Cyber score : décryptage de cette nouvelle obligation

bannière cyber score

Comment juger si un logiciel est digne de confiance sans devoir se lancer dans des investigations ?

C’est n’est jamais facile de savoir si un service est conforme aux règles de protection des données : localisation, sauvegardes, garanties internes…

L’ambition du cyber score est de créer un label qui permet de vérifier d’un seul coup d’œil si le service est correctement sécurisé et respectueux des données.

Cette nouvelle loi qui entre en application en octobre 2023 renforcera l’information des utilisateurs (en plus du RGPD).

Nous allons décrypter le cyber score : pour qui est-ce obligatoire ? Quels sont les critères du cyber score ? Comment calculer son cyber score ?

×

Votre plan de conformité RGPD offert

Complétez ce rapide questionnaire pour identifier vos besoins en matière de RGPD et recevez un plan de conformité sans engagement.
Quelle est votre familiarité avec le Règlement Général sur la Protection des Données (RGPD) ?
Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

C’est quoi le cyber score ?

La loi n° 2022-309 du 3 mars 2022 matérialise la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public.

L’objectif est d’apporter aux internautes un meilleur niveau de transparence sur la sécurité de leurs données.

C’est aussi un moyen de clarifier la question de la localisation des données et de renforcer la souveraineté numérique française et européenne.

Depuis 2018, les éditeurs de services numériques sont déjà soumis au RGPD : la règlementation sur la protection des données personnelles. Le cyber score est une surcouche qui va permettre d’avoir une information synthétique sur quelques-uns des critères de privacy.

Le cyber score va permettre d’aider les internautes à choisir les acteurs les plus sécurisés et les mieux protégés contre les risques de violation des données personnelles.

Les plateformes devront afficher un label cyber score

Le cyber score c’est la synthèse d’un diagnostic de cybersécurité : il doit être lisible, clair et compréhensible de tous.

La note du cyber score va aussi être prise en compte dans les marchés publics. Lors d’un appel d’offre l’acheteur pourra demander un niveau minimal de conformité.

On peut faire le rapprochement avec le nutri score qui s’affiche sur certains produits alimentaires : une grille de positionnement simple qui permet de déterminer si le produit est sain pour la santé.

planning de mise en place du cyberscore

La priorité des autorités de protection des données est de donner plus de transparence et d’inciter les acteurs à avoir des méthodes plus vertueuses.

Pourquoi ? un enjeu du secteur numérique

La cybersécurité regroupe l’ensemble des stratégies et des méthodes mises en place pour assurer la sécurité des données dans les entreprises. De cette définition, il ressort que les sociétés détiennent des données personnelles. Lorsque ces données tombent entre de mauvaises mains, cela peut mettre en péril l’entreprise tout entière.

Il est donc important pour les entités de développer une meilleure sécurité afin de mieux gérer leurs systèmes d’information. Par conséquent, pour le bien du public et celui des organismes numériques, toutes les plateformes à interaction doivent parfaire leur niveau de sécurité.

Il était donc urgent de mettre en place une réforme permettant de protéger le public contre la négligence des acteurs du numérique et les pirates. L’Assemblée nationale française et le sénat ont donc fait une proposition de loi qui implique la création d’un système de notation de la cybersécurité des plateformes

Qui va être concerné par le cyber score ?

On sait que le cyber score va concerner au lancement les éditeurs de services notamment :

  • les plateformes (cloud)
  • les logiciels de visioconférence
  • les systèmes de messagerie instantanée
  • les réseaux sociaux

Le texte encore très général prévoit qu’un décret à venir listera précisément les activités concernées. Il est possible qu’un critère de taille soit mis en œuvre (en fonction de l’importance de l’activité).

Quels sont les critères du cyber score ?

L’ANSSI doit maintenant définir les critères sur lesquels le cyber score va être calculé.

Voici quelques propositions :

  • les mesures de sécurité mise en œuvre pour sécuriser les données (audit de sécurité)
  • la localisation des données hébergées
  • l’impact de lois étrangères sur la protection des données (notamment pour les technologies dépendantes des USA ou de la Chine).
  • Le nombre de condamnations CNIL
  • Le nombre de failles de sécurité recensées
  • Certains critères importants issus du RGPD ou de la directive NIS notamment le privacy by default

Il semble que les critères ne portent pas uniquement sur les données personnelles mais seront étendues.

Toutefois, pour l’actualisation de ce « cyberscore », il faudra attendre la décision qui définira les seuils auxquels les plateformes seront prises en compte et la décision qui s’appuiera sur la recommandation de la CNIL pour déterminer les critères de l’audit, sa durée de validité et les modalités de présentation.

Comment préparer son cyber score ?

Afin d’assurer une indépendance de la notation, les autorités prévoient que la certification sera portée par des prestataires d’audit qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Il est probable que la CNIL et la DGCCRF (direction générale de la concurrence, de la consommation et de la répression des fraudes) participent aux discussions sur la conception du score.

