La réglementation européenne sur la sécurité de l'IoT inquiète la communauté open source
Présenté l'an passé, le Cyber Resilence Act européen prévoit une série d’obligations pour les objets connectées. Les éditeurs de logiciels libres redoutent un “effet dissuasif” sur le secteur.
Le projet de Cyber Resilence Act européen va avoir un “effet dissuasif” sur le développement des logiciels open source. Tel est l’avertissement lancé lundi 17 avril par plusieurs organisations et acteurs du secteur, dans une lettre ouverte adressée aux eurodéputés et aux représentants du Conseil de l’Europe.
Présenté en septembre 2022 par la Commission européenne, ce projet de règlement prévoit de mettre en place de nouvelles normes de sécurité pour les objets connectés vendus sur le continent. Celles-ci s’appliqueront aussi bien aux fabricants de ces produits, qu’aux éditeurs des logiciels intégrés. Le texte doit désormais faire l’objet de discussions avec le Parlement et le Conseil européen pour aboutir à un compromis.
Certification des produits
Les signataires de la lettre ouverte, dont font partie les fondations Linux et Eclipse, espèrent désormais peser sur ce processus. “Nous vous exhortons à consulter la communauté open source”, écrivent-ils à l’intention des élus européens, rappelant que les logiciels libres représentent plus de 70% des logiciels qui seront concernés par la future réglementation.
Le texte prévoit toute une série d’obligations pour s’assurer de la sécurité des données. Chaque appareil devra désormais être certifié, tout comme les logiciels qu’il embarque. Pour 90% des produits, les fabricants pourront les autoévaluer. L’intervention d’un tiers sera en revanche obligatoire pour les appareils jugés critiques, comme les routeurs ou les systèmes d'exploitation.
Le non-respect des normes de sécurité pourra engendrer une amende allant jusqu'à 15 millions d'euros ou 2,5% du chiffre d'affaires annuel mondial. Les autorités nationales auront également la possibilité d’interdire la commercialisation d’un appareil sur le sol européen.
Exemption réclamée pour l'open source
Dans sa première mouture, le projet prévoit que les logiciels libres développés ou fournis “en dehors du cadre d'une activité commerciale” ne seront pas concernés par ces nouvelles obligations. Autrement dit: leurs éditeurs ne pourront pas être inquiétés si une faille de sécurité est détectée dans un object connecté.
Depuis, plusieurs voix dans la communauté open source se sont élevées, estimant que cette formulation n’était pas suffisamment précise. Certains services fournis par les éditeurs, comme l’assistance, pourraient en effet être considérés comme des activités commerciales. Ces personnalités réclament donc une exemption claire pour les logiciels libres, faisant peser la responsabilité sur les fabricants qui les utilisent dans leurs appareils.
SUR LE MÊME SUJET
La réglementation européenne sur la sécurité de l'IoT inquiète la communauté open source
Tous les champs sont obligatoires
0Commentaire
Réagir