Le projet de loi européen sur la cyber-résilience (Cyber Resilience Act) continue de faire l'objet de contestation. Le projet Debian vient de publier une déclaration selon laquelle la législation européenne pourrait saper les efforts de la communauté du logiciel libre, notamment en obligeant de nombreuses petites entreprises et probablement tous les développeurs indépendants à mettre la clé sous la porte parce qu'ils ne peuvent tout simplement pas répondre aux exigences réglementaires. Les développeurs du projet Debian appellent à une exemption pour les petites entreprises et les entrepreneurs individuels, puisque de nombreuses distributions Linux dépendent de leur travail.Le 19 juillet, le Parlement européen a voté en faveur d'un nouveau cadre juridique majeur en matière de cybersécurité : le Cyber Resilience Act (CRA). « Le projet de loi sur la cyber-résilience approuvé par la commission de l'industrie, de la recherche et de l'énergie vise à garantir que les produits dotés de fonctions numériques, tels que les téléphones ou les jouets, soient sûrs à utiliser, résistent aux menaces cybernétiques et fournissent suffisamment d'informations sur leurs propriétés en matière de sécurité », indique le communiqué de presse qui a suivi le vote. Cette déclaration presque banale reflète l'approche globale de la loi en matière de cybersécurité.
En effet, la loi européenne sur la cyber-résilience (CRA) est un cadre juridique qui décrit les exigences en matière de cybersécurité applicables aux produits matériels et logiciels comportant des éléments numériques mis sur le marché de l'Union européenne. La CRA imposera une série d'obligations aux fabricants et aux importateurs de "produits contenant des éléments numériques" (products with digital elements - PDE) : une catégorie qui est définie de manière large pour inclure à la fois les produits matériels et logiciels. Le texte final n'a pas encore été publié, mais les récentes discussions indiquent qu'il pourrait introduire les obligations suivantes :
- concevoir des PDE pour répondre à certaines exigences essentielles en matière de cybersécurité par l'évaluation des risques et la protection contre les vulnérabilités connues ;
- soumettre les PDE à des évaluations de conformité ;
- notifier les vulnérabilités identifiées (dans les 24 heures) à l'autorité nationale de cybersécurité compétente, à l'entité qui maintient le PDE vulnérable et, éventuellement, à l'ENISA (European Union Agency for Cybersecurity - Agence de l'Union européenne pour la cybersécurité) ;
- notifier les incidents de sécurité graves à l'ENISA, à l'autorité nationale de cybersécurité compétente et aux utilisateurs du PDE ;
- effectuer des contrôles préalables sur les PDE importés.
La législation a été accueillie favorablement par certains acteurs de l'industrie. « L'introduction de la CRA est opportune et vitale. Elle représente un effort concerté pour renforcer la résilience des produits numériques face aux menaces cybernétiques, ce qui exige une collaboration internationale et une vision stratégique. Cette initiative constitue une avancée significative dans le renforcement de la cyberdéfense de l'UE et dans l'affirmation de sa souveraineté numérique », a écrit un critique. Toutefois, dans la communauté du logiciel libre, elle soulève quelques préoccupations. Dans une déclaration adoptée et publiée mercredi, le projet Debian affirme :
Envoyé par Projet Debian
Même si seules les "activités commerciales" entrent dans le champ d'application de la CRA, la communauté du logiciel libre - et par conséquent tout le monde - perdra un grand nombre de petits projets.
La CRA obligera de nombreuses petites entreprises et très probablement tous les développeurs indépendants à mettre la clé sous la porte parce qu'ils ne peuvent tout simplement pas répondre aux exigences imposées par la CRA.
Debian et d'autres distributions Linux dépendent de leur travail. Si elle est acceptée telle quelle, la CRA sapera non seulement une communauté établie, mais également un marché florissant. La CRA a besoin d'une exemption pour les petites entreprises et, au minimum, pour les entrepreneurs individuels.
Les sociétés qui développent des produits basés sur des projets internationaux de logiciels libres ou qui utilisent des bibliothèques de logiciels libres seront tenues pour responsables des problèmes de sécurité et de l'insuffisance des correctifs apportés aux vulnérabilités du code, même si ce code a été écrit par des passionnés d'autres pays. Par conséquent, l'apparition de risques commerciaux supplémentaire pourrait réduire l'attrait pour le développement de logiciels libres. Dans le même temps, les projets indépendants qui incluent du code provenant de fabricants de produits commerciaux peuvent également être affectés par des conséquences juridiques.
