IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La proposition de loi européenne sur la cyber-résilience pourrait avoir des conséquences inattendues pour l'écosystème Python
Selon Deb Nicholson, Directeur exécutif de la Python Software Foundation

Le , par Bruno

28PARTAGES

7  0 
Le 15 septembre 2022, la Commission européenne a publié la proposition de loi européenne sur la cyber-résilience (CRA) nécessaire pour augmenter le niveau de confiance des utilisateurs et l'attractivité des produits de l'UE contenant des éléments numériques tout en fournissant une sécurité juridique. Après avoir examiné les propositions de loi sur la résilience cybernétique et de loi sur la responsabilité du fait des produits, la Python Software Foundation (PSF) a trouvé des problèmes qui mettent en danger la mission de notre organisation et la réputation de la communauté du logiciel libre.

La PSF est une organisation caritative à but non lucratif dont l'objectif est de promouvoir, protéger et faire progresser le langage de programmation Python. Basé aux États-Unis depuis plus de 20 ans, elle sert une communauté mondiale d'étudiants, d'enseignants, d'entrepreneurs, d'universitaires, de scientifiques, d'artistes, de travailleurs du secteur public, d'amateurs et de développeurs de logiciels commerciaux. La PSF ne vend pas de logiciels, mais elle offre aux développeurs une place publique où ils peuvent télécharger du code et en parler, et elle héberge des composants que d'autres entités peuvent inclure dans leurs produits. La Python Software Foundation facilite les discussions techniques pour l'écosystème en général et soutient de nombreuses opportunités éducatives pour la communauté mondiale des développeurs Python.


Des cyberattaques de plus en plus réussies visent des produits matériels et logiciels, ce qui, selon la Commission européenne, entraînera un coût annuel global de la cybercriminalité estimée à 5,5 mille milliards d'euros. Cela est dû principalement, d'une part, à l'absence de sécurité appropriée dans ces produits qui sont souvent mis sur le marché avec des vulnérabilités inhérentes et, d'autre part, au manque de sensibilisation des consommateurs ou des entreprises qui adoptent ces produits en raison d'une insuffisante de transparence des fabricants lorsqu'il s'agit d'exprimer leur niveau de sécurité.

Voici, ci-dessous, les 8 principales choses à savoir sur la loi européenne sur la cyber-résilience :

