La proposition de loi européenne sur la cyber-résilience pourrait avoir des conséquences inattendues pour l'écosystème Python

Selon Deb Nicholson, Directeur exécutif de la Python Software Foundation

La proposition de loi européenne sur la cyber-résilience pourrait avoir des conséquences inattendues pour l'écosystème Python,
selon Deb Nicholson, Directeur exécutif de la Python Software Foundation

Le 15 septembre 2022, la Commission européenne a publié la proposition de loi européenne sur la cyber-résilience (CRA) nécessaire pour augmenter le niveau de confiance des utilisateurs et l'attractivité des produits de l'UE contenant des éléments numériques tout en fournissant une sécurité juridique. Après avoir examiné les propositions de loi sur la résilience cybernétique et de loi sur la responsabilité du fait des produits, la Python Software Foundation (PSF) a trouvé des problèmes qui mettent en danger la mission de notre organisation et la réputation de la communauté du logiciel libre.

La PSF est une organisation caritative à but non lucratif dont l'objectif est de promouvoir, protéger et faire progresser le langage de programmation Python. Basé aux États-Unis depuis plus de 20 ans, elle sert une communauté mondiale d'étudiants, d'enseignants, d'entrepreneurs, d'universitaires, de scientifiques, d'artistes, de travailleurs du secteur public, d'amateurs et de développeurs de logiciels commerciaux. La PSF ne vend pas de logiciels, mais elle offre aux développeurs une place publique où ils peuvent télécharger du code et en parler, et elle héberge des composants que d'autres entités peuvent inclure dans leurs produits. La Python Software Foundation facilite les discussions techniques pour l'écosystème en général et soutient de nombreuses opportunités éducatives pour la communauté mondiale des développeurs Python.


Des cyberattaques de plus en plus réussies visent des produits matériels et logiciels, ce qui, selon la Commission européenne, entraînera un coût annuel global de la cybercriminalité estimée à 5,5 mille milliards d'euros. Cela est dû principalement, d'une part, à l'absence de sécurité appropriée dans ces produits qui sont souvent mis sur le marché avec des vulnérabilités inhérentes et, d'autre part, au manque de sensibilisation des consommateurs ou des entreprises qui adoptent ces produits en raison d'une insuffisante de transparence des fabricants lorsqu'il s'agit d'exprimer leur niveau de sécurité.

Voici, ci-dessous, les 8 principales choses à savoir sur la loi européenne sur la cyber-résilience :

