IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Debian affirme que la loi européenne sur la cyber-résilience pourrait provoquer la disparition de plusieurs petits projets de logiciels libres
Dont dépendent de nombreuses distributions Linux

Le , par Mathis Lucas

38PARTAGES

29  0 
Le projet de loi européen sur la cyber-résilience (Cyber Resilience Act) continue de faire l'objet de contestation. Le projet Debian vient de publier une déclaration selon laquelle la législation européenne pourrait saper les efforts de la communauté du logiciel libre, notamment en obligeant de nombreuses petites entreprises et probablement tous les développeurs indépendants à mettre la clé sous la porte parce qu'ils ne peuvent tout simplement pas répondre aux exigences réglementaires. Les développeurs du projet Debian appellent à une exemption pour les petites entreprises et les entrepreneurs individuels, puisque de nombreuses distributions Linux dépendent de leur travail.

Le 19 juillet, le Parlement européen a voté en faveur d'un nouveau cadre juridique majeur en matière de cybersécurité : le Cyber Resilience Act (CRA). « Le projet de loi sur la cyber-résilience approuvé par la commission de l'industrie, de la recherche et de l'énergie vise à garantir que les produits dotés de fonctions numériques, tels que les téléphones ou les jouets, soient sûrs à utiliser, résistent aux menaces cybernétiques et fournissent suffisamment d'informations sur leurs propriétés en matière de sécurité », indique le communiqué de presse qui a suivi le vote. Cette déclaration presque banale reflète l'approche globale de la loi en matière de cybersécurité.


En effet, la loi européenne sur la cyber-résilience (CRA) est un cadre juridique qui décrit les exigences en matière de cybersécurité applicables aux produits matériels et logiciels comportant des éléments numériques mis sur le marché de l'Union européenne. La CRA imposera une série d'obligations aux fabricants et aux importateurs de "produits contenant des éléments numériques" (products with digital elements - PDE) : une catégorie qui est définie de manière large pour inclure à la fois les produits matériels et logiciels. Le texte final n'a pas encore été publié, mais les récentes discussions indiquent qu'il pourrait introduire les obligations suivantes :

  • concevoir des PDE pour répondre à certaines exigences essentielles en matière de cybersécurité par l'évaluation des risques et la protection contre les vulnérabilités connues ;
  • soumettre les PDE à des évaluations de conformité ;
  • notifier les vulnérabilités identifiées (dans les 24 heures) à l'autorité nationale de cybersécurité compétente, à l'entité qui maintient le PDE vulnérable et, éventuellement, à l'ENISA (European Union Agency for Cybersecurity - Agence de l'Union européenne pour la cybersécurité) ;
  • notifier les incidents de sécurité graves à l'ENISA, à l'autorité nationale de cybersécurité compétente et aux utilisateurs du PDE ;
  • effectuer des contrôles préalables sur les PDE importés.


La législation a été accueillie favorablement par certains acteurs de l'industrie. « L'introduction de la CRA est opportune et vitale. Elle représente un effort concerté pour renforcer la résilience des produits numériques face aux menaces cybernétiques, ce qui exige une collaboration internationale et une vision stratégique. Cette initiative constitue une avancée significative dans le renforcement de la cyberdéfense de l'UE et dans l'affirmation de sa souveraineté numérique », a écrit un critique. Toutefois, dans la communauté du logiciel libre, elle soulève quelques préoccupations. Dans une déclaration adoptée et publiée mercredi, le projet Debian affirme :

Citation Envoyé par Projet Debian


Même si seules les "activités commerciales" entrent dans le champ d'application de la CRA, la communauté du logiciel libre - et par conséquent tout le monde - perdra un grand nombre de petits projets.

La CRA obligera de nombreuses petites entreprises et très probablement tous les développeurs indépendants à mettre la clé sous la porte parce qu'ils ne peuvent tout simplement pas répondre aux exigences imposées par la CRA.

Debian et d'autres distributions Linux dépendent de leur travail. Si elle est acceptée telle quelle, la CRA sapera non seulement une communauté établie, mais également un marché florissant. La CRA a besoin d'une exemption pour les petites entreprises et, au minimum, pour les entrepreneurs individuels.

