Si la cybersécurité et la protection des données représentent des enjeux cruciaux, il peut s'avérer complexe de déterminer la conformité d'un service. C’est précisément à ce niveau qu’intervient le Cyberscore, un label mis en place pour que les utilisateurs puissent apprécier, en un simple coup d’œil, la sécurité et le respect des données d’un service. Entrant en application en octobre 2023, cette nouvelle loi vise à renforcer l’information des utilisateurs, en complément du RGPD. Où en est le projet ? Quelles sont les entités concernées par le Cyberscore ? Quels sont les critères pris en compte ? Eléments de réponse.
Cyberscore : un nouvel indicateur de sécurité pour les plateformes numériques
Le 24 février dernier, le Sénat a adopté en deuxième lecture le projet de loi visant à instaurer une certification de cybersécurité pour les plateformes numériques destinées au grand public. Ce projet, initié par Laurent Lafon en juillet 2020, a émergé pendant la crise sanitaire où l'utilisation d’outils numériques a considérablement augmenté, mettant en lumière les risques liés à la sécurité des données sur certaines plateformes.
Le projet de loi ajoute un article L.111-7-3 au Code de la consommation, qui impose aux plateformes concernées de réaliser un audit de cybersécurité et d'afficher clairement les résultats sur leur site à partir du 1er octobre 2023. L'objectif est d'informer les consommateurs sur le niveau de sécurité et la localisation des données hébergées par ces plateformes, en présentant les résultats sous la forme d'un « Cyberscore » similaire aux diagnostics de performance énergétique ou de Nutri-score.
Les acteurs concernés par ce projet de loi sont les plateformes en ligne mentionnées à l'article L.111-7 du Code de la consommation, y compris les services de communication interpersonnelle non fondés sur la numérotation, tels que les services de messagerie et de visioconférence. Les seuils d’application fixés pour être concernés par cette régulation seront définis par décret.
Le projet de décret soumis à consultation publique a fixé ce seuil à 25 millions de visiteurs uniques par mois en 2023, seuil qui sera réduit à 15 millions pour l’année 2024. On note ici la volonté des législateurs de vouloir réduire ce taux afin d’inclure de plus en plus d’acteurs au fil des ans.
Par ailleurs, les audits devront être réalisés par des prestataires qualifiés par l'ANSSI pour éviter l'auto-certification.
Le référentiel du Cyberscore
L'arrêté fixant les critères pour l'application de la loi n° 2022-309 du 3 mars 2022 établit le référentiel du Cyberscore, spécifiant notamment le système de notation pour le calculer en annexe 1. Cette annexe présente 36 critères d’audit, tant organisationnels, que techniques et juridiques. En outre, la présentation du Cyberscore consiste en une signalétique déterminée selon les modalités fixées dans le cahier des charges en annexe 2. Par ailleurs, le projet d’arrêté défini en 7 articles stipule entre autres que :
-
Les services en ligne concernés par la loi doivent afficher le Cyberscore dans un délai de 3 mois après leur désignation par le décret fixant les seuils d'application ;
-
Les audits requis pour déterminer le Cyberscore doivent être réalisés par des prestataires d'audit de la sécurité des systèmes d'information (PASSI) qualifiés par l'ANSSI. Ces prestataires peuvent recourir à des auditeurs non qualifiés PASSI, à condition de respecter les normes d'audit et les méthodes définies par l'ANSSI pour le Cyberscore ;
-
L'audit est réalisé sur la base d'informations ouvertes, librement accessibles et de manière non intrusive ;
-
Les audits attribuant un Cyberscore ont une durée de validité de 12 mois et doivent être renouvelés dans un délai de 3 mois suivant l'expiration de l'audit précédent, sous réserve que la plateforme demeure en conformité avec l'obligation d'apposition d'un Cyberscore.
Consultation publique des acteurs
Le ministère de l’économie des finances et de la souveraineté industrielle et numérique a lancé le 22 mars une consultation publique sur le projet de décret. Que contient le projet de décret ? Les réponses à cette consultation, ouverte jusqu'au 15 avril 2023, ont été analysées par des équipes de la Direction générale des Entreprises, de l'ANSSI et de la DGCCRF.
Les participants ont été invités à répondre à six questions concernant le projet de décret et d'arrêté, afin d’apporter leurs observations sur les métriques et méthodes, les niveaux de seuils proposés, les critères d'audit et le cadre d'audit. Il est utile ici de signaler que les réponses sont considérées comme publiques et peuvent être publiées sur le site de la Direction générale des Entreprises, sauf si la confidentialité est explicitement demandée. Notez que les documents ou études complémentaires soumis resteront confidentiels.
Notre avis :
En réponse à cette consultation, AlgoSecure a soulevé plusieurs points concernant ces projets de décret et d’arrêté. Si, de manière générale, elle estime que le projet semble être une bonne idée pour fournir une indication simple du niveau de sécurité d’un service au public, la mesure du « nombre de visiteurs uniques par mois sur le territoire français » soulève quelques problèmes, car la mise en place d’un outil de mesure d’audience serait nécessaire afin de tracker l’utilisateur pour s’assurer qu’il ne soit pas compté deux fois.
Par ailleurs, nous sommes d’avis que les seuils proposés sont très élevés et ne couvrent qu'un nombre réduit d'entreprises. Il serait donc plus rassurant de prévoir un élargissement substantiel dans les années à venir et d'ajouter une composante relative au chiffre d'affaires du site web dans le calcul des seuils.
Selon nous, il existe encore des points à clarifier sur le système de notation et de retravailler certains points qui nous semblent incohérents : ex, la revente ou le partage de données personnelles à des tiers équivaudrait à une note A+.
D’autres critères manquent également de précisions et sont assez vagues tel que le critère “sécurité de la connexion utilisateur” qui peut être interprété de plusieurs façons et avec des niveaux d’exigences différents.
Conclusion :
Nous sommes aujourd’hui dans l’attente de l’adoption définitive du décret et de l’arrêté qui viendront clarifier et compléter cette nouvelle loi.
Un fort impact est attendu du côté des consommateurs qui pourront bénéficier d’une information claire sur le niveau de sécurité d’un service et en termes simples. Les acteurs concernés par cette réforme seront également impactés et incités à élever leurs standards afin d’améliorer leur conformité.
De façon générale, cette loi est accueillie favorablement par le monde de la cyber qui se réjouit de la mise en place d’un outil qui permettra à terme de renforcer la protection des français sur internet.
À propos : Le blog d'AlgoSecure est un espace sur lequel notre équipe toute entière peut s'exprimer. Notre personnel marketing et commercial vous donne des informations sur la vie et l'évolution de notre société spécialisée en sécurité sur Lyon. Nos consultants techniques, entre deux tests d'intrusion ou analyses de risque, vous donnent leur avis ainsi que des détails techniques sur l'exploitation d'une faille de sécurité informatique. Ils vous expliqueront également comment sécuriser votre système d'informations ou vos usages informatiques particuliers, avec autant de méthodologie et de pédagogie que possible. Vous souhaitez retrouver sur ce blog des informations spécifiques sur certains sujets techniques ? N'hésitez pas à nous en faire part via notre formulaire de contact, nous lirons vos idées avec attention. Laissez-vous guider par nos rédacteurs : Alexandre, Amine, Antonin, Arnaud, Benjamin, Enzo, Fabien, Françoise, Gilles, Jean-Charles, Jean-Philippe, Jonathan, Joël, Joëlie, Julien, Jéromine, Lyse, Nancy, Natacha, Nicolas, PierreG, Sébastien, Yann, et bonne visite !