‘Peut-on sauver le logiciel libre de la directive européenne sur la résilience numérique?’

Lors de mon récent séjour à Bilbao pour l’Open Source Summit Europe, la principale question qui se posait était celle de l’acte européen sur la résilience en matière de cybersécurité (CRA). Tout le monde – et j’insiste sur ce point – en parlait. Pourquoi ? Tout simplement parce que pratiquement tous ceux qui ont un minimum de connaissances en matière de logiciel libre considèrent que cela étrangle son développement. Comme je l’ai déjà mentionné, la communauté du logiciel libre savait que le CRA était une mauvaise nouvelle avec un grand B. L’espoir était que le Conseil européen pourrait être convaincu de modifier le CRA de manière à ce qu’il ne soit pas si contraignant pour les développeurs de logiciels libres. Ils ont échoué. Au lieu de cela, le 13 juillet 2023, le CE a approuvé un projet de CRA que les développeurs de logiciels libres auront bien du mal à accepter. Si le projet est actuellement renvoyé entre les différentes agences de Bruxelles, il n’y a aucun signe que les choses s’améliorent pour les développeurs de logiciels libres. Il faut bien reconnaître que le CRA a de bonnes intentions. Son objectif est de définir des critères de cybersécurité stricts pour les appareils et les applications vendus dans l’UE. Tout éditeur de logiciel introduisant des produits numériques sur le marché européen doit s’attaquer aux failles de sécurité identifiées, déployer des mises à jour de logiciels et inspecter et valider les appareils et les programmes logiciels. Ce sont les créateurs de logiciels, et non les utilisateurs finaux, qui sont responsables de la sécurisation du logiciel. Après tout, ce sont les programmeurs qui sont les mieux à même d’identifier et de corriger les faiblesses de sécurité et de publier des correctifs.