Photo nouvelle version du guide

CRA et Open Source : une maturité hétérogène

Lien associé

Dans la perspective de l’entrée en vigueur du Cyber Resilience Act (CRA), le CNLL (Syntec Numérique) et inno3 ont mené un sondage auprès de la communauté et des entreprises de l’écosystème. L’objectif était de cartographier la perception des enjeux, le niveau de préparation et les attentes concrètes vis-à-vis de la future réglementation européenne (pour savoir comment y répondre concrètement).

Les résultats de cette consultation (70 répondants, avec seulement la moitié ayant finalisé le sondage) confirment deux observations stratégiques : une maturité inégale sur le sujet et une inquiétude marquée quant à l’impact du CRA sur les acteurs et les projets Open Source. Ces données ont servi de socle à l’élaboration de la deuxième version du Guide du CNLL sur le CRA, réalisée par inno3.

1. Des acteurs globalement peu préparés

Le postulat qui était le notre lors du lancement des travaux était que les acteurs de l’Open Source étaient globalement plus soucieux du respect de cette réglementation et plus vigilants que la moyenne des sociétés numériques. Nous prenions pour preuve l’implication continue des communautés Open Source dans la normalisation des formats SPDX et CyclonDX, ou encore la mobilisation forte durant la rédaction du règlement.

L’évaluation de la maturité des répondants sur une échelle de 1 à 10 révèle une forte dispersion :

  • 41 % des participants se situent dans la tranche la moins préparée (niveaux 1 à 4).
  • Seulement 20 % se déclarent avoir une forte ou très forte maturité (niveaux 8 à 10).

Ce diagnostic souligne un besoin d’accompagnement. Sans un effort massif de pédagogie et de structuration, le risque est de voir émerger une application du CRA à deux vitesses, laissant les PME et les acteurs spécialisés de l’Open Source potentiellement dépassés par la complexité des exigences. La préparation doit démarrer dès maintenant pour identifier les rôles et adapter les processus internes.

2. L’incertitude relative à l’Open Source

Les questions ouvertes sur les craintes et les attentes mettent en lumière une préoccupation dominante : la gestion de la responsabilité des produits Open Source (OSS).

Les acteurs craignent principalement :

  1. Le coût de la conformité : Une charge administrative et financière jugée disproportionnée pour les petits projets et les structures de petite taille.
  2. L’ambiguïté de la responsabilité : Un flou persistant sur la distinction entre le contributeur Open Source bénévole et le fournisseur commercial de logiciels Open Source, rendant l’application des obligations incertaine.

En réponse, les attentes se focalisent sur la nécessité d’un cadre opérationnel : explicitation des « flous » du CRA, fourniture de modèles de documents de sécurité (notamment les Vulnerability Disclosure Policies), et des exemples d’application spécifiques aux différents modèles économiques de l’Open Source.

3. Feuille de Route du groupe du travail

La V2 du Guide du CNLL, élaborée par inno3 et partagée à l’occasion d’OSXP 2025, participe aux actions concrètes pour répondre à ce constat. Cette nouvelle édition a intégré l’ensemble des commentaires reçu sur la première version ainsi que les dernières publications et éclaircissements émis par la Commission européenne. Certaines attentes remontées par le sondage sont aussi prises en compte, même si d’autres pourront faire l’objet de travaux dédiés.

Prochaines étapes :

  1. Publication d’une version 2.0 du guide : le document sera présenté et mis à disposition la semaine prochaine lors de l’événement OSXP 2025. Le guide est produit de manière collaborative et sera accessible sur le dépôt public : https://code.inno3.eu/ouvert/guide-cra
  2. Travail sur cas concrets (2026) : après cette publication, le groupe de travail CNLL/inno3 continuera ses travaux en se concentrant sur l’étude de plusieurs cas concrets durant l’année 2026. L’objectif sera de formaliser des modèles de conformité adaptés aux différentes réalités de l’Open Source.

Nous rappelons aux acteurs intéressés que l’effort de veille et d’analyse se poursuit au sein du groupe de travail du CNLL dédié à cette réglementation. Les organisations souhaitant contribuer activement à l’élaboration de ces modèles peuvent se rapprocher du CNLL.

Conclusion

Le sondage révèle que l’adoption du CRA ne sera pas seulement une affaire de conformité technique, mais une véritable mutation organisationnelle et juridique. Le Guide CNLL/inno3 permet de répondre à certain questionnement, mais devra être complété par un framework d’outils clefs en main permettant de matérialiser ces obligations en actions concrètes.

Nous vous invitons à consulter notre site https://inno3.fr et celui du CNLL https://cnll.fr pour la publication du document et les modalités de participation au groupe de travail.

Auteur/Autrice

Logo inno³

Collectif inno³

Références

Ressources associées

Être prêt pour intégrer le Cyber Resilience Act dans sa pratique Open Source

Publication
diagramme cra conformité

Article

Cyber Resilience Act et Open Source : transformer une obligation réglementaire en levier stratégique

Article

Les défis et opportunités du CRA pour les communautés Open Source

Organisation impliquée

CNLL