Un nouveau règlement et une révision de directive européens sont en cours. Il ne reste plus que l'adoption à l'identique par les deux colégislateurs UE du compromis du trilogue (équivalent d'une Commission Mixe Paritaire française). ÉDIT DU 29/03/024 : il ne reste plus que le vote du Conseil. FIN DE L'ÉDIT.
Cyber Resilience Act (CRA)
Suivi officiel. Lire aussi.
-
Exigences minimales de sécurité pour tout appareil connecté à Internet (pas que l'IoT / les objets connectés). Si ça peut éviter les botnet d'objets connectés… ;
-
Approche par niveaux (comme le DSA, le DMA, etc.) :
-
En fonction de la criticité du produit (impact sur la sécurité et/ou sur un grand nombre de produits ou d'utilisateurs). Genre verrous, caméras, domotique, antivirus, pare-feu, gestionnaires de mots de passe, VPN, navigateurs web, etc. sont des composants critiques (classe 1), soumis à des exigences supplémentaires (audit tiers pour le marquage CE au lieu de l'auto-évaluation applicable aux composants non critiques, par ex.) ;
-
En fonction de la taille de l'entité :
- Logiciels sans but lucratif développés collaborativement sans entité de coordination : exclusion du règlement. A priori, seule l'absence de retour financier exempte d'appliquer le CRA. Quid des dons, du dév payé par son employeur pour coder son logiciel / un logiciel mutualisé, etc. ? ;
- Entité non-lucrative (ex. : une fondation qui coordonne le dév d'un logiciel) : configuration sécurisée par défaut ; documentation (pour les utilisateurs, a priori, mais ce n'est pas clair) pendant max(durée de vie ; 10 ans) ; processus de traitement des failles de sécu ; proposer gratos des correctifs de sécu durant min(durée de vie ; 5 ans) (une màj doit rester dispo 10 ans…) ; notification par niveau (24 h, 72 h ou 1 mois en fonction d'une exploitation active et de la gravité) des failles de sécu aux autorités UE (a priori nationale, l'ANSSI en France, qui transmettra à l'AESRI si risque systémique) ;
- Entité commerciale : exigences d'avant + spécifications techniques, marquage CE, et amendes possibles. La Commission estime à 30 % les surcoûts de développement induits par cette paperasse.
- Comme toujours, des mesurettes de soutien aux TPE : programmes de sensibilisation, de formation, de soutien aux procédures d'évaluation de la conformité, etc.
- Les contributions individuelles à des projets open source ne sont pas considérées comme une activité productive. Je l'ai lu à un seul endroit, donc ça sent l'interprétation erronée, mais c'est raccord avec l'idée que le travail domestique n'est pas du travail, que ça ne vaut rien… L'image renvoyée est désastreuse… ;
- J'identifie des cas où ça bave. Exemples : Android est fourni gratos, puis utilisé par des fabricants d'ordiphones qui ajoutent une surcouche. Qui est responsable de quoi ? Qui documente ? Qui signale les failles aux autorités UE (celles d'Android et celles de la surcouche) ? Etc. ; OpenSSL a un fort impact sur la sécu et sur un grand nombre de produits, mais il n'est pas coordonné par une fondation. On fait quoi ? Ce règlement ne manque-t-il pas son objectif ?
Product Liability Directive (PLD)
Suivi officiel.
- Révision de la directive EEC 85/374 sur la responsabilité pour les produits défectueux afin de l'adapter au numérique et à l'économie circulaire (point à surveiller, ça craint) ;
- Les logiciels et les fichiers informatiques (musique, etc. je pense) y sont soumis. Les logiciels open source développés ou fourni en dehors d'une activité commerciale sont exclus, mais la responsabilité s'applique si le logiciel est fourni en échange d'argent ou de données persos utilisées pour autre chose que l'amélioration de la sécu ou de la compatibilité (ce critère est pertinent, je trouve, pourquoi n'est-il pas aussi dans le CRA ?). Mais, là encore, quid des dons & co ? Qu'est-ce qu'une activité commerciale ?
- Pour apprécier la défectuosité d'un produit, prendre en compte : la capacité d'apprendre ou d'acquérir de nouvelles fonctions ou savoir (IA spotted) ; l'absence de mise à jour de sécurité (sous le contrôle du fabricant) et absence de traitement des failles de sécu ;
- Les dommages englobent les dommages psychologiques (prouvés par un expert médical au court d'un procès) et la destruction ou la corruption irréversible de données (> 1 000 € ou professionnelles, a priori, mais ce n'est pas encore tranché).