Mise en conformité avec le CRA: le CNLL accompagne ses membres
- 17 mai 2024
A propos du CRA (Cyber Resilience Act) :
Afin de renforcer la cybersécurité et la cyberrésilience des produits matériels et logiciels comportant des éléments numériques commercialisés au sein de l’Union Européenne, la Commission européenne a proposé, le 15 septembre 2022, un Règlement européen intitulé Cyber Resilience Act (CRA). D’une portée assez large, le Règlement s’articule autour de trois axes principaux : garantir une sécurité « by design » des produits lors de leur mise sur le marché et tout au long de leur cycle de vie, assurer la livraison de produits sans faille de sécurité, et renforcer le niveau d’information à destination des utilisateurs et des entreprises. Un accord politique a été conclu le 1ᵉʳ décembre 2023 entre le Parlement européen et le Conseil, dans l’idée d’une adoption formelle courant 2024. Le Règlement sera applicable dans les jours suivants sa publication au journal officiel et les opérateurs économiques concernés disposeront alors de 36 mois au plus pour s’adapter aux nouvelles exigences.
Il s’agit donc d’un moment charnière pour l’ensemble de l’écosystème numérique français et européen, notamment pour les acteurs qui doivent mettre en place de nouvelles pratiques pour se mettre en conformité rapidement. En effet, les organisations auront bientôt de nouvelles obligations tant vis-à-vis de leurs clients (et consommateurs) que de leurs partenaires commerciaux. Ainsi, la fourniture de produits logiciels devra être accompagnée d’une documentation précise détaillant leur niveau de sécurité, le support technique proposé par le fournisseur ou encore l’installation des mises à jour de sécurité. Le CRA impacte aussi directement la filière Open Source par des obligations pouvant être difficile à mettre en pratique : fourniture d’une attestation de sécurité et donc de la liste des composants des projets open source, partage des vulnérabilités des projets Open Source utilisés, partage des correctifs associés… Le Règlement crée ainsi de nouveaux rôles et de nouvelles responsabilités pour l’ensemble de l’écosystème du libre. Par ailleurs, ces obligations, associées à l’utilisation de projets Open Source, se déclenchent dans le cadre d’une activité économique, notion large qui doit être prise en compte par les acteurs concernés.
Guide de mise en application du CRA :
Les organisations doivent dès maintenant adopter une stratégie de gestion de la sécurité de leurs produits et en adoptant les outils nécessaires pour le faire efficacement. Il est nécessaire d’apporter un accompagnement pour s’assurer de la bonne anticipation, par ces acteurs, de leurs nouvelles obligations. L’objectif étant notamment de leur permettre d’entrevoir les modalités raisonnables susceptibles d’être mise en œuvre, permettant de manière incidente d’influencer les prochaines étapes opérationnelles de mise en application du Règlement (guidelines, etc.).
Le CNLL souhaite donc produire un guide de mise en application du CRA qui permette de faire comprendre les principaux enjeux et proposer des modalités de mise en application atteignables pour l’ensemble des acteurs économiques concernés.
Ce guide sera basé sur une étude préalable realisée par notre partenaire inno³, et articulée autour de l’organisation de deux réunions (réunion de cadrage et de restitution) et d'un workshop réunissant l’ensemble des acteurs réunis autour du CNLL pour représenter les besoins et les solutions de la filière Open Source. Il synthétisera l’impact du CRA et opérationnalisera les principales attentes du législateur européen. Ce document pourra évoluer par la suite avec des ajouts autour des spécificités concernant certaines catégories d'utilisateurs et contributeurs open source (grands utilisateurs, administrations).
Calendrier et mise en place de la mission :
- Phase préparatoire: entretiens
- Réunion de cadrage : date à préciser
- Réunion de restitution : date à préciser
- Mise à disposition du guide version 1.0. : date à préciser
Si vous souhaitez participer et rejoindre le groupe de travail, merci de nous contacter ou vous inscrire directement sur la mailing liste dédiée: mission-cra-cnll@framagroupes.org.
