CRA-03 — Loi européenne sur la cyber-résilience

En amont

312 dépendances. 23 gérées par une seule personne. Un nouveau fournisseur sans SBOM. Savez-vous ce que contient votre produit ?

NIVEAU DE MENACE : VERT

Vous êtes responsable de la conformité de la chaîne d'approvisionnement chez Kastos IoT — un poste qui n'existait pas il y a six mois. Votre mission : mettre en place un processus de traçabilité des composants qui réponde aux exigences du devoir de diligence de la CRA lors de l'intégration de composants tiers. La reconstruction de la SBOM effectuée lors du module 1 a révélé 7 divergences. L'audit approfondi de Tomasz a mis en évidence 312 dépendances transitives dans le micrologiciel du K400. Aujourd'hui, vous entamez l'évaluation complète des risques de la chaîne d'approvisionnement — et vous évaluez également un nouveau fournisseur de matériel à Shenzhen dont le composant contient un micrologiciel que vous n'avez jamais vu.

Kastos IoT — 340 employees, €62M revenue, HQ Rotterdam
Micrologiciel K400 : 312 dépendances transitives (47 de premier niveau, 265 transitives)
23 dépendances gérées par un seul développeur en Biélorussie
Bibliothèque essentielle pour la pile BLE : projet open source mené par trois personnes, aucune modification depuis 14 mois
Évaluation d'un nouveau fournisseur de matériel : Shenzhen MicroCore — module de processeur embarqué pour la nouvelle génération de K400
Durée du soutien de la CRA : 7 ans (engagée dans le module 3)

Présentation de la mission

Comment ça marche

Il s'agit d'un scénario de type « choisissez votre propre aventure ». Vous prendrez les mêmes décisions concrètes qu'un responsable de la conformité de la chaîne d'approvisionnement lorsqu'il s'agit d'analyser les dépendances, d'évaluer les fournisseurs et de gérer les obligations en matière de logiciels libres — et vos choix détermineront votre note finale en matière d'opérations.

Cartographie des dépendances

Classez les composants de l'arborescence des dépendances du K400 par catégorie de risque.

Trois décisions

Chaque décision est notée. Vos choix déterminent une note opérationnelle exprimée en pourcentage. Les mauvaises décisions entraînent des conséquences en chaîne.

Enquête fournisseurs

Choisissez les documents des fournisseurs que vous souhaitez examiner. Vous disposez de 4 emplacements : faites le bon choix.

Matrice des risques

Placez les scénarios liés à la chaîne d'approvisionnement sur une matrice « probabilité × impact » afin d'établir le registre des risques.

--:--:-- VERT CRA-03 : En amont

Réunion d'information du personnel

Votre équipe

Vous travaillerez avec ces trois personnes tout au long du scénario. Chacune d'entre elles aborde la chaîne d'approvisionnement sous un angle différent ; votre tâche consiste à trouver la solution qui concilie à la fois les risques, les coûts et les obligations légales.

Tomasz Kowalski

Lead Firmware Engineer

Je passe en revue toutes les dépendances d'une arborescence de micrologiciels comprenant 312 bibliothèques. Je ne suis pas vraiment emballé par toute cette paperasse.

Sophie Laurent

Responsable des affaires juridiques et réglementaires

Assure la conformité de Kastos. Vous indiquera précisément quel article vous venez d'enfreindre.

Chen Wei

Technical Director, Shenzhen MicroCore

Votre fournisseur le plus complexe. D'une grande expertise technique. Qui aborde pour la première fois les questions de conformité aux normes européennes.

--:--:-- ORANGE CRA-03 : En amont

Fil d'actualité

Le point sur la situation

L'audit des dépendances

Lundi, 9 h 00 (heure d'Europe centrale)

Tomasz vous guide à travers l'arborescence des dépendances du K400. Le niveau supérieur semble clair : 47 dépendances, toutes répertoriées dans la SBOM. Mais la couche transitive — c'est-à-dire les dépendances des dépendances — révèle une tout autre réalité.

