Une nouvelle enquête révèle que les développeurs et les organisations open source restent largement impréparés à la Cyber Resilience Act (CRA) de l'Union européenne, malgré une année d'efforts de sensibilisation. Le rapport 2026 sur la sensibilisation et la préparation au CRA a constaté que le manque de connaissance de cette réglementation est passé de 62 % en 2025 à 66 % en 2026.
Le rapport, publié début juin par LF Research, OpenSSF, Balena, Ericsson et Revanite, a interrogé un groupe plus large incluant davantage de répondants des États-Unis et du Canada. Dans ces régions, 72 % des sondés ont déclaré ne pas connaître les règles qui s'appliqueront aux produits vendus sur le marché de l'UE.
Des lacunes importantes subsistent parmi ceux qui sont informés du CRA. Environ 40 % n'ont pas déterminé si la réglementation s'applique à leur travail. Seuls 34 % ont correctement identifié décembre 2027 comme date limite de mise en conformité totale. À peine 41 % des fabricants s'attendent à respecter cette échéance, tandis que 39 % restent incertains.
D'autres indicateurs sont restés stables ou se sont dégradés. La part des répondants produisant une nomenclature logicielle (Software Bill of Materials) pour tous leurs produits s'est maintenue à 32 %. La dépendance vis-à-vis des projets amont pour les correctifs a atteint 51 %. Le rapport note également une augmentation de 394 % sur un an des CVE publiées dans plus de 14 000 projets au cours du premier trimestre 2026.