dans la définition de l’open source. Certains projets open source pourraient être considérés comme des « activités commerciales » et soumis à des exigences lourdes. Enfin, il existe un flou sur qui doit assumer la responsabilité de la sécurité des composants open source dans les produits commerciaux.
Ces incertitudes pourraient avoir des conséquences importantes, estime Stephanie Domas. Les entreprises utilisant de l’open source pourraient devoir assumer elles-mêmes la responsabilité de la conformité au CRA. Conséquence : cela pourrait freiner l’utilisation de l’open source dans les produits commerciaux.
Certains craignent même que cela puisse menacer l’avenir de l’open source, mais rien n’est moins sûr. « Qu’on le veuille ou non, le CRA est en route. La conformité en matière de cybersécurité et les protocoles de développement rigoureux sont bénéfiques sur le long terme. La communauté open source a remporté quelques victoires avec l’ajout du rôle de « steward » (administrateur). Grâce à cette nouvelle initiative, les développeurs open source auront accès à des conseils et des ressources de haute qualité pour développer des appareils et des produits plus sécurisés, auxquels les clients et les utilisateurs finaux pourront faire confiance pour leurs réseaux et leurs données », rassure la CISO de Canonical. « L’avènement du CRA représente également un appel à toutes les communautés open source à faire entendre leur voix et à rejoindre des groupes de travail actifs, comme le groupe de travail de la Fondation Eclipse axé sur le CRA. »