Sur un total de 312 dépendances : 289 sont activement maintenues, avec des commits réguliers et un responsable connu. 23 sont gérées par un seul développeur — toujours la même personne — qui contribue à plusieurs projets open source liés à l'UE. Et une bibliothèque essentielle se démarque : la pile de communication BLE qui gère tout le provisionnement Bluetooth est maintenue par un projet bénévole composé de trois personnes qui n’a pas enregistré de commit depuis 14 mois. Leur dernière note de mise à jour indique : « Mode maintenance. Correctifs de sécurité uniquement. Aucune nouvelle fonctionnalité. »

K400 FIRMWARE v4.0  (312 dependencies)
│
├─ TOP-LEVEL                                      47
│  │
│  ├─ ● BLE communication stack                 [CRITICAL]
│  │    3-person project · 14 months silent · “maintenance mode”
│  │
│  ├─ ● 23 utility libraries                   [CONCENTRATION]
│  │    mainteneur unique (Biélorussie) · chemin non critique
│  │
│  ├─ ✓ OpenSSL 3.1.4                          healthy
│  ├─ ✓ mbedTLS 3.5.0                          healthy
│  └─ ✓ 21 other top-level libraries            healthy
│
└─ TRANSITIVE                                    265
   │
   ├─ ✓ Actively maintained                     264
   └─ ● Known single-maintainer (via 23 libs)   23 nested

Une faille critique qui ne demande qu'à se produire. Un risque de concentration sur 23 bibliothèques si un seul responsable de maintenance venait à se retirer. La CRA appelle cela due diligence exposure — et il s'agit d'un code open source tout à fait légal.

Tomasz Kowalski — Ingénieur principal en micrologiciels

J'ai choisi la pile BLE en 2023 car c'était la meilleure option disponible. Une documentation de qualité, une API épurée, une communauté active. Depuis, deux des trois responsables de maintenance sont partis. La personne restante a publié un correctif de sécurité il y a huit mois, et rien depuis.

OF

OPS FEED — Flux d'informations sur la situation

[09:12] CHAINE D'APPROVISIONNEMENT — Audit des dépendances : 312 au total. 289 activement maintenues. 23 gérées par un seul responsable. 1 bibliothèque critique en mode de maintenance (pile BLE, dernière modification il y a 14 mois).

--:--:-- ORANGE CRA-03 : En amont

Fil d'actualité

Activité

Représentation de l'arborescence des dépendances

Partie d'entraînement — non comptabilisée. Votre score est déterminé par ces trois décisions.

Lundi, 10 h 30 (heure d'Europe centrale)

Avant de pouvoir élaborer un plan de remédiation, vous devez visualiser l'ensemble des dépendances du K400. Classez chaque composant en fonction de sa catégorie de risque. Identifiez : quels composants présentent un risque lié à un seul responsable de maintenance, lesquels créent un risque de concentration et lesquels ont une provenance inconnue.

--:--:-- ROUGE CRA-03 : En amont

Fil d'actualité

Une décision s'impose

La bibliothèque abandonnée

La pile BLE est essentielle au bon fonctionnement du K400, mais elle n'est pratiquement plus mise à jour. Une vulnérabilité pourrait priver 2 800 panneaux déjà déployés d'un correctif en amont. Comment gérez-vous cette situation ?

--:--:-- VERT CRA-03 : En amont

Fil d'actualité

Le point sur la situation

Outcome: Positive

Forker et maintenir

Kastos dérive la pile BLE et fait appel à un spécialiste des protocoles BLE pour réaliser un audit complet du code. Cet audit, qui dure quatre semaines, révèle que le code est bien structuré, mais qu'il comporte trois points où la validation des entrées est insuffisante — ces failles ne sont pas exploitables pour l'instant, mais pourraient constituer des vulnérabilités si elles étaient exposées à des paquets BLE spécialement conçus. Votre équipe corrige ces failles de manière proactive.