Comme indiqué en haut, la CRA introduit un certain nombre de règles pour améliorer la résilience des produits contenant des éléments numériques face aux menaces cybernétiques. En cas de violation de ces règles, les contrevenants peuvent être frappés d'amendes pouvant atteindre 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel. À en juger par les tendances émergentes, les analystes estiment que la législation n'affectera que les fournisseurs de logiciels commerciaux. Mais Debian considère la CRA comme un facteur qui pourraient limiter l'avancement des logiciels libres et entraver leur développement en tant que mouvement international.

Les sociétés qui développent des produits basés sur des projets internationaux de logiciels libres ou qui utilisent des bibliothèques de logiciels libres seront tenues pour responsables des problèmes de sécurité et de l'insuffisance des correctifs apportés aux vulnérabilités du code, même si ce code a été écrit par des passionnés d'autres pays. Par conséquent, l'apparition de risques commerciaux supplémentaire pourrait réduire l'attrait pour le développement de logiciels libres. Dans le même temps, les projets indépendants qui incluent du code provenant de fabricants de produits commerciaux peuvent également être affectés par des conséquences juridiques.


Par exemple, il existe une incertitude quant à la responsabilité dans les cas où le code open source écrit par une société commerciale peut être transféré à des projets tiers non commerciaux et utilisé dans des distributions Linux. La législation européenne introduit donc une responsabilité légale en cas de non-respect des exigences de sécurité, ce qui va à l'encontre de la responsabilité sociale de Debian de distribuer des logiciels pour n'importe quel usage et sans restrictions. Debian ne suit pas l'implication du code dans les projets commerciaux, l'emploi des développeurs et les sources de financement des développements fournis dans la distribution.

Pour Debian, le fait d'imposer les exigences spécifiées dans le projet de loi augmente les risques juridiques lors de l'utilisation de la distribution. Il existe un risque que les projets en amont cessent de fournir leur code par crainte de tomber sous le coup de la CRA et de l'application des sanctions associées. La CRA pourrait également rendre plus difficile le partage du code open source avec la communauté, en obligeant les développeurs à peser les implications juridiques de sa mise à disposition à la communauté open source. Selon de nombreux analystes, le texte actuel du projet de loi présent des risques majeurs pour la communauté du logiciel libre.

Pour rappel, les logiciels libres sont un pilier des logiciels modernes. Ils représentent généralement 70 à 90 % du code des applications Web et cloud. Ainsi, Synopsys, une société américaine spécialisée dans le développement de logiciels destinés principalement aux fabricants, a constaté que 98 % des applications analysées à l'aide de son service comprenaient des logiciels libres, et que 75 % de la base de code moyenne provenait de projets libres. Synopsys a également constaté qu'en moyenne, une application logicielle s'appuie sur plus de 500 dépendances open source. Cela met en évidence les défis importants qu'introduit la CRA pour toute l'industrie.

Par ailleurs, le projet de loi réduit l'attrait du processus de développement ouvert, puisque le travail est visible et transparent pour tout le monde, et que le code peut être utilisé pendant le processus de développement, permettant aux exigences de la législation de s'appliquer pendant que l'on travaille sur le produit. En revanche, les logiciels propriétaires sont développés derrière des portes closes et deviennent soumis à la loi lors de la publication finale. Pour toutes ces raisons, les développeurs du projet Debian souhaitent que le développement des logiciels libres soit exempté par la nouvelle législation et qu'elle ne s'applique qu'aux produits finaux.

Il est également proposé que les exigences de la CRA ne s'appliquent pas aux produits des entrepreneurs individuels et des petites entreprises, car ils ne seront pas en mesure de répondre à toutes les exigences prévues et seront contraints de fermer leur entreprise. Enfin, la déclaration publiée par les développeurs du projet Debian pointe du doigt également à la nature discutable de l'obligation de signaler les problèmes de sécurité à l'ENISA dans les 24 heures suivant l'identification d'un problème ou la réception d'informations sur une vulnérabilité. La centralisation de toute cette information pourrait introduire d'autres risques pour toute l'industrie.

