Pourquoi le Cyber Resilience Act devrait favoriser une valorisation par l’Open Source au sein des établissements de recherche ?

L’utilisation de modèles ouverts (Open Source et Open Data) par les établissements de recherche dans le cadre de la valorisation des travaux de recherche est complexe et révélatrice de visions divergentes entre équipes de recherche et services de valorisation. Si les apports d’une diffusion ouverte des produits de la recherche scientifique ont été documentés, ces considérations sont souvent reléguées au second rang face aux promesses de valorisation économique directe souvent plus simple et directe. Faisant peser de nouvelles obligations en cas de transfert des résultats de recherche et prévoyant des exceptions en matière d’Open Source, le récent Règlement européen en matière de cybersécurité (Cyber Resilience Act) adopté en 2024 change l’équilibre en présence et apparaît comme une opportunité pour développer des stratégies de valorisation ouverte complexes et riches.

Le rapport ambigu entre les services de valorisation de la recherche et l’Open Source

L’Open Source dans la valorisation de la recherche

De nombreux logiciels libres et Open Source sont directement issus, voire encore maintenus, par des équipes de recherche. Le prix science ouverte du logiciel libre de recherche en récompense quelques un depuis 2022. On peut citer par exemple en archéologie ArcheoViz, en sciences sociales Hyphe, ou encore en sciences du numérique et mathématiques GAMA. Le projet Open Source Scikit-learn est un autre excellent exemple qui a contribué à faire rayonner la recherche française mondialement dans le domaine de l’IA.

Néanmoins, depuis les années 2000 et sous l’incitation croissante d’une diversification des sources de revenus (notamment la Loi sur l’Innovation et la recherche de 1999, renforcée par la Loi de Programmation de la Recherche dite LPR de 2020), les établissements de recherche ont progressivement renforcé au sein des centres de valorisation et les organismes de transferts de technologies, les outils et les compétences (souvent issues du privé) pour renforcer la recherche partenariale et démultiplier les transferts des résultats de recherche, généralement sous forme de licences de propriété intellectuelle.

Dans ce contexte, la diffusion en Open Source est encore largement perçue comme une perte d’opportunités commerciales et un risque d’accaparement de valeur par des concurrents. Trop souvent, un décalage marqué persiste ainsi entre la pratique des équipes de recherche, souvent spontanée, de diffusion de code sous licence Open Source, et l’accompagnement proposé par les services de valorisation ou les SATT (Sociétés d’Accélération du Transfert de Technologies). Ces contradictions se répercutent aussi sur les logiques de financement qui peinent à s’articuler avec la diffusion Open Source, transformant parfois cette dernière en un choix par dépit plutôt qu’en une stratégie construite : lorsqu’un projet échoue à obtenir l’appui nécessaire pour sa maturation ou sa valorisation commerciale, la publication en Open Source devient la solution faute de mieux, sans accompagnement ni plan d’action clair.

En 2021, inno³ publiait une étude missionnée par Etalab relative à l’ouverture des codes sources au sein de l’Enseignement Supérieur et de la Recherche (ESR). Elle mettait en lumière plusieurs difficultés au sein de certains établissements venant freiner les stratégies d’ouverture. Pour beaucoup de professionnels de la recherche (chercheurs, ingénieurs de recherche, d’étude), solliciter ces services est perçu comme un frein à l’avancement des projets, voire comme un risque d’arrêt pur et simple, en raison de procédures jugées longues et mal adaptées aux rythmes collaboratifs de la recherche. Par conséquent, la décision de publier en Open Source était trop souvent prise en autonomie par les équipes, souvent par mimétisme ou pragmatisme, parfois en application de la Loi pour une République Numérique de 2016 (voir notamment le guide « L’ouverture des données publiques : nouvelles obligations et nouveaux acteurs »), mais sans véritable stratégie. Inversement, les services de valorisation regrettaient l’absence de stratégie claire (et parfois de mandat clair au sein de leur organisation) leur permettant de réaliser pleinement leurs missions et d’articuler les objectifs économiques avec d’autres objectifs de recherche, notamment dans une dynamique d’Open Data et de science ouverte de plus en plus prégnante.