Kastos gère désormais sa propre branche de la pile BLE. Le coût est réel — 120 000 € par an — mais vous disposez d'un contrôle total sur la sécurité d'un composant essentiel pendant toute la durée de la période de support de 7 ans. Cette branche interne est répertoriée dans la SBOM, Kastos y figurant comme responsable actuel de la maintenance.

SOPHIE LAURENT — Responsable des affaires juridiques et réglementaires

C'est exactement ce que l'article 13, paragraphe 5, entend par « devoir de diligence ». Nous avons identifié un risque au sein de notre chaîne d'approvisionnement et pris des mesures proportionnées pour le gérer. L'organisme notifié constatera qu'il s'agit d'un fabricant qui maîtrise ses dépendances critiques.

Regulatory Reference

Article 13, paragraphe 5, de la CRA — Devoir de diligence concernant les composants

Lorsqu’ils intègrent des composants provenant de tiers, les fabricants doivent faire preuve du devoir de diligence afin de s’assurer que ces composants ne compromettent pas la cybersécurité du produit. Ce devoir de diligence consiste notamment à vérifier que les composants font l’objet d’une maintenance, que les vulnérabilités seront corrigées et que le niveau de sécurité du composant est connu. Lorsqu’un responsable de la maintenance en amont n’est plus actif, le fabricant doit soit trouver une alternative, soit assumer la responsabilité de la maintenance. L’argument « C’était de l’open source et nous n’avons pas vérifié » ne constitue pas une justification valable au regard du devoir de diligence.

Sophie Laurent — Responsable des affaires juridiques et réglementaires

« C'est exactement ce que l'article 13, paragraphe 5, entend par « diligence raisonnable ». Nous avons identifié un risque dans notre chaîne d'approvisionnement et pris des mesures proportionnées pour le gérer. L'organisme notifié constatera qu'il s'agit d'un fabricant qui maîtrise ses dépendances critiques. »

--:--:-- ORANGE CRA-03 : En amont

Fil d'actualité

Le point sur la situation

Outcome: Neutral

Migration prévue

Vous avez identifié deux solutions BLE commerciales : l'une proposée par une entreprise suédoise (licence à 45 000 € par an, garantie d'assistance de 10 ans) et l'autre par une société américaine (30 000 € par an, renouvelable tous les 5 ans). Tomasz estime que la migration prendra entre 12 et 18 mois, car la pile BLE est étroitement intégrée au processus de provisionnement.

En attendant, vous consignez ce risque dans le registre des risques de la chaîne d'approvisionnement et mettez en place un dispositif de surveillance : des alertes automatiques pour toute vulnérabilité CVE affectant la bibliothèque BLE actuelle, des vérifications hebdomadaires de l'activité sur le dépôt en amont, ainsi qu'un plan d'intervention au cas où une vulnérabilité critique serait révélée avant la fin de la migration.

SOPHIE LAURENT — Responsable des affaires juridiques et réglementaires

Ce plan est défendable. Mais il faut clairement consigner l'acceptation des risques : si une vulnérabilité venait à apparaître pendant la période de migration, nous devrons pouvoir démontrer que nous avions prévu un plan d'urgence, et pas seulement un calendrier.

Sophie Laurent — Responsable des affaires juridiques et réglementaires

« Le plan est défendable. Mais il faut clairement documenter l’acceptation des risques : si une vulnérabilité apparaît pendant la période de migration, nous devrons prouver que nous avions prévu un plan d’urgence, et pas seulement un calendrier. »

--:--:-- ROUGE CRA-03 : En amont

Fil d'actualité

Le point sur la situation

Outcome: Negative

Attendons de voir

Quatre mois plus tard, un chercheur en sécurité révèle une vulnérabilité critique dans la pile BLE : un débordement de tampon dans le protocole d'appairage qui permet l'exécution de code à distance dans le rayon d'action du Bluetooth. Le seul responsable de maintenance restant du projet en amont publie le message suivant : « Je suis au courant de ce problème. Je n'ai pas le temps pour le moment de développer un correctif. Les pull requests sont les bienvenues. »

