Accueil
Actualités
Cyber-score, un futur critère de fiabilité ?


#CYBERSÉCURITÉ

Cyber-score, un futur critère de fiabilité ?



Le nombre de cyberattaques augmente chaque jour un peu plus. Parmi ces cyberattaques, certaines inquiètent particulièrement la population française : les vols de données et les usurpations d’identité. Le gouvernement français souhaite donc mettre en place un “Cyber-score” pour à la fois rassurer la population et inciter les entreprises et les organisations à investir dans la cybersécurité de leur activité. A quoi correspond exactement ce cyber-score ? Quels sont les critères pris en compte et comment est-il mis en place ? Quelques informations à connaître et à suivre pour mesurer la fiabilité de son système IT.

QU’EST-CE-QUE LE CYBER-SCORE ET QUAND DOIT-IL ÊTRE MIS EN PLACE ?

15 juillet 2020 : en pleine crise sanitaire, le gouvernement français constate à la fois une accélération spectaculaire des usages numériques mais aussi de cyberattaques avec en première ligne : les vols de données et d’usurpations d'identité, souvent à travers de ransomwares. Pour faire face à cette menace grandissante pour la population et pour la stabilité économique, les autorités gouvernementales françaises déposent au parlement une proposition pour mettre en place un “cyberscore”.

Si nous devions résumer, le cyberscore est le Nutriscore de la cybersécurité. D’après la loi du 3 mars 2022 pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public, le cyberscore devra être mentionné et visible sur différents types de site web :

  • grandes plateformes numériques
  • messageries instantanées
  • sites de visioconférence les plus utilisés.

D’après cette nouvelle loi (nouvel article L. 111-7-3 au sein du code de la consommation), les sites et plateformes qui seront mentionnés par décret devront afficher visuellement ce cyberscore à partir du 1er octobre 2023. Cette nouvelle loi vise clairement les grands sites comme Google, WhatsApp, Zoom, Skype, Facebook, Amazon, Vinted, les divers médias…Pas de doute : ce cyber-score est une nouveauté dans le paysage numérique français qui souligne indéniablement l’importance de la cybersécurité.

LE CYBER-SCORE, UN OUTIL DE SENSIBILISATION ET DE MOBILISATION CONTRE LES CYBERATTAQUES

Avec 60,92 millions d’internautes français, soit 93 % de la population, le gouvernement français a trois volontés fortes :

  • sensibiliser et informer la population des risques de cyberattaques lors de la visite ou de l’utilisation d’un site web, marchand ou non, des plateformes de discussion ou des réseaux sociaux. Comme le dit Laurent Lafont, sénateur à l’initiative du cyber-score, cette certification doit "permettre rapidement à quelqu’un, pas spécialiste des questions de sécurité informatique, de comprendre s’il est plus ou moins risqué d’utiliser tel outil ou tel autre".
  • rassurer ou alerter sur le risque plus ou moins existant de cyberattaques selon les sites web ou les plateformes en mettant en place une grille de critères à remplir, comme une évaluation.
  • mobiliser les créateurs et gestionnaires de sites internet à renforcer leur cybersécurité, surtout en cas de site web où des coordonnées de visiteurs sont récoltées (de l’identité aux moyens de paiement) et des réseaux sociaux vis-à-vis des quantités de données personnelles qui transitent.

DE LA GRILLE DE CRITÈRES À L’AUDIT : LES RÈGLES DU CYBER SCORE SONT ENCORE FLOUES

En octobre 2023, les sites de plus de 5 millions de visiteurs, définis par décret, devront afficher visuellement ce cyberscore. Avant d’y arriver, ces entreprises devront réaliser un audit de cybersécurité dont :

  • les critères d’évaluation du cyberscore seront définis par la CNIL (Centre National des Informations et des Libertés)
  • la réalisation sera effectuée par des par des prestataires qualifiés par l’ANSSI (Agence Nationale de Sécurité des systèmes d’Information).

A ce jour, aucune certitude sur la grille d’évaluation du cyber-score ou encore sur la fréquence des audits. Des pistes sont évoquées comme la sécurisation et la localisation des données hébergées, l’historique de la protection des données (nombre de condamnations RGPD, nombre de failles logicielles mises à jour…) et d’autres. Par contre, une chose est sûre : une entreprise mise à défaut sur le cyber score risque 375 000 € d’amende.

Même si la mise en place n’est pas finalisée, le cyber-score va changer le paysage numérique français, tant pour la population que pour les entreprises du web. Le cyber score devient un nouveau critère de transparence pris en compte par l’internaute pour utiliser ou acheter sur un site web ou un réseau social.