Publication de la version 2.0 du guide « Être prêt pour intégrer le Cyber Resilience Act dans sa pratique Open Source »

Publication d’une nouvelle version du guide « Être prêt pour intégrer le Cyber Resilience Act dans sa pratique Open Source », venant enrichir et préciser les recommandations à destination des acteurs de l’Open Source

Un cadre réglementaire européen exigeant

Dans un contexte où l’Union européenne fait face à une vulnérabilité accrue face aux risques de cyberattaques, la Commission européenne a présenté en septembre 2022 le Cyber Resilience Act (CRA). Ce règlement vise à renforcer la cybersécurité — ou cyberrésilience — des produits numériques mis sur le marché européen. Adopté en 2024, le CRA impose désormais des obligations strictes aux acteurs économiques concernés, avec une exigence claire : intégrer la sécurité numérique à chaque étape du cycle de vie du produit, de sa conception à sa maintenance, en passant par sa mise sur le marché.

Un guide pour accompagner les acteurs de l’Open Source

Afin de soutenir cette transition réglementaire, le CNLL a lancé dès 2024 la rédaction d’un guide de mise en application du CRA, en partenariat avec le cabinet inno³. L’ambition de ce document est double : vulgariser les enjeux du CRA et fournir des directives concrètes permettant aux organisations de mieux anticiper leur mise en conformité, tout en tenant compte des spécificités des modèles Open Source. La version initiale du guide, publiée en décembre 2024, constituait une première étape de vulgarisation.

Une version 2.0 enrichie par la veille et le terrain

Cette nouvelle version enrichie repose sur un important travail de veille, intégrant à la fois la doctrine théorique et pratique autour du règlement, ainsi que les éléments et clarifications partagés par la Commission européenne. Elle est également nourrie par les échanges au sein de la liste de diffusion mission-cra-cnll@framagroupes.org.

Par ailleurs, une enquête menée par inno³ et le CNLL auprès des entreprises de l’écosystème Open Source a permis d’évaluer leur niveau de préparation face au CRA, ainsi que leurs attentes concrètes vis-à-vis de cette réglementation. Les enseignements issus de ce sondage ont directement contribué à l’enrichissement du guide, notamment en apportant des réponses à certains questionnements fréquemment rencontrés sur le terrain.

La publication de cette version 2.0 a eu lieu lors d’Open Source Experience 2025.

Prochaines étapes : des cas concrets en 2026

Les travaux autour du guide se poursuivront en 2026 en se concentrant sur l’étude de plusieurs cas concrets impliquant des acteurs spécifiques de l’Open Source. L’objectif sera de formaliser des modèles de conformité adaptés aux différentes réalités et usages, afin de proposer des outils encore plus opérationnels.

Pour les personnes intéressées, l’effort de veille et d’analyse se poursuit au sein du groupe de travail du CNLL dédié au Cyber Resilience Act. Les organisations souhaitant contribuer activement à l’élaboration de ces modèles sont invitées à se rapprocher du CNLL ou d’inno³.

Le guide et les modalités de participation sont disponibles sur les sites inno3.fr et cnll.fr.