Kastos ne dispose d'aucune expertise interne en matière de BLE. La vulnérabilité touche l'ensemble des 2 800 panneaux K400 déjà installés. L'Autorité de régulation des marchés publics (CRA) exige la mise en place de mises à jour de sécurité « sans délai », mais Kastos n'est pas en mesure de produire un correctif pour un code source qu'elle ne maîtrise pas. Recours d'urgence à un prestataire externe : 80 000 € pour un audit en urgence et la mise en place d'un correctif. Délai de livraison estimé : 6 à 8 semaines.

Jan : « Nous savions déjà il y a quatre mois que cette bibliothèque n'était plus mise à jour. Nous avons choisi d'attendre. Ce n'est pas un problème de chaîne d'approvisionnement, c'est un problème de prise de décision. »

Regulatory Reference

Le devoir de diligence est une démarche proactive, et non réactive

L'obligation de diligence raisonnable imposée par la CRA est une obligation prospective. Les fabricants doivent évaluer la sécurité et la viabilité de la maintenance des composants au moment de leur intégration, puis de manière continue. Savoir qu'un composant critique n'est plus maintenu et choisir d'attendre qu'une vulnérabilité apparaisse ne relève pas du devoir de diligence : il s'agit d'une acceptation du risque sans mesure d'atténuation. Les autorités de surveillance du marché poseront la question suivante : « Vous saviez que la bibliothèque n'était plus maintenue. Qu'avez-vous fait à ce sujet ? »

--:--:-- ORANGE CRA-03 : En amont

Fil d'actualité

Le point sur la situation

Le fournisseur de Shenzhen

Mercredi, 10 h 00 (heure d'Europe centrale)

Vous participez à un appel vidéo avec Chen Wei, directeur technique chez Shenzhen MicroCore Electronics. Le module de processeur embarqué MC-7200 est techniquement excellent : il consomme moins d'énergie, offre un traitement plus rapide et coûte 30 % moins cher que l'alternative européenne. L'équipe matériel de Kastos souhaite l'utiliser pour la prochaine génération du K400.

Vous demandez à Chen Wei la nomenclature logicielle (SBOM) pour le composant. Il y a un silence.

Le MC-7200 intègre son propre micrologiciel RTOS, avec des bibliothèques réseau, Bluetooth et de sécurité intégrées. MicroCore n’a jamais reçu de demande de nomenclature logicielle (SBOM). L’entreprise dispose d’une nomenclature matérielle : chaque composant physique y est répertorié. Mais qu’en est-il du micrologiciel ? « Notre équipe d’ingénieurs peut fournir une liste des principales bibliothèques », explique Chen Wei. « Mais l’arborescence complète des dépendances… ce n’est pas quelque chose que nous avons préparé. »

Chen Wei — Directeur technique, Shenzhen MicroCore Electronics

Je comprends votre demande. Nous n'avons reçu aucune demande de ce type de la part d'autres clients. Notre micrologiciel utilise des bibliothèques standard : FreeRTOS, lwIP et mbedTLS. Je peux vous fournir les numéros de version. L'établissement de l'arborescence complète des dépendances prendra un certain temps.

SOPHIE LAURENT — Responsable des affaires juridiques et réglementaires

Si nous intégrons le MC-7200 au K400, son micrologiciel fait alors partie intégrante de notre produit. Notre SBOM doit inclure ses dépendances. Notre évaluation de la conformité doit porter sur sa sécurité. Si MicroCore n'est pas en mesure de nous indiquer la composition de son micrologiciel, nous ne pouvons pas faire preuve du devoir de diligence requis au titre de l'article 13, paragraphe 5.

