Le Cyber Resilience Act (CRA), adopté par l’Union européenne, impose de nouvelles obligations de cybersécurité à tout logiciel et matériel commercialisé sur le marché. Pour l’éditeur Red Hat, cette législation pourrait transformer la manière dont les projets open source gèrent la sécurité. Mais elle soulève aussi des inquiétudes quant au poids que devront supporter des communautés déjà fragilisées.
Le Cyber Resilience Act (CRA) est une nouvelle législation qui impose des exigences de cybersécurité à tout produit matériel ou logiciel mis sur le marché européen, avec une entrée en vigueur progressive dès septembre 2026 et une application complète prévue pour décembre 2027.
Jusqu’ici, la sécurité de l’open source reposait surtout sur une logique communautaire : chercheurs, mainteneurs et entreprises corrigeaient les failles au fil des besoins. Mais le CRA change la donne en introduisant de nouvelles obligations légales. En particulier, les « stewards » d’un projet open source – fondations, consortiums ou grandes entreprises qui en assurent une partie de la gouvernance – se retrouvent juridiquement responsables de la sécurité tout au long du cycle de vie des logiciels intégrés dans des produits commerciaux.
Cette approche vise à corriger une pratique encore répandue : intégrer massivement de l’open source en bout de chaîne sans réellement contribuer à sa sécurisation. Problème, selon Red Hat : elle crée aussi des tensions : de nombreux projets communautaires n’ont ni les ressources ni la structure pour répondre à des demandes de conformité venues d’acteurs industriels, qui devraient eux-mêmes assumer cette charge.
Pour éviter que la législation ne se transforme en fardeau, plusieurs acteurs de l’écosystème – dont des contributeurs de Red Hat, Eclipse ou l’OpenSSF – plaident pour des outils et des standards adaptés au fonctionnement ouvert et décentralisé des projets. L’idée est de transformer l’obligation en opportunité, en favorisant la contribution directe aux projets en matière de documentation, de gestion des vulnérabilités et de transparence de la chaîne logicielle (SBOM).
Nous en avons déjà parlé ces derniers mois. Comme l’explique Emily Fox, experte en sécurité de Red Hat, le CRA peut donc devenir un catalyseur : non seulement pour mieux protéger les utilisateurs finaux, mais aussi pour pousser les entreprises qui bénéficient de l’open source à investir dans sa sécurité en amont.