En attendant plus de détails sur la mise en place, voici quelques conseils pour préparer son audit cyber score :

  • Avoir une démarche active de conformité du point de vue du RGPD et de la loi informatique
  • Prendre en compte les nouvelles obligations notamment pour les secteurs concernés par la directive NIS
  • Mettre en œuvre les mesures organisationnelles et techniques fondamentales pour renforcer la sécurité de ses applications (chiffrement, zero trust, gestion des droits des utilisateurs, sauvegardes, audit des sous-traitants techniques, etc. )

Création du cyberscore : naissance de la loi du 3 mars 2022

La loi se référant à la cybersécurité a été promulguée en France par le président Macron le 3 mars 2022. De cette loi, est née la notion du cyberscore. Cette notion a été inspirée du nutri-score qui représente un système de classification de catégorie nutritionnelle des produits alimentaires.

Le nutri-score base son principe d’information des consommateurs sur un système d’information coloriel. Par rapprochement, le cyberscore permet donc aux usagers d’avoir une estimation du niveau de protection de leurs données sur les plateformes et réseaux sociaux qu’ils utilisent.

De nouvelles réformes en matière de cybersécurité

La nouvelle loi relative à l’insertion du cyberscore apporte quelques modifications au code de consommation du numérique français. En effet, les grandes plateformes du web, les réseaux sociaux et les applications les plus utilisés devront rendre public leur cyberscore. Cette information est destinée au public afin de le rassurer sur la protection de leurs données personnelles.

La mise en place du cyberscore se fera d’une manière bien précise. Le gouvernement procède à la mise en place d’une commission chargée de réaliser un audit vérificateur. Cette commission sera constituée de spécialistes de la cybersécurité de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). 

Les plateformes concernées par l’obtention du cyberscore

Le texte mis en vigueur ne concerne pas toutes les plateformes du Big-data. Lors de la promulgation du texte, aucune spécification n’a été apportée par rapport aux services précis qui feront objet du contrôle. Toutefois, les critères de sélection retenus par la commission de sécurité du web sont déjà perceptibles. 

Tout d’abord, il est évident que l’apposition de certification aux différents cyberespaces concerne principalement les opérateurs de service en ligne. En se référant à l’ancien code de consommation issu de la loi n° 2016-1321 et promulgué le 7 octobre 2016, on retrouve parmi ces sites numériques :

Les géants du web

Les moteurs de recherche, comme l’imposant Google, font partie des réseaux informatiques comptant le plus grand nombre de visiteurs quotidiens. La recherche d’une information quelconque passe quasi systématiquement par les moteurs de recherche aujourd’hui. La certification de ces institutions serait un acte des plus évidents.

Les comparateurs de prix 

Les comparateurs de prix sont très consultés sur internet. Que ce soit pour trouver un comparatif des offres en ligne ou pour faire une bonne affaire, internet offre de nombreuses interfaces de comparaison. Ces sites internet sont ouverts aux grands publics, et sont particulièrement utilisés. Il est donc évident que ces types de plateformes soient soumis aux audits de certification.

Les réseaux sociaux

Les réseaux sociaux stockent énormément de données personnelles. Ils sont obligés de stocker de grandes quantités de données numériques. La sécurisation de ces espaces sociaux numériques est un véritable enjeu du secteur. De plus, ils sont les cibles favorites des pirates.

Ceux-ci peuvent profiter de l’anonymat pour pénétrer le système informatique afin de voler les informations sensibles des autres usagers. Ces espaces virtuels sont donc le lieu où les droits des personnes sont le plus bafoués.

La mise en œuvre des audits pour la cybersécurité

Le texte ne précise pas encore les bases réelles sur lesquelles se feront les audits de cybersécurité. Les entreprises numériques ont toutes une configuration similaire. Elles sont constituées de divers dispositifs en ligne qui leur permettent de prospecter et de vendre leurs produits.

Il s’agit notamment de leur site web, de leurs systèmes d’information, de leurs moyens de sécurisation des données et de leurs mécanismes de protection contre les attaques de pirates.

Les informations et notes du cyberscore seront tirées d’un audit de sécurité que les grandes plateformes numériques auront à réaliser. 

Cet audit, qui sera indispensable pour certains grands acteurs du numérique donc, sera effectué par des prestataires qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Ce cyberscore semble globalement bien accueilli par l’ensemble des acteurs du numérique. Il est évidemment également perçu comme une bonne nouvelle pour les internautes qui auront à leur disposition un élément de sécurité supplémentaire. 

Il convient maintenant de voir s’il sera bien mis en place et réellement utile au quotidien pour les internautes. Mais il est clair que cette loi va dans le bon sens, celui de la protection des internautes, qui se sentent, à raison, particulièrement menacés aujourd’hui. Il semble que l’état, avec la création de cette loi, prenne réellement à bras-le-corps cette menace pour les utilisateurs d’internet.

Ressources :

×

Votre plan de conformité RGPD offert

Complétez ce rapide questionnaire pour identifier vos besoins en matière de RGPD et recevez un plan de conformité sans engagement.
Quelle est votre familiarité avec le Règlement Général sur la Protection des Données (RGPD) ?
Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.