Cyber Resilience Act : l'open source en ordre de bataille

Des fondations open source s’allient pour peser dans la définition des spécifications communes qui accompagneront la mise en application du Cyber Resilience Act.

Les communautés open source auront-elles leur mot à dire dans la perspective du Cyber Resilience Act ?

Ce règlement, que le Parlement européen a récemment adopté, devrait entrer en application en 2027. Il impose d’établir, d’ici là, des normes harmonisées – ou, à défaut, des spécifications communes.

Dans cette démarche, les organisations européennes de normalisation seront le principal levier. Le Cyber Resilience Act envisage leur coopération avec l’ENISA, le CEPD et les autorités nationales de contrôle de la protection des données.

Pour peser dans la balance, plusieurs fondations (Apache, Blender, OpenSSL, PHP, Python, Rust, Eclipse) officialisent une alliance. Celle-ci se matérialisera par un groupe de travail qu’hébergera la fondation Eclipse. Son rôle : établir… des spécifications communes pour le développement logiciel sécurisé, à partir des bonnes pratiques existantes.

L’initiative vise principalement à « aligner » et à mieux documenter les approches des communautés open source. Pour, au final, « guider les processus formels d’au moins une organisation européenne de normalisation ».

La fondation Eclipse et ses pairs regrettent les interactions « limitées » qu’ils ont actuellement avec ces organisations. Leurs modèles de gouvernance ne donneraient en outre pas l’opportunité de s’engager.

À consulter en complément :

Quelques détails sur le « bouclier cyber » et la « réserve cyber » établis dans le cadre du Cyber Solidarity Act
Comment l’UE perçoit l’open source en France
L’OSI veut peser dans la définition de l’« IA open source »