On en entend parler du « cyberscore » depuis quelques temps, créé en vertu de la loi du 3 mars 2022. Sa mise en œuvre est prévue pour le 3 octobre 2023.
Nous savons qu’il doit devenir l’équivalent du nutriscore pour la sécurité des sites Internet, mais à part ça, beaucoup de choses restent floues. Abordons plus en détail de quoi il s’agit.
Le cyberscore qu’est-ce que c’est ?
L’objectif premier du cyberscore est de fournir une certification de cybersécurité, reconnue par l’Etat, aux plateformes numériques grand public.
La comparaison que l’on voit souvent est pertinente. Tout comme le nutriscore donne aux consommateurs des informations sur la qualité nutritionnelle des aliments, le cyberscore vise à fournir aux utilisateurs d’internet des informations claires sur la sécurité et la qualité des sites qu’ils visitent.
En se référant à la notation des sites, les utilisateurs peuvent facilement identifier les sites qui répondent à leurs critères. Les autres pourront être écartés.
Les opérateurs des plateformes numériques sont tenus de réaliser un audit de cybersécurité, se basant sur des critères précis. Nous préciserons la nature de ceux ci dans quelques instant.
Cet audit sera réalisé par des prestataires qualifiés par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). La note finale pourra varier de A (très bien) à E (très mauvais). Une couleur sera associée à cette note, allant du vert au rouge.
Cette note sera donc un outil qui permettra aux internautes de comparer les entreprises et de faire un choix informé en matière de sécurité des données personnelles.
Le cyberscore reflètera également les valeurs économiques, environnementales et sociales de la protection des données et deviendra un critère commercial pour les entreprises.
En somme, le cyberscore permettra aux utilisateurs de prendre des décisions éclairées quant à l’utilisation des plateformes concernant la protection de leurs données personnelles. Cela permettra aussi d’instaurer une norme à destinations des entreprises, et de faire prendre conscience de l’impact et l’importance de la protection des données.
Quelles plateformes concernées par ce cyberscore ?
De nombreuses plateformes numériques, messageries instantanées et sites de visioconférence seront concernés pas ce nouveaux système de notation. Un décret prochain doit déterminer précisément les plateformes visées par cette obligation. Selon les informations disponibles, il pourrait y avoir un seuil de 5 millions de visiteurs mensuels pour être concerné par l’obligation.
Nous pouvons d’ores et déjà deviner que les plateformes telles que Google, Facebook, Whatsapp, Skype, Zoom, Messenger et Snapchat seront dans la liste.
Quels critères évalués ?
Maintenant que vous en savez un peu plus, il est pertinent de préciser quels seront les critères d’évaluation retenus pour établir cette notation.
Nous pouvons compter parmi ceux-ci :
- Le respect du règlement européen sur la protection des données.
- La capacité d’utiliser le site sans accepter les cookies.
- Les certificats de sécurité et les protocoles de chiffrement utilisés.
- La localisation de l’hébergement des données.
La localisation de l’hébergement des données pourra être un élément critique. Effectivement 90% des données françaises seraient actuellement hébergées sur des serveurs situés aux États-Unis.
L’audit devra obligatoirement être réalisé par un prestataire qualifié par l’Agence Nationale de la sécurité des Systèmes d’Information (ANSSI). Cette note sera mise à jour régulièrement pour tenir compte de l’évolution de la sécurité des sites web.
Pour finir, les critères suivants pourraient également être pris en compte dans l’évaluation :
- L’utilisation du chiffrement de bout en bout.
- Le nombre de condamnations par une autorité de contrôle des données.
- Le nombre de failles découvertes.
Les critères définitifs n’ont cependant pas encore été adoptés et sont en cours de discussion.
Des conséquences à prévoir ?
Il faudra évidemment prévoir des sanctions en cas de non-respect de la notation du cyberscore. Les contrevenants s’exposent à une amende administrative dont le montant peut aller jusqu’à 75 000 euros pour une personne physique et 375 000 euros pour une personne morale. Reste encore a savoir si ces sanctions seront assez dissuasives pour inciter les entreprises à coopérer.
En attendant, pour vous préparer à l’audit du cyberscore ou simplement pour renforcer la sécurisation de vos données, voici quelques recommandations :
- Adoptez une démarche active de conformité en matière de protection des données personnelles (RGPD) et de la loi informatique.
- Tenez compte des nouvelles obligations liées à la directive NIS
- Mettez en œuvre des mesures organisationnelles et techniques pour renforcer la sécurité de ses applications (telles que le chiffrement, la gestion des droits d’utilisateurs, les sauvegardes, l’audit des sous-traitants techniques, etc).
Pour sécuriser votre système d’information vous pouvez contacter M.G.M. Solutions.