La diffusion en Open Source : un levier ?

Pourtant, la diffusion des travaux de recherche via des modèles ouverts peut s’insérer dans une véritable stratégie de valorisation, si cette valorisation est au préalable pensée globalement. Ainsi, l’étude précédemment citée propose plusieurs exemples de bénéfices tirés d’une telle stratégie et dépassant le seul cadre d’une valorisation purement « économique ».

• En termes d’usage : l’usage fait d’un logiciel a plus d’importance que les redevances qui en sont tirées. Un logiciel est valorisé dès lors qu’il est utilisé, quel que soit le domaine ou le type de personne (startup, acteurs locaux ou nationaux). La réutilisation des recherches par un autre laboratoire est une valorisation évidente ;
• En matière de mutualisation et d’économies d’échelle : la mutualisation avec d’autres acteurs peut-être génératrice d’économies parfois plus intéressantes que de potentielles licences ;
• En termes d’indépendance technologique : le développement de technologies Open Source par les établissements de recherche contribue aussi à une volonté commune au monde de la recherche d’éviter toute appropriation par un seul acteur dans les domaines clefs de la société (spatial, télécommunication, etc.) ;
• En matière de rayonnement : la diffusion ouverte peut assurer une reconnaissance à l’extérieur du savoir-faire et un bénéfice en termes d’image.

À ces nouvelles recommandations s’ajoutent de nouvelles contraintes réglementaires telles que le Cyber Resilience Act (CRA) susceptibles de bousculer les pratiques services de valorisation et de transfert.

Le Cyber Resilience Act : levier d’adoption à une stratégie Open Source ?

Qu’est-ce que le Cyber Resilience Act ?

Publié au Journal Officiel de l’Union européenne le 20 novembre 2024, le Cyber Resilience Act (CRA) est un Règlement européen visant à renforcer la cybersécurité et la cyber résilience des produits logiciels (et matériels qui comportent des éléments numériques) connectés. Conçu pour renforcer la sécurité des produits numériques dans leur ensemble, le Cyber Resilience Act s’applique à tous les produits comportant des éléments numériques connectés à un réseau mis en circulation sur le marché européen.

Le CRA impose une multitude d’obligations réparties entre l’ensemble des opérateurs économiques, qui imposeront eux-mêmes des engagements similaires à leurs sous-traitants (notamment concepteurs) et partenaires. Il implique de concevoir, développer et produire le produit de manière à garantir un niveau de cybersécurité suffisant pour la mise sur le marché européen. Ces exigences sont multiples : faire preuve de diligence raisonnable lors de l’intégration des composants obtenus auprès de tiers, évaluer la conformité du produit et corriger les failles, produire des éléments documentation spécifique, produire et partager une documentation (comprenant spécifiquement les nomenclatures de composants logiciels aussi dites SBOM, etc).

L’application du CRA aux services de valorisation de la recherche

La mission des services de valorisation consiste précisément à transférer des résultats de recherche vers le marché : transfert de technologie, cession de licences, outsourcing, etc. Lorsqu’un logiciel ou dispositif développé par un laboratoire est communiqué sous licence à une entreprise, il y a un acte de commercialisation et une mise sur le marché indirecte (car même si le produit n’est pas mis directement sur le marché, l’externalisation aboutit souvent à la création d’un produit destiné à la commercialisation par un tiers sur le marché européen). Dans ce cadre, les stratégies de valorisation comme l’outsourcing peuvent être considérés comme une étape de la chaîne de mise sur le marché, ce qui induit que les établissements de recherche pourront être assimilés à des fabricants au titre des exigences du CRA.

Responsable principal au titre du CRA, le fabricant désigne la personne morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit. À ce titre, le fabricant sera tenu :

• d’appliquer, ou de faire appliquer, les procédures de conformité établies par le CRA pour les produits qu’il commercialise. Cela inclut notamment l’obtention d’une déclaration de conformité et l’apposition du marquage CE.
• d’établir et de maintenir une documentation précise, incluant une SBOM, liste de tous les composants logiciels, avec des informations complémentaires telles que la version utilisée, les informations juridiques telles que la licence Open Source associée, les failles de sécurité potentielles, etc.
• en cas d’incident ou de vulnérabilité détectée sur l’un de ses produits, de le signaler aux autorités compétentes, aux responsables de la maintenance et aux utilisateurs concernés. Il devra également prendre toutes les mesures nécessaires pour corriger la vulnérabilité et diffuser les correctifs correspondants (avec une période d’assistance de minimum 5 années après la mise sur le marché).