Selon Debian, l'accumulation d'informations sur toutes les vulnérabilités qui n'ont pas encore été corrigées en un seul endroit peut entraîner de graves problèmes pour tous les utilisateurs en cas de fuite d'informations, de transfert d'informations à des agences de renseignement ou de compromission de l'ENISA.

Source : Debian

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la loi européenne sur la cyber-résilience ?
Que pensez-vous des préoccupations de Debian à l'égard de cette législation ?
Que pensez-vous des prétendus risques qu'introduit la législation pour les logiciels libres ?
Le développement des logiciels libres doit-il bénéficier d'une exemption de la loi sur la cyber-résilience ?

Voir aussi

La proposition européenne de loi sur la cyber-résilience, une menace pour l'open source ? Oui, selon des acteurs qui indiquent que son application pourrait avoir un impact désastreux

La proposition de loi européenne sur la cyber-résilience pourrait avoir des conséquences inattendues pour l'écosystème Python, selon Deb Nicholson, Directeur exécutif de la Python Software Foundation

Les appareils intelligents connectés à Internet devront se conformer à des règles strictes de l'Union européenne en matière de cybersécurité, sous peine de se voir infliger une amende ou d'être bannis

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de juju26
Membre averti https://www.developpez.com
Le 01/01/2024 à 17:25
Bonjour,
Cela concerne quel type de logiciels / application ?
Parce que le risque de sécurité n'est certainement pas le même entre un jeux, un logiciel lamba en local (qui ne fait pas office de serveur), un pare-feu... ou encore une application en ligne...
Je n'ai pas trouvé de détails sur ce point.
Encore des lois usine à gaz qui impacteront uniquement les dev européens...
6  0 
Avatar de leyouki
Membre à l'essai https://www.developpez.com
Le 01/01/2024 à 15:05
Citation Envoyé par leyouki Voir le message
Une bonne âme pourrait pointer le rapport cité de synopsys sur la part de logiciel libre dans l'économie numérique actuelle ? Je ne le trouve pas. 🙏
Le rapport est présenté ici: https://www.synopsys.com/software-in...-analysis.html
et téléchargeable là: https://www.synopsys.com/content/dam...ossra-2023.pdf
3  0 
Avatar de totozor
Expert confirmé https://www.developpez.com
Le 03/01/2024 à 15:20
Citation Envoyé par bdr443 Voir le message
J'ai l'impression qu eles législateurs sont totalement déconnectés de la réalité et ont fait voter des lois sur des sujets qu'ils le maîtrisent pas.
N'est ce pas une sorte de vérité générale depuis quelques années?
Combien de ministres/députés travaillent dans un domaine dans lequel ils ont travaillé/fait leurs preuves/se sont dûment renseignés?
Et même quand c'est le cas ils travaillent en général sur des acquis devenus obsolètes, alors quand on parle d'un domaine qui évolue rapidement...
Mais ces gens sont supérieurement intelligents donc pourquoi auraient ils besoin de s'informer auprès de sachants?
3  0 
Avatar de denisys
Membre chevronné https://www.developpez.com
Le 29/12/2023 à 16:36
Il devient de plus en plus urgent, de ce débarrassé de la dictature de l'Union européenne !!!!
5  4 
Avatar de leyouki
Membre à l'essai https://www.developpez.com
Le 01/01/2024 à 13:36
Une bonne âme pourrait pointer le rapport cité de synopsys sur la part de logiciel libre dans l'économie numérique actuelle ? Je ne le trouve pas. 🙏
1  0 
Avatar de bdr443
Membre du Club https://www.developpez.com
Le 03/01/2024 à 14:43
J'ai l'impression qu eles législateurs sont totalement déconnectés de la réalité et ont fait voter des lois sur des sujets qu'ils le maîtrisent pas.
1  0 
Avatar de irrmichael
Membre du Club https://www.developpez.com
Le 31/12/2023 à 15:33
Donc si je développe des jeux, je vais devoir faire certifier mon code? payer des centaines d'euros pour ça? J'espère que Unity va assumer le CE
0  0