  1. Suis-je concerné ? Oui, si vous êtes fabricant, importateur ou distributeur de produits connectés (matériel/logiciel) comportant des éléments numériques (par exemple, des capteurs intelligents, des caméras intelligentes, des appareils mobiles, des appareils de réseau, etc.) Tous les secteurs du marché sont concernés de manière horizontale, à l'exception des secteurs où d'autres règlements de l'UE s'appliquent déjà, par exemple dans les domaines de la médecine, de l'aviation civile et des véhicules à moteur. Il convient de noter qu'il peut également s'agir de logiciels non intégrés (logiciels pouvant être mis à disposition sans matériel). Par exemple, les services tels que les applications SaaS ne sont pas dans le champ d'application de ce règlement, à moins qu'ils ne soient utilisés pour traiter le produit à distance, sous la responsabilité du fabricant du produit, et dont l'absence empêcherait le produit de remplir l'une de ses fonctions. Enfin, les logiciels libres et open source fournis en dehors d'une activité commerciale ne devraient pas être couverts par ce règlement ;
  2. Quelles sont mes obligations ? L'un des principaux objectifs de la loi européenne sur la cyber-résilience est de couvrir l'ensemble du cycle de vie des produits numériques. Votre première obligation serait donc de vous assurer qu'une liste d'exigences essentielles de cybersécurité et de règles harmonisées a été prise en compte à tous les stades, y compris la phase de conception, la livraison, l'utilisation réelle du produit, la maintenance, le déclassement et l'élimination. La sécurité dès la conception, la sécurité par défaut, la sécurité de la chaîne d'approvisionnement et la gestion des vulnérabilités seront les principaux domaines à traiter ;
  3. Deuxièmement, vous devez réaliser et documenter une évaluation des risques de sécurité et fournir des conseils aux utilisateurs. Vous devez signaler les vulnérabilités activement exploitées et fournir des mises à jour de sécurité pendant au moins cinq ans. Si vous savez ou avez des raisons de croire que le produit ou les processus mis en place par le fabricant ne sont pas conformes aux exigences essentielles de la loi européenne sur la cyber-résilience, vous devez immédiatement prendre les mesures correctives nécessaires, retirer ou rappeler le produit selon le cas et en informer l'ENISA dans les 24 heures ;
  4. Comment démontrer la conformité ? La plupart des familles de produits numériques appartiennent à une catégorie de risque non critique nécessitant une auto-évaluation de la conformité qui doit être effectuée sous votre responsabilité. D'autres produits considérés comme appartenant à des catégories de risque plus élevées seront qualifiés de critiques (classe I) et pourraient nécessiter des exigences d'assurance supplémentaires à satisfaire en appliquant des normes harmonisées ou les systèmes de certification de cybersécurité de l'UE, tels que l'EUCC ou l'EUCS, sous votre responsabilité ou par l'intermédiaire d'un OEC tiers. D'autres produits hautement critiques (classe II) doivent toujours faire l'objet d'une certification par un tiers. Enfin, les produits certifiés selon les systèmes de certification de cybersécurité de l'UE, tels que l'EUCC développé dans le cadre de la CSA, sont censés satisfaire par défaut aux exigences de la loi sur la cyber-résilience de l'UE et peuvent fournir une présomption de conformité ;
  5. Quels sont les liens avec les autres politiques de l'UE ? La loi européenne sur la cyber-résilience complète la directive existante sur la sécurité des réseaux et des systèmes d'information (NIS2) et la loi européenne sur la cybersécurité (CSA). Il est également basé sur le nouveau cadre législatif (NLF) pour les produits industriels, qui vise à améliorer la surveillance du marché et la qualité des évaluations de conformité. Elle devrait satisfaire aux exigences de la directive relative aux équipements hertziens (RED) en matière de cybersécurité. Cela signifie que les normes de cybersécurité harmonisées liées à la RED (en cours d'élaboration) serviront très probablement de base aux exigences essentielles de la loi européenne sur la cyber-résilience de l'UE ;
  6. Quels sont les coûts et les avantages potentiels ? On estime que les coûts de mise en conformité pour les entreprises seraient compensés par les avantages apportés par un niveau plus élevé de sécurité des produits, par la prévention d'exigences de sécurité divergentes et par l'augmentation de la confiance des utilisateurs et de l'adoption par le marché. Elle renforce également la compétitivité positive et les normes de qualité en uniformisant les règles du jeu. Elle réduirait le nombre d'incidents, les coûts de gestion des incidents et les atteintes à la réputation. Pour l'UE, cela signifie qu'environ 180 à 290 milliards d'euros de coûts consécutifs pourraient être évités. Enfin, le non-respect des exigences essentielles de cybersécurité de l'ARC et de toutes les obligations pertinentes est passible d'amendes pouvant aller jusqu'à 15 000 000 EUR ou, si le contrevenant est une entreprise, jusqu'à 2,5 % de son chiffre d'affaires annuel total de l'exercice précédent, le montant le plus élevé étant retenu ;
  7. Quand sera-t-elle applicable ? La proposition va maintenant être transmise au Parlement européen et au Conseil qui définiront leur propre position avant de se réunir pour les négociations en trilogue au cours des troisième et quatrième trimestres de 2023. Afin que toutes les parties prenantes (fabricants, distributeurs, importateurs, OEC, États membres, ENISA, etc.) puissent s'adapter aux nouvelles exigences, la proposition de règlement sur les agences de notation deviendra applicable 24 mois (au plus tard au 1er trimestre 2026) après son entrée en vigueur, à l'exception de l'obligation de déclaration du fabricant, qui s'appliquera à partir de 12 mois (très probablement au 1er trimestre 2025) après la date d'entrée en vigueur ;
  8. Comment reconnaître un produit conforme ? Je suis sûr que vous êtes tous familiers avec le marquage CE que vous pouvez trouver sur tous les produits circulant dans l'UE. Ce même marquage indiquera la conformité de tous les produits contenant des éléments numériques avec ce règlement. Seules les versions bêta destinées à être testées pourront être délivrées sans ce marquage, à condition qu'elles soient limitées dans le temps à des fins de test. Surtout, les importateurs de produits contenant des éléments numériques doivent s'assurer, en plus du marquage CE, que les procédures d'évaluation appropriées ont été mises en œuvre par le fabricant en fonction de l'évaluation des risques et que le fabricant a créé toute la documentation technique requise.

