Guide conformité CRA : « Être prêt pour intégrer le Cyber Resilience Act dans sa pratique Open Source »

Afin de soutenir cette transition réglementaire, le CNLL et le cabinet inno³ ont travaillé dès 2024 sur la rédaction d’un guide de mise en application du CRA. L’ambition de ce document est double : vulgariser les enjeux du CRA et fournir des directives concrètes permettant aux organisations de mieux anticiper leur mise en conformité, tout en tenant compte des spécificités des modèles Open Source. La version initiale du guide, publiée en décembre 2024, a fait l’objet d’une mise à jour en décembre 2025.

Ce guide de mise en application du CRA est destiné à accompagner les acteurs français du numérique qui produisent ou intègrent des logiciels libres et Open Source dans leurs produits et/ou services. Il synthétise l’impact du CRA et opérationnalise les principales attentes du législateur européen.

Sans viser l’exhaustivité, son objectif est de préparer les acteurs de la filière, pour leur permettre d’identifier les modalités raisonnables susceptibles d’être mises en œuvre au sein de leur organisation, et de modifier autant que nécessaire leurs processus de gestion de l’Open Source afin d’intégrer les attentes spécifiques et complémentaires en matière de cybersécurité (notamment en matière de constitution de Software Bill of Materials et de gestion des vulnérabilités).

Il est destiné à être partagé largement au sein de l’écosystème professionnel Open Source, pour favoriser notamment les échanges avec le législateur européen. Il est destiné à évoluer dans le temps pour suivre les évolutions de la réglementation d’une part, mais aussi pour répondre aux enjeux complémentaires (grands utilisateurs, administrations, etc.). La seconde version intègre un important travail de veille, combiner à la fois la doctrine théorique et pratique autour du règlement, ainsi que les éléments et clarifications partagés par la Commission européenne. Elle est également nourrie par les échanges au sein de la liste de diffusion mission-cra-cnll@framagroupes.org.

Par ailleurs, une enquête menée par inno³ et le CNLL auprès des entreprises de l’écosystème Open Source a permis d’évaluer leur niveau de préparation face au CRA, ainsi que leurs attentes concrètes vis-à-vis de cette réglementation. Les enseignements issus de ce sondage ont directement contribué à l’enrichissement du guide, notamment en apportant des réponses à certains questionnements fréquemment rencontrés sur le terrain.

La publication de cette version 2.0 a eu lieu lors d’Open Source Experience 2025.

Prochaines étapes : des cas concrets en 2026

Les travaux autour du guide se poursuivront en 2026 en se concentrant sur l’étude de plusieurs cas concrets impliquant des acteurs spécifiques de l’Open Source. L’objectif sera de formaliser des modèles de conformité adaptés aux différentes réalités et usages, afin de proposer des outils encore plus opérationnels.

Pour les personnes intéressées, l’effort de veille et d’analyse se poursuit au sein du groupe de travail du CNLL dédié au Cyber Resilience Act. Les organisations souhaitant contribuer activement à l’élaboration de ces modèles sont invitées à se rapprocher du CNLL ou d’inno³.

Le guide et les modalités de participation sont disponibles sur les sites inno3.fr et cnll.fr.