--:--:-- ORANGE CRA-03 : En amont

Fil d'actualité

Activité

Début du devoir de diligence des fournisseurs — Examen des documents

Partie d'entraînement — non comptabilisée. Votre score est déterminé par ces trois décisions.

Mercredi, 14 h 00 (heure d'Europe centrale)

Chen Wei vous a transmis le dossier de documentation concernant le MC-7200. Les informations sont dissimulées dans des fiches : choisissez celles que vous souhaitez examiner. Chaque examen prend du temps. Vous disposez de 4 créneaux d'examen avant la date limite d'évaluation des fournisseurs. Ce que vous n'ouvrez pas, vous ne le savez pas — et ce que vous ne savez pas, vous ne pouvez pas l'évaluer.

Investigations remaining: 4 of 4

--:--:-- ORANGE CRA-03 : En amont

Fil d'actualité

Une décision s'impose

Devoir de diligence envers les fournisseurs

Le MC-7200 est techniquement supérieur et 30 % moins cher. Cependant, MicroCore n'est actuellement pas en mesure de fournir une nomenclature logicielle (SBOM) pour le micrologiciel de ce composant. Comment comptez-vous procéder ?

--:--:-- VERT CRA-03 : En amont

Fil d'actualité

Le point sur la situation

Outcome: Positive

Développement des fournisseurs

Vous rédigez un avenant aux exigences de cybersécurité à l'intention des fournisseurs : liste complète des composants logiciels (SBOM) au format CycloneDX, politique de divulgation des vulnérabilités publiée, engagement à fournir des mises à jour de sécurité tout au long du cycle de vie du composant, et audit de sécurité annuel. Vous accordez 90 jours à MicroCore et proposez une session de travail conjointe sur les outils de génération de SBOM.

Chen Wei se montre réceptif : « Nous vendons nos produits à des constructeurs automobiles en Allemagne. Ils exigent la traçabilité du matériel. C'est l'équivalent logiciel — je comprends. » Son équipe utilise un outil SBOM open source et produit une première version en six semaines. Celle-ci révèle 87 dépendances dans le micrologiciel du MC-7200, dont deux bibliothèques comportant des vulnérabilités CVE connues dont MicroCore n'avait pas connaissance.

Ce partenariat se renforce. MicroCore corrige les vulnérabilités (CVE) avant la livraison des composants. Le contrat de Kastos est le premier à inclure des exigences en matière de cybersécurité conformes au CRA, mais MicroCore s'attend à ce que d'autres clients européens emboîtent le pas. Vous avez contribué à mettre en place une chaîne d'approvisionnement plus sûre, et pas seulement à l'évaluer.

Chen Wei — Technical Director, Shenzhen MicroCore

« Nous vendons nos produits à des constructeurs automobiles en Allemagne. Ils exigent la traçabilité du matériel. C'est l'équivalent logiciel — je comprends. »

--:--:-- ORANGE CRA-03 : En amont

Fil d'actualité

Le point sur la situation

Outcome: Neutral

Évaluation indépendante

L'équipe de sécurité de Kastos procède à une analyse binaire du micrologiciel du MC-7200. Elle en extrait 71 sur les 87 dépendances estimées — 16 d'entre elles sont obscurcies ou compilées de manière à résister à l'analyse. La liste partielle des composants logiciels (SBOM) est intégrée au dossier technique, accompagnée de la note suivante : « Micrologiciel du composant analysé par décomposition binaire. 16 dépendances n'ont pas pu être identifiées. Le dialogue avec le fournisseur est en cours. »

SOPHIE LAURENT — Responsable des affaires juridiques et réglementaires

C'est mieux que rien, mais une autorité de surveillance du marché pourrait nous demander pourquoi nous avons intégré un composant comportant 16 dépendances non identifiées. L'argument du devoir de diligence perd de sa force lorsque nous ne sommes pas en mesure de décrire précisément ce que nous vendons.