Il est possible de désigner un représentant autorisé : en effet, en tant que fabricant, vous pouvez mandater un mandataire externe qui peut vous décharger de la gestion de la déclaration de conformité de l'UE et à des fins de surveillance du marché. Enfin, il n'est pas trop tôt pour commencer à planifier en conséquence, adapter votre stratégie de produits numériques et choisir les bons partenaires spécialisés pour ne pas manquer l'opportunité d'accès au marché unique de l'UE.

Bien qu’elle soutient les objectifs déclarés de ces politiques visant à accroître la sécurité et la responsabilité des consommateurs de logiciels européens, la Python Software Foundation dit craindre que des politiques trop larges ne nuisent involontairement aux utilisateurs qu'elles sont censées protéger. « Nous pensons qu'il est important de prendre en compte le rôle que jouent les organisations à but non lucratif neutres vis-à-vis des fournisseurs - en particulier les dépôts de logiciels publics - dans le développement moderne des logiciels. »

Pourquoi la Python Software Foundation s’offusque-t-elle ?

De nombreux éditeurs de logiciels modernes s'appuient sur des logiciels open source provenant de dépôts publics sans en avertir l'auteur, et certainement sans entrer dans une quelconque relation commerciale ou contractuelle avec lui. Si la loi proposée est appliquée telle qu'elle est actuellement rédigée, les auteurs de composants open source pourraient être légalement et financièrement responsables de la manière dont leurs composants sont appliqués dans le produit commercial d'un tiers.

Selon la Python Software Foundation, le texte actuel ne fait aucune différence entre les auteurs indépendants qui n'ont jamais été payés pour la fourniture de logiciels et les géants de la technologie qui vendent des produits en échange de paiements de la part des utilisateurs finaux. « Nous pensons que la responsabilité accrue devrait être soigneusement attribuée à l'entité qui a conclu un accord avec le consommateur. Nous nous joignons à nos collègues européens de la Fondation Eclipse et de NLnet Labs pour exprimer nos inquiétudes sur la manière dont ces politiques pourraient affecter les projets open source mondiaux. »

« Nous faisons beaucoup d'autres choses au service de notre mission caritative », mais il y a deux activités qui pourraient être affectées par la Python Software Foundation :

La Python Software Foundation fourni gratuitement le langage de programmation Python, la bibliothèque standard et l'interpréteur à tous ceux qui souhaitent l'utiliser. Il peut être téléchargé à partir de leur site web, et une version de Python serait téléchargée plus de 300 millions de fois par jour.

« Personne ne nous paie pour des logiciels, que ce soit pour le langage de base ou pour les paquets que vous pouvez télécharger à partir du dépôt que nous maintenons. À première vue, cela pourrait laisser penser qu'il n'y a pas d'argent à gagner avec Python ou les paquets Python. En fait, c'est l'inverse qui est vrai », déclare la Python Software Foundation.

