Le Cyber Resilience Act (CRA) européen, adopté fin 2024 et entré en application progressive depuis janvier 2025, représente la réglementation de cybersécurité la plus ambitieuse jamais adoptée par l’Union européenne. Ses implications pour la question de l’OS souverain sont directes et immédiates.
Ce que le CRA change concrètement
Le CRA impose à tout éditeur de logiciel commercialisé en Europe de garantir la sécurité de ses produits pendant toute leur durée de vie, d’informer les autorités compétentes de toute vulnérabilité dans les 72 heures, et de fournir des mises à jour de sécurité gratuites pendant au moins 5 ans après la vente. Les sanctions peuvent atteindre 2,5% du chiffre d’affaires mondial — ce qui représente plusieurs milliards d’euros pour des acteurs comme Microsoft.
Le paradoxe du logiciel propriétaire fermé
Le CRA crée un paradoxe intéressant pour les éditeurs de logiciels propriétaires : pour prouver qu’ils respectent les exigences de sécurité, ils doivent ouvrir leur code à l’audit des autorités de certification. Mais ouvrir leur code, même partiellement, entre en contradiction avec leur modèle économique basé sur la propriété intellectuelle fermée. Cette tension pourrait paradoxalement favoriser les solutions open source, où la transparence est structurelle.
L’open source comme réponse naturelle
Pour les défenseurs d’un OS souverain, le CRA apporte de l’eau à leur moulin. « Le législateur européen reconnaît implicitement que la transparence du code est une exigence de sécurité fondamentale. C’est exactement ce que nous défendons depuis le début », analyse Marie-Sophie Lebrun, fondatrice d’HexaOS. « Un OS open source auditable est structurellement mieux positionné pour respecter le CRA qu’un OS propriétaire opaque. »
