L’opinion
Lors de ma récente visite à Bilbao pour l’événement Open Source Summit Europe, la principale discussion concernait l’Acte sur la résilience en matière de cybersécurité de l’Union européenne (CRA). Tout le monde – et j’insiste sur le fait que c’est tout le monde – en a parlé. Pourquoi? Parce que pratiquement tous ceux qui ont une idée des logiciels open source considèrent que cela étouffe le développement de ces derniers. Comme je l’ai mentionné précédemment, la communauté open source savait que le CRA était mauvais avec un grand B. L’espoir était que le Conseil européen (EC) puisse être persuadé de modifier le CRA afin qu’il ne soit pas aussi pénible pour les développeurs open source. Ils ont échoué. Au lieu de cela, le 13 juillet 2023, l’EC a approuvé un projet de CRA que les développeurs open source trouveront très difficile à supporter. Alors que le projet est actuellement renvoyé d’un organisme à l’autre à Bruxelles, il n’y a aucun signe que les choses s’améliorent pour les développeurs open source. Pour être juste, le CRA a de bonnes intentions. Son objectif est de définir des critères de cybersécurité stricts pour les appareils et les applications vendus dans l’UE. Tout éditeur de logiciels introduisant des produits numériques sur le marché européen doit traiter les faiblesses de sécurité identifiées, mettre à jour les logiciels, inspecter et valider les appareils et les programmes logiciels. Les créateurs de logiciels, et non les utilisateurs finaux, sont responsables de la sécurisation des logiciels. Après tout, les programmeurs sont les mieux placés pour identifier et corriger les faiblesses de sécurité et publier des correctifs.