L'hébergement de Python et de logiciels Python tiers dans un environnement ouvert est un bien public

Citation Envoyé par Pythn Software Foundation
Un grand nombre de personnes qui construisent des choses avec Python, analysent des données avec Python ou créent des modèles d'intelligence artificielle avec Python le font dans une entreprise commerciale, une institution universitaire ou une agence gouvernementale qui les paie pour travailler dans ce domaine, et en fait une part non négligeable de l'économie technologique génératrice de profits repose en partie sur Python. Par exemple, de nombreuses applications bien connues, telles que YouTube, Instagram et Spotify, sont toutes construites à l'aide du code Python.

Nous hébergeons de nombreux logiciels utilisés dans des applications commerciales et presque tout le monde - à l'exception de la FSP elle-même - gagne beaucoup d'argent en vendant des produits qui utilisent le code et les bibliothèques Python. Nous hébergeons ces logiciels afin qu'ils puissent être examinés par n'importe qui à la recherche de défauts ou de bogues. Nous hébergeons également ces logiciels afin qu'ils puissent être utilisés pour enseigner aux nouveaux codeurs et à la prochaine génération de pionniers de la technologie. Toute politique qui ne prévoit pas d'exceptions claires pour les dépôts offerts pour le bien public causera un préjudice irréparable à l'accessibilité des individus à la puissance du développement de logiciels modernes.
La Python Software Foundation se dit également préoccupée par le fait que certaines formulations de la politique actuellement proposée « ne sont pas suffisamment claires pour un écosystème comme celui de Python ». Selon la formulation actuelle, la Free Software Foundation (FSP) pourrait potentiellement être financièrement responsable de tout produit qui inclut du code Python, alors qu'elle n'a jamais reçu de gain monétaire de l'un de ces produits. « Le risque de coûts potentiels énormes nous empêcherait en pratique de continuer à fournir Python et PyPI au public européen. »

Il est certain que tout le monde souhaite la sécurité, que les consommateurs aient des garanties raisonnables et que l'industrie du logiciel rende des comptes à ses clients. Toutefois, il est essentiel que ces garanties soient attendues de la bonne entité et que la charge juridique de tout manquement à l'obligation de rendre des comptes soit imputée à la bonne entité.

De nombreux éléments logiciels qui aboutissent dans des logiciels commerciaux ou des produits matériels proviennent de dépôts de logiciels libres accessibles au public, comme PyPI, où aucune compensation n'est versée. Les langages et dépôts open source ne devraient pas être remerciés pour les services publics qu'ils fournissent gratuitement avec le risque permanent d'une action en justice ruineuse et coûteuse. La FSP ne devrait pas être responsable de chaque application ou appareil contenant du code Python.


Selon la PSF, l'attribution de la responsabilité à chaque développeur en amont réduirait la sécurité, au lieu de l'accroître. Laisser les développeurs individuels et/ou manquant de ressources dans une position juridiquement floue lorsqu'ils contribuent à des dépôts publics tels que le Python Package Index aurait presque certainement un effet dissuasif sur eux.

Seules les entités qui vendent suffisamment de logiciels ou de combinaisons logiciel/matériel pour supporter la responsabilité du fait des produits pourraient continuer à opérer au grand jour. Les améliorations pour l'utilisateur et les avantages en matière de sécurité partagée de la collaboration mondiale en matière de logiciels ne seraient accessibles qu'aux développeurs travaillant pour le compte de quelques grandes entreprises.

La croissance et l'innovation seraient étouffées. La sécurité des langages tels que Python dépend de la disponibilité continue d'une entité neutre et non commerciale pouvant servir de centre d'échange pour les nouveaux logiciels, les améliorations et les corrections de bogues qui peuvent être partagées librement par l'ensemble de la communauté logicielle.

