Make this article seo compatible,Let there be subheadings for the article, be in french, create at least 700 words
L’approche des décideurs politiques de l’UE à l’égard des logiciels open source et la période de soutien prévue dans le prochain Cyber Resilience Act prennent forme.
Le Cyber Resilience Act est une proposition législative introduisant des exigences de sécurité pour les appareils connectés. Le projet de loi constitue la dernière étape du processus législatif, au cours duquel le Parlement européen, le Conseil et la Commission se réunissent en « trilogues » pour élaborer le texte final.
Selon les textes de compromis consultés par Euractiv, les décideurs politiques européens s’approchent d’un compromis sur deux parties essentielles du texte : la manière de réglementer les logiciels open source et la définition d’une période de support pendant laquelle les fabricants garantiront les mises à jour de sécurité.
Si elles sont confirmées, ces parties du texte devraient être approuvées au niveau politique lors de la prochaine session de trilogue le 8 novembre.
Logiciels open source
L’un des principaux points de discussion du projet de loi concerne les logiciels open source, un moteur essentiel de l’innovation dans le domaine numérique. Les négociateurs de l’UE discutent d’une approche basée sur un compromis initialement diffusé le 20 octobre.
Même si les logiciels open source se caractérisent par le fait qu’ils sont développés en collaboration, les titulaires de droits disposent de différentes manières pour exercer leur contrôle sur ce qui est accepté dans le code final et sur la manière dont il est commercialisé.
Ces deux facteurs sont essentiels pour déterminer dans quelle mesure le logiciel open source peut répondre aux exigences de la prochaine loi sur la cybersécurité. C’est pourquoi les décideurs politiques de l’UE ont conçu une approche à plusieurs niveaux assortie d’obligations proportionnées.
Une entité commerciale qui développe et contrôle seule des logiciels open source intégrés dans ses produits doit se conformer à toutes les obligations de la Cyber Resilience Act, y compris les exigences essentielles, la documentation technique, le marquage de conformité et la surveillance du marché.
Un scénario plus complexe concerne les situations dans lesquelles le logiciel est développé en collaboration sous l’égide d’une organisation de soutien telle que des fondations de logiciels open source ou des « stewards ». L’idée ici est d’introduire un régime allégé avec des obligations spécifiques.
Les exigences adaptées envisagées pour les gestionnaires de logiciels open source incluent l’activation et la promotion d’un processus de gestion des vulnérabilités, y compris le déploiement sans délai de correctifs de sécurité et la création de rapports sur les vulnérabilités activement exploitées.
Dans le même temps, les gestionnaires de logiciels open source ne seront pas soumis à des amendes car l’attribution de responsabilité pourrait s’avérer particulièrement complexe, et ils ne seront pas tenus d’exhiber le marquage CE pour prouver leur conformité aux règles de l’UE.
Enfin, les logiciels développés en collaboration sans qu’une seule entité décide de ce qui est accepté dans le code du projet et mis à disposition sur le marché en dehors d’une activité commerciale sont exclus du champ d’application du règlement.
Par ailleurs, le texte précise que les contributions individuelles des développeurs aux projets open source ne sont pas considérées comme une « activité de fabrication », tandis que les entités hébergeant des logiciels open source dans leurs référentiels ouverts ne sont pas considérées comme des distributeurs si les logiciels sont fournis sous licence libre.
Le texte autorise la Commission européenne à adopter une législation secondaire pour établir des programmes d’attestation de sécurité comme moyen volontaire permettant aux développeurs et aux utilisateurs de logiciels open source d’évaluer la conformité avec la législation européenne et d’aider les fabricants à intégrer leurs composants open source dans leurs produits.
Période d’assistance
Tout au long de la période de support, les fabricants doivent assurer le traitement des vulnérabilités, notamment en déployant les correctifs de sécurité dans les meilleurs délais. La proposition initiale indiquait que la période de soutien aurait dû durer pendant la durée de vie prévue du produit ou cinq ans, la période la plus courte étant retenue.
Le Parlement et le Conseil de l’UE ont supprimé ce plafond de cinq ans, donnant ainsi aux fabricants plus de latitude pour qu’ils puissent être compétitifs sur cet aspect. Un texte de compromis daté du 24 octobre, consulté par Euractiv, a réintroduit le délai de cinq ans, mais sous une forme différente.
Le texte, qui, selon Euractiv, est à peu près stable, stipule que « à moins que le produit comportant des éléments numériques ne soit utilisé pendant moins de cinq ans, la période de support ne sera pas inférieure à cinq ans ».
Pour déterminer la période de support, les fabricants doivent tenir compte de la durée d’utilisation prévue du produit, des attentes raisonnables des utilisateurs, de la nature du produit, de son objectif et de la période de support pour des produits similaires présents sur le marché.
La justification de l’établissement de la période de support doit être incluse dans la documentation technique. La période de support est à afficher sur l’emballage du produit.
Selon le compromis, chaque mise à jour de sécurité devrait rester disponible pendant au moins 10 ans. De même, la documentation technique doit rester disponible pendant 10 ans ou pendant la période de support produit, selon la période la plus longue.
[Edited by Nathalie Weatherald]