Plus largement, les établissements de recherche (mais aussi toutes les structures associées à la valorisation et maturation telles que les SATT) seront aussi concernées au titre du CRA à la fois dans le cadre des achats publics – il est prévu que les obligations du CRA se répercutent aussi dans les commandes publiques – ou encore au travers des multiples obligations contractuelles insérés dans les contrats de transferts de technologies. Ainsi, les services de valorisation de la recherche et les autres opérateurs économiques sont autant de pièces d’un système complet organisé pour surveiller, identifier et gérer les vulnérabilités.

L’exception en matière de logiciel Open Source communautaire

Conçu pour renforcer la sécurité des produits numériques dans leur ensemble, le Cyber Resilience Act couvre tous les produits mis à disposition sur le marché européen dans le cadre d’une activité commerciale. Il prévoit une exception pour les projets non commerciaux et à but non lucratif qui seraient publiés sous une licence libre ou Open Source.

Ainsi, le CRA limite le bénéfice de ce cadre aux logiciels Open Source communautaire, permettant d’accompagner ce type de développement au sein d’une communauté dès lors qu’il n’y a pas un acteur qui en tire seul une exclusivité économique. Il est inversement possible de prévoir une activité commerciale indirecte, le CRA prévoyant un statut d’Intendant de logiciels ouverts (open source steward) désignant une personne morale (autre que le fabricant). Son rôle est de fournir un soutien systématique et continu au développement de produits spécifiques comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts et sont destinés à des activités commerciales. Ceci assure ainsi la viabilité de ces produits (avec des responsabilités réduites).

Dans la recherche constante d’un équilibre coût-bénéfice, l’intérêt des établissements de recherche pour le modèle Open Source va devenir, selon nous, d’autant plus fort qu’il permettra d’accompagner la tendance actuelle en matière de coproduction de communs numériques (logiciels Open Source gouvernés par une communauté d’utilisateurs mainteneurs) et de diminuer la responsabilité et le coût associés à la valorisation économique directe des travaux de recherche.

Conclusion

Les établissements de recherches par le biais des services de valorisation ont un intérêt fort à développer de réelles stratégies de valorisations ouvertes et communautaires. Cette stratégie ne s’appuierait pas sur la seule diffusion des projets sous licences libres, mais bien sur le développement d’une réelle communauté autour du projet. Il s’agirait ainsi de diffuser certains des développements en Open Source, d’ouvrir la gouvernance du projet à une communauté élargie, ou encore de mutualiser les coûts de cybersécurité. Dès lors qu’elle ne remet pas en cause cette dimension communautaire, cette stratégie pourra par ailleurs prévoir une certain nombre de leviers de valorisation supplémentaire (offres de services, contrats partenariaux, etc.) permettant de maintenir, voire de renouveler les sources de financement actuelles des établissements de recherche tout en ouvrant la voie à des convergences et des mutualisations plus fortes entre les équipes de recherche et ces services.

Une telle stratégie permettrait ainsi de réduire les coûts de mise en conformité, d’augmenter la visibilité des projets développer, de bénéficier de la communauté pour la maintenance et la sécurisation des solutions.

Par ailleurs, il s’agit d’un moment charnière pour l’ensemble de l’écosystème numérique français et européen. En effet, le CRA est entré en vigueur le 10 décembre 2024 et les acteurs économiques ont jusqu’au 10 décembre 2027 pour s’adapter à l’ensemble des exigences du texte. C’est donc le moment pour anticiper la mise en place de nouvelles pratiques et se mettre en conformité rapidement.

Si vous vous intéressez par ailleurs aux solutions de gestion de #SBOM et de politique de conformité en matière de Licences Open Source, n’hésitez pas à regarder du côté du projet Open Source communautaire Hermine (hermine-foss.org)