Une plus grande clarté est nécessaire

Plutôt que de suivre le code en amont, la PSF préfère que les décideurs politiques suivent l'argent. De nombreux composants ne constituent pas un produit en soi et c'est une erreur de risquer un transfert de la charge financière de l'entité qui compile et vend un produit vers le développeur de logiciels libres qui lui a fourni un bout de code gratuit.

Tous les codeurs devraient œuvrer pour un monde plus sûr pour les utilisateurs finaux, mais aucun développeur ne peut imaginer toutes les façons dont un composant open source individuel sera utilisé et combiné avec d'autres composants pour l'usage des consommateurs. La responsabilité du consommateur ne peut être attribuée tant qu'un produit n'est pas assemblé et mis en vente.

En particulier, nous pensons que deux phrases de la PSF ont une portée trop large. « Une personne physique ou morale, autre que le fabricant, l'importateur ou le distributeur, qui effectue une modification substantielle du produit à l'aide d'éléments numériques est considérée comme un fabricant aux fins du présent règlement » est trop large.

L'open source regorge de personnes qui apportent une modification substantielle à un morceau de code public mais qui n'ont aucune relation contractuelle ou financière avec l'entité ou les entités qui pourraient éventuellement utiliser ce code dans un produit commercial.

Deuxièmement, la phrase « ...en fournissant une plateforme logicielle par laquelle le fabricant monétise d'autres services » n'est pas suffisamment précise. Les dépôts de code public et leurs hôtes peuvent proposer des cours payants ou vendre des billets pour des conférences sur le code open source partagé, tout en n'ayant aucun contrôle sur la façon dont les entités commerciales utilisent ce code dans leurs produits. Le fait de décourager les activités éducatives ou de limiter les correctifs publics de tierces parties ne rendra pas les consommateurs européens de logiciels plus sûrs.

« Les membres de la PSF et les utilisateurs de Python en Europe peuvent écrire à leur député européen pour lui faire part de leurs préoccupations concernant la proposition de loi européenne sur la cyber-résilience avant le 26 avril, alors que des amendements visant à protéger les référentiels publics de logiciels libres sont toujours à l'étude. »

Source : A blog post from Deb Nicholson

Et vous ?

Quel est votre avis sur le sujet ?

Que pensez-vous de la proposition de loi européenne sur la cyber-résilience publiée la Commission européenne ?

« Deb Nicholson dit craindre que des politiques trop larges ne nuisent involontairement aux utilisateurs qu'elles sont censées protéger », partagez-vous cet avis ?

Partagez vous l'idée selon laquelle, « si la loi proposée est appliquée telle qu'elle est actuellement rédigée, les auteurs de composants open source pourraient être légalement et financièrement responsables de la manière dont leurs composants sont appliqués dans le produit commercial d'un tiers » ?

Voir aussi :

La FSF adopte de nouvelles mesures de gouvernance : un accord des membres du conseil d'administration et un code d'éthique

Pourquoi l'utilisation du langage de programmation Python serait en train de « détruire la planète », d'après Mohammed Ayar

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de gerard093
Membre actif https://www.developpez.com
Le 12/05/2023 à 17:06
Si la loi européenne ne prévoit pas de s'adapter au droit des licences actuel, nous aurons un problème certain :
- avec les logiciels open source en général
- avec tous les logiciels qui dénient toute responsabilité par rapport aux impacts de dysfonctionnements.

La plupart des licences (open source ou non) laissent le poids des impacts à la charge des clients et utilisateurs,
et ne s'engagent qu'à remplacer le logiciel lui même. Ainsi jusqu'à aujourd'hui la réparation des impacts de dysfonctionnements était à la charge des services exploitation.
Le logiciel était lui même amélioré (les patchs) mais pas toujours très vite., ou assez vite ...
les vulnérabilités étaient souvent traitées avec un certain retard,
et la sécurité était gérée par les relations avec le SOC (Sécurity Operation Center)

Bref une loi à travailler. Il ne suffit pas d'interdire.
0  0