Publication

Être prêt pour intégrer le Cyber Resilience Act dans sa pratique Open Source

5 décembre 2024

Droit

Logiciel (Open Source)

Logiciel libre

Publication

En 2024, le CNLL (Conseil National du Logiciel Libre) et inno³ ont travaillé ensemble sur la rédaction d’un guide avec pour objet d’accompagner les acteurs de l’Open Source dans la compréhension du CyberResilient Act (règlement sur la cyberrésilience). Ce guide est disponible sous licence libre favorisant ainsi son amélioration et sa dissémination.

Contexte et objectifs de l’étude

Dans un contexte où l’Union Européenne fait face à une vulnérabilité accrue face aux risques informatique, la Commission Européenne a présenté en septembre 2022 le Cyber Resilience Act (ou CRA) dont l’objectif est de renforcer la cybersécurité et cyberésilience des produits numériques circulant au sein de l’UE. Adopté en 2024, le CRA impose depuis des obligations strictes aux acteurs économiques concernés ainsi qu’une prise en compte de la sécurité numérique à chaque étape du cycle de vie du produit, de sa conception en passant par sa mise sur le marché et en allant jusqu’à sa maintenance.

Pour soutenir cette transition, le CNLL lance un guide de mise en application du CRA en partenariat avec le cabinet inno³. Ce guide a pour objectif de vulgariser les enjeux du CRA et de fournir des directives pratiques pour aider chaque organisation à anticiper et assurer sa conformité.

Afin de faciliter le travail de concertation ainsi que de sensibilisation, le document alterne du texte, des tableaux synthétiques et visualisations permettant une approche didactique du CRA.

Mise en application illustrée du CRA

L’ensemble de ces éléments sont résumés au travers de plusieurs types de visualisations :

  • Un logigramme permettant d’accompagner les acteurs de l’Open Source de se positionner sur les différents opérateurs économiques présentés dans le CRA.
  • Une visualisation présentant les différents rôles ainsi que les responsabilités d’opérateurs en fonction des différentes étapes de la mise sur le marché un produit.
  • Une visualisation présentant les différents échanges entre les opérateurs économiques en situation de gestion des vulnérabilités en fonction des différentes étapes de la mise sur le marché un produit.
  • Une visualisation présentant les différentes requêtes entre les autorités de régulation et les opérateurs économiques en fonction des différentes étapes de la mise sur le marché un produit.
Logigramme relatif à la qualification des opérateurs économiques au titre du CRA.
Représentation des différents rôles et responsabilités des opérateurs, en amont et en aval de la mise sur le marché d’une solution numérique.

Présentation du groupe de travail

Le guide a été rédigé de manière itérative grâce à la contribution active d’un grand nombre d’acteurs actifs au sein de la communauté Open Source.

  • L’équipe éditoriale et de coordination est composée de Stéfane Fermigier (Coprésident CNLL) ainsi que de Catherine Nuel (Chargée de mission, CNLL).
  • Les rédacteurs principaux du guide sont Benjamin Jean (CEO, inno³), Camille Moulin (Consultant Sénior, inno³) et Arthur Hamonic (Doctorant et consultant junior, inno³). Les illustrations et visualisation ont été produites par Clémence Lascombes (Chargée de missions, inno³).
  • Un comité de suivi a participé aux différents échanges, permettant d’alimenter le travail sur le fond et la forme du guide.

Nous remercions l’ensemble des personnes ayant participé activement à la rédaction de ce guide.

Pour aller plus loin : contribuez au guide !

Le présent guide ainsi que les diverses illustrations qui le parcourent sont mis à disposition sous licence Creative Commons By-SA 4.0. Cette licence permet une dissémination optimale et facilitera le travail de mise à jour.

Le groupe de travail reste ouvert afin, dans un second temps, d’enrichir le guide de nouvelles spécificités ainsi que de retours d’expériences issus des membres du CNLL ainsi que d’autres utilisateurs ou encore d’administrations publiques.

Si vous souhaitez plus d’informations sur le guide ou si vous souhaitez rejoindre le groupe de travail, vous pouvez nous envoyer un mail à hello@inno3.fr et contact@cnll.fr

A propos du CNLL
Le CNLL, l’Union des entreprises du logiciel libre et du numérique ouvert, est, depuis 2010, l’organisation représentative en France des entreprises de la filière Open Source. Sa mission est de rassembler les entreprises du numérique libre (ENL) dans un esprit de communauté et autour de valeurs communes, dans le but de représenter et défendre la filière professionnelle du logiciel libre et du numérique ouvert en France. Dans le cadre de ses missions, il a confié au cabinet inno³ le soin de rédiger un guide de sensibilisation au CRA pour les acteurs de l’Open Source.

A propos d’inno³
inno³ est un cabinet de conseil indépendant spécialiste des modèles ouverts agissant à la croisée des acteurs privés (industriels comme économie sociale et solidaire), publics (administrations et collectivités) et communautaires. Le cabinet s’appuie sur une équipe pluridisciplinaire qui s’implique activement et mobilise ses compétences pointues en faveur d’une plus grande prise en compte des modèles ouverts et collaboratifs. Inno³ est membre fondateur de l’initiative OpenSource-Experts destinée à permettre aux grands compte d’accéder à l’expertise Open Source disséminée chez de nombreux acteurs spécialisés.

Lien vers le guide

Ressources associées

Licence

CC-by-SA 4.0

Contributeurs et contributrices

Arthur HAMONIC

Benjamin JEAN

Clémence LASCOMBES

CamilleM

Camille MOULIN