L'organisme notifié accepte la SBOM partielle sous certaines conditions : Kastos doit obtenir la liste complète des dépendances auprès de MicroCore dans un délai de six mois ou apporter la preuve d'une assurance équivalente par le biais de tests continus.

Sophie Laurent — Responsable des affaires juridiques et réglementaires

« C’est mieux que rien, mais une autorité de surveillance des marchés pourrait nous demander pourquoi nous avons intégré un composant comportant 16 dépendances non identifiées. L’argument de la diligence raisonnable perd de sa force lorsque nous ne sommes pas en mesure de décrire précisément ce que nous vendons. »

--:--:-- ORANGE CRA-03 : En amont

Fil d'actualité

Le point sur la situation

Outcome: Neutral

Alternative européenne

Kastos choisit le fournisseur européen. Le composant est conforme aux normes CRA : SBOM complet fourni, politique de divulgation des vulnérabilités publiée, engagement de mises à jour de sécurité sur 7 ans correspondant à la période de support de Kastos. L'intégration se déroule sans heurts.

L'impact financier : 14 € de plus par unité par rapport au MC-7200, sur un volume estimé à 50 000 unités sur trois ans, soit 700 000 € de coûts supplémentaires en composants. Jan pose la question suivante : « La mise en conformité avec la CRA vaut-elle vraiment 700 000 €, alors que nous aurions pu informer le fournisseur moins cher ? »

SOPHIE LAURENT — Responsable des affaires juridiques et réglementaires

C'est une décision commerciale légitime, mais ce n'est pas la seule voie possible pour se mettre en conformité. Nous aurions pu exiger de MicroCore qu'il respecte nos normes — la CRA n'impose pas un approvisionnement au sein de l'UE, mais exige un devoir de diligence. Nous avons choisi la voie la plus rapide vers la conformité, et non la plus rentable.

Sophie Laurent — Responsable des affaires juridiques et réglementaires

« C’est une décision commerciale légitime, mais ce n’est pas la seule voie possible pour se mettre en conformité. Nous aurions pu exiger de MicroCore qu’il respecte nos normes — la CRA n’impose pas un approvisionnement au sein de l’UE, mais exige une diligence raisonnable. Nous avons choisi la voie la plus rapide vers la conformité, et non la plus rentable. »

--:--:-- ORANGE CRA-03 : En amont

Fil d'actualité

Le point sur la situation

La question de l'open source

Vendredi, 9 h 00 (heure d'Europe centrale)

Sophie convoque une réunion concernant les limites de responsabilité en matière de logiciels libres. Le micrologiciel du K400 intègre 189 bibliothèques libres, soit plus de 60 % de l'arborescence des dépendances. La CRA exempte les « gestionnaires de logiciels libres » des obligations incombant aux fabricants. Or, Kastos est le fabricant. La question est la suivante : quelles sont les obligations de Kastos concernant les composants libres qu'il intègre ?

L'article 18 est clair : les responsables de projets open source ont une obligation « allégée » de faciliter la gestion des vulnérabilités, mais ne sont pas responsables de la cybersécurité du produit. Cependant, l'article 13, paragraphe 5, est tout aussi clair : les fabricants doivent faire preuve du devoir de diligence lorsqu'ils intègrent des composants tiers. Cette obligation ne disparaît pas du simple fait que le composant est gratuit.

SOPHIE LAURENT — Responsable des affaires juridiques et réglementaires

Permettez-moi d'être précis. L'Article 18 protège le bénévole qui assure la maintenance de la bibliothèque BLE. Il ne nous protège pas. C'est nous qui avons choisi de l'intégrer. C'est nous qui avons mis le produit sur le marché. En vertu du règlement CRA, l'obligation en matière de cybersécurité incombe à l'entité qui met le produit sur le marché de l'UE. Il s'agit de Kastos.

