Fournir des outils gratuits pour aider les PME et les équipes de développeurs à répondre aux exigences de la loi européenne sur la cyber-résilience (CRA, Cyber Resilience Act) dont le respect sera obligatoire à partir de l’année prochaine, tel est l’objectif de la Fondation Eclipse, organisme focalisé sur les logiciels en open source, avec le lancement du projet OCCTET (The Open Source Compliance: Comprehensive Techniques and Essential Tools).

Cette initiative financée par la Commission Européenne et qui a pour ambition d’aider les petites et moyennes entreprises (PME) et les développeurs open source à se conformer au règlement du CRA, réunit un consortium de leaders du secteur, d'experts en cybersécurité et de défenseurs de l'open source pour créer des outils open source gratuits qui rendent la conformité réglementaire plus accessible, transparente et rentable.

« La conformité avec le CRA est un processus pluriannuel que les organisations doivent prioriser dès maintenant, indique Mike Milinkovich, le directeur exécutif de la Fondation Eclipse. Souvent, même les entreprises qui comprennent l’urgence de la situation vis-à-vis du CRA, ne disposent pas de l'expertise interne requise pour gérer ce processus. Le projet OCCTET est conçu pour faciliter la mise en conformité au regard de ce texte, et complète nos efforts plus larges visant à garantir que la communauté open source dispose des ressources dont elle a besoin pour prospérer dans ce nouveau paysage réglementaire. »

Pour rappel, le règlement sur la cyber résilience introduit des exigences de cybersécurité obligatoires pour tous les produits numériques, y compris les logiciels, vendus dans l’Union Européenne. Il s'applique aux fabricants, aux fournisseurs de logiciels et aux sociétés qui assurent la maintenance des produits, en les obligeant à adopter des pratiques de développement sécurisées et à gérer les vulnérabilités de manière transparente sur l'ensemble de leurs chaînes d'approvisionnement logicielles. 

Selon la fondation Eclipse, pour de nombreuses PME, le plus grand défi est de savoir par où commencer. Avec des ressources limitées et une faible expertise interne en matière de conformité, elles se retrouvent ainsi souvent débordées. Les logiciels open source dont la présence est aujourd'hui estimée à 96 % sur l'ensemble des logiciels commerciaux (source : Harvard Business School, mars 2025), compliquent encore davantage les efforts de conformité, car ils sont généralement développés et gérés par des communautés décentralisées plutôt que contrôlés par un seul fournisseur.

Le projet OCCTET se veut une réponse à l’ensemble des ces difficultés en proposant des solutions ouvertes et collaboratives qui réduisent la complexité et le coût de la conformité à la CRA autorisant les PME à se concentrer sur l'innovation sans sacrifier la sécurité.

La boîte à outils OCCTET fournira une gamme complète de ressources adaptées, à savoir : une liste de contrôle de conformité CRA, des spécifications d'évaluation de la conformité, des méthodes et outils d'évaluation automatisés, une plateforme de base de données fédérée pour publier les évaluations des composants des logiciels libres (permettant la contribution de plusieurs parties prenantes), un inventaire des outils d'analyse automatique des dépendances ainsi qu'un outil de "reporting" pour générer de la documentation et des données.

Tous les détails sur la boîte à outils, les organisations participantes et la manière de s'impliquer sont disponibles sur le site de l’OCCTET.

Parallèlement, la Fondation Eclipse indique qu’elle poursuit également d'autres efforts axés sur le CRA, notamment le groupe de travail sur la conformité réglementaire ouverte ORC (Open Regulatory Compliance) qui développe activement des ressources et des spécifications axées sur la communauté pour soutenir la mise en œuvre du CRA dans les écosystèmes open source.