1. Suis-je concerné ? Oui, si vous êtes fabricant, importateur ou distributeur de produits connectés (matériel/logiciel) comportant des éléments numériques (par exemple, des capteurs intelligents, des caméras intelligentes, des appareils mobiles, des appareils de réseau, etc.) Tous les secteurs du marché sont concernés de manière horizontale, à l'exception des secteurs où d'autres règlements de l'UE s'appliquent déjà, par exemple dans les domaines de la médecine, de l'aviation civile et des véhicules à moteur. Il convient de noter qu'il peut également s'agir de logiciels non intégrés (logiciels pouvant être mis à disposition sans matériel). Par exemple, les services tels que les applications SaaS ne sont pas dans le champ d'application de ce règlement, à moins qu'ils ne soient utilisés pour traiter le produit à distance, sous la responsabilité du fabricant du produit, et dont l'absence empêcherait le produit de remplir l'une de ses fonctions. Enfin, les logiciels libres et open source fournis en dehors d'une activité commerciale ne devraient pas être couverts par ce règlement ;
2. Quelles sont mes obligations ? L'un des principaux objectifs de la loi européenne sur la cyber-résilience est de couvrir l'ensemble du cycle de vie des produits numériques. Votre première obligation serait donc de vous assurer qu'une liste d'exigences essentielles de cybersécurité et de règles harmonisées a été prise en compte à tous les stades, y compris la phase de conception, la livraison, l'utilisation réelle du produit, la maintenance, le déclassement et l'élimination. La sécurité dès la conception, la sécurité par défaut, la sécurité de la chaîne d'approvisionnement et la gestion des vulnérabilités seront les principaux domaines à traiter ;
3. Deuxièmement, vous devez réaliser et documenter une évaluation des risques de sécurité et fournir des conseils aux utilisateurs. Vous devez signaler les vulnérabilités activement exploitées et fournir des mises à jour de sécurité pendant au moins cinq ans. Si vous savez ou avez des raisons de croire que le produit ou les processus mis en place par le fabricant ne sont pas conformes aux exigences essentielles de la loi européenne sur la cyber-résilience, vous devez immédiatement prendre les mesures correctives nécessaires, retirer ou rappeler le produit selon le cas et en informer l'ENISA dans les 24 heures ;
4. Comment démontrer la conformité ? La plupart des familles de produits numériques appartiennent à une catégorie de risque non critique nécessitant une auto-évaluation de la conformité qui doit être effectuée sous votre responsabilité. D'autres produits considérés comme appartenant à des catégories de risque plus élevées seront qualifiés de critiques (classe I) et pourraient nécessiter des exigences d'assurance supplémentaires à satisfaire en appliquant des normes harmonisées ou les systèmes de certification de cybersécurité de l'UE, tels que l'EUCC ou l'EUCS, sous votre responsabilité ou par l'intermédiaire d'un OEC tiers. D'autres produits hautement critiques (classe II) doivent toujours faire l'objet d'une certification par un tiers. Enfin, les produits certifiés selon les systèmes de certification de cybersécurité de l'UE, tels que l'EUCC développé dans le cadre de la CSA, sont censés satisfaire par défaut aux exigences de la loi sur la cyber-résilience de l'UE et peuvent fournir une présomption de conformité ;
5. Quels sont les liens avec les autres politiques de l'UE ? La loi européenne sur la cyber-résilience complète la directive existante sur la sécurité des réseaux et des systèmes d'information (NIS2) et la loi européenne sur la cybersécurité (CSA). Il est également basé sur le nouveau cadre législatif (NLF) pour les produits industriels, qui vise à améliorer la surveillance du marché et la qualité des évaluations de conformité. Elle devrait satisfaire aux exigences de la directive relative aux équipements hertziens (RED) en matière de cybersécurité. Cela signifie que les normes de cybersécurité harmonisées liées à la RED (en cours d'élaboration) serviront très probablement de base aux exigences essentielles de la loi européenne sur la cyber-résilience de l'UE ;
6. Quels sont les coûts et les avantages potentiels ? On estime que les coûts de mise en conformité pour les entreprises seraient compensés par les avantages apportés par un niveau plus élevé de sécurité des produits, par la prévention d'exigences de sécurité divergentes et par l'augmentation de la confiance des utilisateurs et de l'adoption par le marché. Elle renforce également la compétitivité positive et les normes de qualité en uniformisant les règles du jeu. Elle réduirait le nombre d'incidents, les coûts de gestion des incidents et les atteintes à la réputation. Pour l'UE, cela signifie qu'environ 180 à 290 milliards d'euros de coûts consécutifs pourraient être évités. Enfin, le non-respect des exigences essentielles de cybersécurité de l'ARC et de toutes les obligations pertinentes est passible d'amendes pouvant aller jusqu'à 15 000 000 EUR ou, si le contrevenant est une entreprise, jusqu'à 2,5 % de son chiffre d'affaires annuel total de l'exercice précédent, le montant le plus élevé étant retenu ;
7. Quand sera-t-elle applicable ? La proposition va maintenant être transmise au Parlement européen et au Conseil qui définiront leur propre position avant de se réunir pour les négociations en trilogue au cours des troisième et quatrième trimestres de 2023. Afin que toutes les parties prenantes (fabricants, distributeurs, importateurs, OEC, États membres, ENISA, etc.) puissent s'adapter aux nouvelles exigences, la proposition de règlement sur les agences de notation deviendra applicable 24 mois (au plus tard au 1er trimestre 2026) après son entrée en vigueur, à l'exception de l'obligation de déclaration du fabricant, qui s'appliquera à partir de 12 mois (très probablement au 1er trimestre 2025) après la date d'entrée en vigueur ;
8. Comment reconnaître un produit conforme ? Je suis sûr que vous êtes tous familiers avec le marquage CE que vous pouvez trouver sur tous les produits circulant dans l'UE. Ce même marquage indiquera la conformité de tous les produits contenant des éléments numériques avec ce règlement. Seules les versions bêta destinées à être testées pourront être délivrées sans ce marquage, à condition qu'elles soient limitées dans le temps à des fins de test. Surtout, les importateurs de produits contenant des éléments numériques doivent s'assurer, en plus du marquage CE, que les procédures d'évaluation appropriées ont été mises en œuvre par le fabricant en fonction de l'évaluation des risques et que le fabricant a créé toute la documentation technique requise.