Tomasz Kowalski — Ingénieur principal en micrologiciels

Donc, si une vulnérabilité est découverte dans une bibliothèque open source que nous utilisons, nous sommes tenus de la corriger — même si nous ne l'avons pas développée nous-mêmes ?

SOPHIE LAURENT — Responsable des affaires juridiques et réglementaires

Il nous incombe de garantir la sécurité du produit. La manière dont nous y parvenons — par des correctifs, des remplacements ou des mesures d'atténuation — relève de nos choix techniques. Mais cette responsabilité nous incombe. Le responsable de la maintenance en amont n'a pas l'obligation de corriger cela à notre place.

--:--:-- ORANGE CRA-03 : En amont

Fil d'actualité

Une décision s'impose

Obligations liées à l'open source

Kastos intègre 189 bibliothèques open source. En vertu de la CRA, le fabricant est responsable de la cybersécurité de l'ensemble du produit, y compris des composants open source. Comment Kastos devrait-il gérer ses obligations en matière d'open source à l'avenir ?

--:--:-- VERT CRA-03 : En amont

Fil d'actualité

Le point sur la situation

Outcome: Positive

Gouvernance open source

Kastos met en place le Programme de sécurité open source (OSSP). Vous classez les 189 bibliothèques en trois niveaux : Niveau 1 (12 bibliothèques critiques pour la sécurité — cryptographie, réseau, BLE), Niveau 2 (34 bibliothèques importantes — traitement des données, implémentation de protocoles) et Niveau 3 (143 bibliothèques utilitaires — journalisation, tests, mise en forme).

Pour le niveau 1 : audits de sécurité annuels, contributions en amont aux correctifs, préparation à la création de branches internes. Pour le niveau 2 : surveillance automatisée, examen trimestriel, plans d'urgence. Pour le niveau 3 : surveillance automatisée des CVE, cycle de correctifs standard.

Au cours de la première année, l'OSSP a identifié quatre vulnérabilités dans des bibliothèques de niveau 1 avant leur divulgation publique, grâce aux audits financés. Deux correctifs ont été proposés en amont et acceptés par les responsables de maintenance. Kastos est mentionné dans les avis de sécurité. Le programme coûte 60 000 € par an et permet d'éviter des coûts liés aux interventions d'urgence estimés à plus de 200 000 €.

SOPHIE LAURENT — Responsable des affaires juridiques et réglementaires

Sophie présente l'OSSP à l'organisme notifié : « Voici notre cadre de devoir de diligence pour les composants open source. » L'évaluateur : « C'est la première fois que je vois un fabricant documenter cela de manière aussi systématique. Bravo. »

Sophie Laurent — Responsable des affaires juridiques et réglementaires

« Voici notre cadre de diligence raisonnable pour les composants open source. » L’évaluateur de l’organisme notifié : « C’est la première fois que je vois un fabricant documenter cela de manière aussi systématique. Bravo. »

--:--:-- ORANGE CRA-03 : En amont

Fil d'actualité

Le point sur la situation

Outcome: Neutral

Surveillance automatisée

Vous mettez en place une surveillance automatisée des vulnérabilités dans l'ensemble des 189 bibliothèques à l'aide d'un outil open source d'analyse de sécurité intégré au pipeline CI/CD. Chaque version vérifie la présence de CVE connus. Des alertes se déclenchent dans les minutes qui suivent la publication d'un nouveau CVE.

Le système fonctionne : au cours des six premiers mois, il a détecté sept vulnérabilités CVE affectant les dépendances de Kastos. Six d'entre elles sont de faible gravité et ont été corrigées dans le cadre du cycle de publication habituel. La septième, de haute gravité, concerne une bibliothèque réseau — votre équipe l'a corrigée en moins de 72 heures.

SOPHIE LAURENT — Responsable des affaires juridiques et réglementaires

La surveillance est réactive. Nous prenons connaissance des vulnérabilités en même temps que le reste du monde, c'est-à-dire après leur divulgation. Les entreprises qui financent des audits en amont les détectent avant leur divulgation. Nous sommes plus rapides que la plupart, mais nous ne sommes pas en avance sur notre temps. Cette approche est conforme, mais elle n'est pas exemplaire.