Par exemple, il existe une incertitude quant à la responsabilité dans les cas où le code open source écrit par une société commerciale peut être transféré à des projets tiers non commerciaux et utilisé dans des distributions Linux. La législation européenne introduit donc une responsabilité légale en cas de non-respect des exigences de sécurité, ce qui va à l'encontre de la responsabilité sociale de Debian de distribuer des logiciels pour n'importe quel usage et sans restrictions. Debian ne suit pas l'implication du code dans les projets commerciaux, l'emploi des développeurs et les sources de financement des développements fournis dans la distribution.
Pour Debian, le fait d'imposer les exigences spécifiées dans le projet de loi augmente les risques juridiques lors de l'utilisation de la distribution. Il existe un risque que les projets en amont cessent de fournir leur code par crainte de tomber sous le coup de la CRA et de l'application des sanctions associées. La CRA pourrait également rendre plus difficile le partage du code open source avec la communauté, en obligeant les développeurs à peser les implications juridiques de sa mise à disposition à la communauté open source. Selon de nombreux analystes, le texte actuel du projet de loi présent des risques majeurs pour la communauté du logiciel libre.
Pour rappel, les logiciels libres sont un pilier des logiciels modernes. Ils représentent généralement 70 à 90 % du code des applications Web et cloud. Ainsi, Synopsys, une société américaine spécialisée dans le développement de logiciels destinés principalement aux fabricants, a constaté que 98 % des applications analysées à l'aide de son service comprenaient des logiciels libres, et que 75 % de la base de code moyenne provenait de projets libres. Synopsys a également constaté qu'en moyenne, une application logicielle s'appuie sur plus de 500 dépendances open source. Cela met en évidence les défis importants qu'introduit la CRA pour toute l'industrie.
Par ailleurs, le projet de loi réduit l'attrait du processus de développement ouvert, puisque le travail est visible et transparent pour tout le monde, et que le code peut être utilisé pendant le processus de développement, permettant aux exigences de la législation de s'appliquer pendant que l'on travaille sur le produit. En revanche, les logiciels propriétaires sont développés derrière des portes closes et deviennent soumis à la loi lors de la publication finale. Pour toutes ces raisons, les développeurs du projet Debian souhaitent que le développement des logiciels libres soit exempté par la nouvelle législation et qu'elle ne s'applique qu'aux produits finaux.
Il est également proposé que les exigences de la CRA ne s'appliquent pas aux produits des entrepreneurs individuels et des petites entreprises, car ils ne seront pas en mesure de répondre à toutes les exigences prévues et seront contraints de fermer leur entreprise. Enfin, la déclaration publiée par les développeurs du projet Debian pointe du doigt également à la nature discutable de l'obligation de signaler les problèmes de sécurité à l'ENISA dans les 24 heures suivant l'identification d'un problème ou la réception d'informations sur une vulnérabilité. La centralisation de toute cette information pourrait introduire d'autres risques pour toute l'industrie.
Selon Debian, l'accumulation d'informations sur toutes les vulnérabilités qui n'ont pas encore été corrigées en un seul endroit peut entraîner de graves problèmes pour tous les utilisateurs en cas de fuite d'informations, de transfert d'informations à des agences de renseignement ou de compromission de l'ENISA.
Source : Debian
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous de la loi européenne sur la cyber-résilience ? Que pensez-vous des préoccupations de Debian à l'égard de cette législation ? Que pensez-vous des prétendus risques qu'introduit la législation pour les logiciels libres ? Le développement des logiciels libres doit-il bénéficier d'une exemption de la loi sur la cyber-résilience ?Voir aussi
La proposition européenne de loi sur la cyber-résilience, une menace pour l'open source ? Oui, selon des acteurs qui indiquent que son application pourrait avoir un impact désastreux La proposition de loi européenne sur la cyber-résilience pourrait avoir des conséquences inattendues pour l'écosystème Python, selon Deb Nicholson, Directeur exécutif de la Python Software Foundation Les appareils intelligents connectés à Internet devront se conformer à des règles strictes de l'Union européenne en matière de cybersécurité, sous peine de se voir infliger une amende ou d'être bannis 
