MtoM Mag - Le journal de l'MtoM.

La Fondation Eclipse, l’une des plus grandes fondations de logiciels open source au monde, a annoncé aujourd’hui le lancement du projet OCCTET, une initiative financée par la Commission Européenne visant à aider les petites et moyennes entreprises (PME) et les développeurs open source à se conformer au règlement sur la cyber-résilience (CRA).

Le projet OCCTET (en anglais : The Open Source Compliance : Comprehensive Techniques and Essential Tools) réunit un consortium de leaders du secteur, d’experts en cybersécurité et de défenseurs de l’open source pour créer des outils open source gratuits qui rendent la conformité réglementaire plus accessible, transparente et rentable.

« La conformité avec la CRA est un processus pluriannuel que les organisations doivent prioriser dès maintenant », a déclaré Mike Milinkovich, directeur exécutif de la Fondation Eclipse. « Souvent, même les entreprises qui comprennent l’urgence ne disposent pas de l’expertise interne requise pour gérer ce processus. Le projet OCCTET est conçu pour faciliter au maximum la mise en conformité, et il complète nos efforts plus généraux visant à garantir que la communauté open source dispose des ressources dont elle a besoin pour prospérer dans ce nouveau paysage réglementaire. »

Le règlement sur la cyber résilience introduit des exigences de cybersécurité obligatoires pour tous les produits numériques, y compris les logiciels, vendus dans l’UE. Elle s’applique aux fabricants, aux fournisseurs de logiciels et aux mainteneurs, les obligeant à adopter des pratiques de développement sécurisées et à gérer les vulnérabilités de manière transparente sur l’ensemble de leurs chaînes d’approvisionnement logicielles. La CRA est entrée en vigueur en décembre 2024, et les organisations sont désormais confrontées à un calendrier pressant pour répondre aux nouvelles exigences avant leur entrée en vigueur.

Pour de nombreuses PME, le plus grand défi est de savoir par où commencer. Avec des ressources limitées et une faible expertise interne en matière de conformité, elles se retrouvent souvent débordées. Les logiciels open source, dont la présence est aujourd’hui estimée à 96 % de l’ensemble des logiciels commerciaux (Harvard Business School, mars 2025), compliquent davantage les efforts de conformité, car ils sont généralement développés et gérés par des communautés décentralisées plutôt que contrôlés par un seul fournisseur.

Le projet OCCTET répond à ces défis en proposant des solutions ouvertes et collaboratives qui réduisent la complexité et le coût de la conformité à la CRA, ce qui permet aux PME de se concentrer sur l’innovation sans sacrifier la sécurité.

La boîte à outils OCCTET fournira une gamme complète de ressources adaptées aux besoins des PME, notamment :

 Liste de contrôle de conformité CRA
 Spécifications d’évaluation de la conformité
 Méthodes et outils d’évaluation automatisés
 Une plateforme de base de données fédérée pour publier les évaluations des composants des logiciels libres, permettant la contribution de plusieurs parties prenantes
 Inventaires des outils d’analyse automatique des dépendances
 Un outil de reporting pour générer de la documentation et les données

Tous les détails sur la boîte à outils, les organisations participantes et la manière de s’impliquer sont disponibles sur https://occtet.eu. Pour les nouvelles et les mises à jour du projet, inscrivez-vous à la liste de diffusion de l’OCCTET.

La Fondation Eclipse poursuit également d’autres efforts axés sur l’ARC, notamment le groupe de travail sur la conformité réglementaire ouverte (ORC), qui développe activement des ressources et des spécifications axées sur la communauté pour soutenir la mise en œuvre de la CRA dans les écosystèmes open source. Pour en savoir plus et participer, rendez-vous sur orcwg.org ou explorez le hub CRA sur GitHub.