Sophie Laurent — Responsable des affaires juridiques et réglementaires

« La surveillance est réactive. Nous prenons connaissance des vulnérabilités en même temps que le reste du monde, c'est-à-dire après leur divulgation. Cette approche est conforme aux normes, mais elle n'est pas exemplaire. »

--:--:-- ORANGE CRA-03 : En amont

Fil d'actualité

Le point sur la situation

Outcome: Negative

Tout remplacer

Tomasz évalue l'ampleur de la migration : 12 bibliothèques open source essentielles doivent être remplacées par des solutions commerciales. Trois d'entre elles n'ont pas d'équivalent commercial : la pile BLE, un gestionnaire de protocole personnalisé et une couche d'abstraction matérielle spécialement conçue pour le chipset du K400. Pour ces trois éléments, la seule option est soit de les maintenir en interne, soit de procéder à une refonte complète de l'architecture.

Coût estimé : 400 000 € de frais de licence par an, 250 000 € pour les travaux d'ingénierie liés à la migration, et 18 mois de perturbations. La feuille de route de la version 5.0 est de fait gelée pendant que l'équipe procède à la refonte des interfaces.

Jan : « Nous dépensons 650 000 € la première année pour remplacer du code qui fonctionne. La CRA ne nous impose pas d’éviter l’open source, mais nous oblige à le gérer. C’est une réaction excessive qui freine notre rythme de développement. »

SOPHIE LAURENT — Responsable des affaires juridiques et réglementaires

La CRA reconnaît explicitement que les logiciels libres font partie intégrante de l'écosystème. Il s'agit d'un devoir de diligence, et non d'un devoir d'élimination. Nous sommes allés au-delà du principe de proportionnalité.

Regulatory Reference

Considérants 18 à 20 de la CRA — Intégration des logiciels libres et des logiciels commerciaux

La CRA reconnaît que les logiciels libres font partie intégrante de l'écosystème des produits numériques. Elle ne pénalise ni ne décourage l'utilisation des logiciels libres ; elle exige simplement des fabricants qui intègrent des logiciels libres dans des produits commerciaux qu'ils fassent preuve du devoir de diligence. Cette obligation consiste à évaluer, surveiller et gérer la sécurité de tous les composants, quel que soit leur modèle de licence. Il n’est pas nécessaire de remplacer tous les composants open source par des alternatives commerciales, et cela pourrait ne pas être proportionné : cela élimine un risque (la viabilité du responsable de maintenance) tout en en créant d’autres (dépendance vis-à-vis d’un fournisseur, flexibilité réduite, coûts plus élevés sans pour autant garantir une sécurité accrue).

Sophie Laurent — Responsable des affaires juridiques et réglementaires

« L'ARC reconnaît explicitement que les logiciels libres font partie intégrante de l'écosystème. Il s'agit d'une obligation de diligence raisonnable, et non d'une obligation d'élimination. Nous sommes allés au-delà du principe de proportionnalité. »

--:--:-- VERT CRA-03 : En amont

Fil d'actualité

Activité

Registre des risques liés à la chaîne d'approvisionnement

Partie d'entraînement — non comptabilisée. Votre score est déterminé par ces trois décisions.

Fin de la deuxième semaine

Vous êtes en train d'élaborer le registre des risques de la chaîne d'approvisionnement de Kastos. Placez chacun de ces six scénarios de chaîne d'approvisionnement sur la matrice probabilité × impact. La position déterminée permet d'établir la note de risque et de définir la priorité en matière d'atténuation.

--:--:-- VERT CRA-03 : En amont

Fil d'actualité

Évaluation des connaissances

Avant de consulter vos résultats, voici quatre questions concernant la CRA. Veuillez choisir une réponse par question.