Il est possible de désigner un représentant autorisé : en effet, en tant que fabricant, vous pouvez mandater un mandataire externe qui peut vous décharger de la gestion de la déclaration de conformité de l'UE et à des fins de surveillance du marché. Enfin, il n'est pas trop tôt pour commencer à planifier en conséquence, adapter votre stratégie de produits numériques et choisir les bons partenaires spécialisés pour ne pas manquer l'opportunité d'accès au marché unique de l'UE.

Bien qu’elle soutient les objectifs déclarés de ces politiques visant à accroître la sécurité et la responsabilité des consommateurs de logiciels européens, la Python Software Foundation dit craindre que des politiques trop larges ne nuisent involontairement aux utilisateurs qu'elles sont censées protéger. « Nous pensons qu'il est important de prendre en compte le rôle que jouent les organisations à but non lucratif neutres vis-à-vis des fournisseurs - en particulier les dépôts de logiciels publics - dans le développement moderne des logiciels. »

Pourquoi la Python Software Foundation s’offusque-t-elle ?

De nombreux éditeurs de logiciels modernes s'appuient sur des logiciels open source provenant de dépôts publics sans en avertir l'auteur, et certainement sans entrer dans une quelconque relation commerciale ou contractuelle avec lui. Si la loi proposée est appliquée telle qu'elle est actuellement rédigée, les auteurs de composants open source pourraient être légalement et financièrement responsables de la manière dont leurs composants sont appliqués dans le produit commercial d'un tiers.

Selon la Python Software Foundation, le texte actuel ne fait aucune différence entre les auteurs indépendants qui n'ont jamais été payés pour la fourniture de logiciels et les géants de la technologie qui vendent des produits en échange de paiements de la part des utilisateurs finaux. « Nous pensons que la responsabilité accrue devrait être soigneusement attribuée à l'entité qui a conclu un accord avec le consommateur. Nous nous joignons à nos collègues européens de la Fondation Eclipse et de NLnet Labs pour exprimer nos inquiétudes sur la manière dont ces politiques pourraient affecter les projets open source mondiaux. »

« Nous faisons beaucoup d'autres choses au service de notre mission caritative », mais il y a deux activités qui pourraient être affectées par la Python Software Foundation :

La Python Software Foundation fourni gratuitement le langage de programmation Python, la bibliothèque standard et l'interpréteur à tous ceux qui souhaitent l'utiliser. Il peut être téléchargé à partir de leur site web, et une version de Python serait téléchargée plus de 300 millions de fois par jour.

« Personne ne nous paie pour des logiciels, que ce soit pour le langage de base ou pour les paquets que vous pouvez télécharger à partir du dépôt que nous maintenons. À première vue, cela pourrait laisser penser qu'il n'y a pas d'argent à gagner avec Python ou les paquets Python. En fait, c'est l'inverse qui est vrai », déclare la Python Software Foundation.

L'hébergement de Python et de logiciels Python tiers dans un environnement ouvert est un bien public

La Python Software Foundation se dit également préoccupée par le fait que certaines formulations de la politique actuellement proposée « ne sont pas suffisamment claires pour un écosystème comme celui de Python ». Selon la formulation actuelle, la Free Software Foundation (FSP) pourrait potentiellement être financièrement responsable de tout produit qui inclut du code Python, alors qu'elle n'a...