Principaux objectifs

• Améliorer la sécurité des produits numériques tout au long de leur cycle de vie.
• Imposer des exigences minimales de cybersécurité dès la conception des produits.
• Responsabiliser les fabricants, éditeurs quant aux vulnérabilités de leurs produits.
• Harmoniser la réglementation en Europe pour éviter la fragmentation entre les États membres.

Principales exigences

• Sécurité dès la conception : Obligation d’intégrer des mesures de cybersécurité dès la phase de développement.Mises à jour et correctifs : Obligation de fournir des correctifs de sécurité pendant toute la durée de vie du produit.
• Transparence et documentation : Exigence d’informer les utilisateurs des risques et des mesures de cybersécurité mises en place
• Signalement des vulnérabilités : Obligation pour les fabricants/Editeurs de signaler rapidement toute faille aux autorités compétentes.

Logiciels Open source
Le Cyber Resilience Act (CRA) aura un impact direct sur les logiciels open source, mais avec certaines nuances.
L’objectif est d’éviter d’entraver l’innovation et la collaboration au sein des communautés open source.
Aussi pour les projets open source non commerciaux le CRA n’imposera pas d’obligations aux logiciels open source développés et distribués gratuitement sans activité commerciale associée.
En revanche si un logiciel open source est intégré dans un produit commercial (vendu, utilisé dans un service payant, ou fourni avec un support commercial), alors il sera soumis au CRA.
Dans ce cas :

• les entreprises exploitant le logiciel open source devront garantir sa conformité aux exigences de cybersécurité du CRA,
• les distributeurs et intégrateurs de logiciels open source, dans des produits commerciaux, devront prouver qu’ils respectent les exigences de sécurité, telles que tests de cybersécurité, signalement des vulnérabilités, mise en place de mises à jour régulières

Odoo
Plusieurs obligations :

• Les intégrateurs et partenaires d’Odoo devront s’assurer que leurs implémentations respectent les exigences du CRA (sécurisation des modules, audits de cybersécurité, etc.).
• Les entreprises utilisant Odoo devront vérifier que leur version est à jour et conforme aux nouvelles réglementations en matière de cybersécurité.
• Les développeurs de modules tiers pourraient devoir intégrer des mesures de cybersécurité avant la distribution de leurs applications.

Epilogue
En prévision de l’entrée en vigueur du Cyber Resilience Act (CRA), la Linux Foundation Europe et l’Open Source Security Foundation (OpenSSF) viennent de lancer un vaste projet destiné à accompagner les mainteneurs, les fabricants et l’ensemble des communautés open source. Ce programme vise à clarifier les exigences réglementaires édictées par l’UE, à fournir des outils pour mieux y répondre et, plus globalement, à anticiper les futures législations en matière de cybersécurité, partout dans le monde.