Cyberscore, nouvelle cotation qui entrera en vigueur fin 2023, mais les grandes plates formes font des pieds et des mains, pour repousser sa date de mise en application.
Evaluer la sécurité des données
Sommaire
Le Cyberscore de quoi s’agit-il ; c’est un système de notation, à l’image du nutriscore pour les produits alimentaires, afin de permettre aux internautes d’évaluer la sécurité de leurs données sur les sites et réseaux sociaux qu’ils fréquentent, qui sont de plus en plus nombreux, donc dangereux.
La digitalisation et les usages numériques ne cessent de s’intensifier, la cybersécurité est une préoccupation croissante, même si certains chefs d’entreprise font semblant de ne pas y croire.
Les entreprises sont particulièrement exposées aux risques d’actes de piratage et sont donc vulnérables, quelle que soit leur taille, incluant aussi les établissements de santé. Le baromètre 2022 sur la cybersécurité des entreprises du CESIN (Club des Experts de la Sécurité, et de l’Informatique Numérique) recense, chaque année l’état de la situation, au niveau national :
- 54% d’entreprises déclarant avoir subi au moins une cyberattaque, ou plusieurs en 2021 ;
- 30% des cyberattaques ont conduit à des vols de données personnelles, stratégiques ou techniques, ou des données d’innovation ;
- 978 Millions de personnes chaque année dans le monde sont concernées par une cyberattaque
- 9 français sur 10, ont déjà eu à subir, un acte de cybermalveillance en France.
- 51% des entreprises considèrent la sensibilisation aux enjeux de cybersécurité comme une priorité, mais certains responsables continuent d’ignorer de telles situations.
Cyberscore, de quoi s’agit-il ; découvrons un peu plus, dans le présent article, ce que nous prépare la nouvelle loi, et qui inquiète tant toutes ces plates formes qui utilisent et manipulent les données personnelles, sans beaucoup de contrôles jusqu’à maintenant.
Que dit la loi, qui n’est toujours pas en vigueur ?
Adoptée début mars 2022, la loi n°2022-309, modifie le code de la consommation en ajoutant de nouvelles obligations en matière de cybersécurité aux grandes plateformes numériques, aux messageries instantanées et aux sites de visioconférence les plus utilisés.
Le champ de cette loi concerne les acteurs couverts par l’article L.111-7.I du code de la consommation dépassant un certain seuil restant à définir.
Ainsi, les sites et réseaux concernés devront afficher de manière lisible, claire et compréhensible, au moyen d’un système d’information coloriel, leur score.
Ce score sera tiré d’un audit de sécurité que les opérateurs concernés devront réaliser auprès des prestataires qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) portant sur la sécurisation des données qu’ils hébergent.
Le dispositif est prévu pour entrer en application le 1er octobre 2023, mais il subsiste encore certains points à clarifier ou à préciser.
Quelles applications concrète pour les plateformes et autres réseaux ?
Le texte prévoit qu’un décret listera les plateformes, réseaux sociaux et sites de visioconférence concernés et un arrêté précisera les critères pris en compte par l’audit de sécurité, mais la date d’application est pratiquement là, et le texte n’est pas prêt de sortir.
La FEVAD a eu des échanges serrés avec les Ministères concernés sur le texte en question et a pu ainsi faire remonter un certain nombre d’inquiétudes identifiées par les professionnels des secteurs concernés, lesquelles ont été prises (nous l’espérons) en compte dans la version finale du texte.
Les Gafam sont aussi très actifs sur le sujet, car ils sont concernés en première ligne, et ils s’inquiètent de toutes ces réglementations et obligations, qui les contraignent et les obligent, toutes ces nouvelles dénominations sont entrées dans le langage commun et courant, et le but final est d’obtenir des données personnelles pour mieux les vendre sur le darkweb.
Le dernier texte officiel en date du 4 mars 2022 :
« Art. L. 111-7-3.-Les opérateurs de plateformes en ligne mentionnés à l’article L. 111-7 du présent code et les personnes qui fournissent des services de communications interpersonnelles non fondés sur la numérotation, au sens du 6° quater de l’article L. 32 du code des postes et des communications électroniques, dont l’activité dépasse un ou plusieurs seuils définis par décret réalisent un audit de cybersécurité, dont les résultats sont présentés au consommateur dans les conditions prévues au dernier alinéa du présent article, portant sur la sécurisation et la localisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, et sur leur propre sécurisation, dans les conditions prévues au présent article, oui on pouvait dire les choses plus simplement pour que cela soit compréhensible de tous, et par tous.
« L’audit mentionné au premier alinéa est effectué par des prestataires d’audit qualifiés par l’Agence nationale de la sécurité des systèmes d’information, et pour l’instant le texte de loi se ballade entre l’assemblée nationale et le sénat, tout en sachant qu’ils l’on déjà voté en première lecture.
« Un arrêté conjoint des ministres chargés du numérique et de la consommation, pris après avis de la Commission nationale de l’informatique et des libertés, fixe les critères qui seront pris en compte par l’audit prévu au même premier alinéa et ses conditions en matière de durée de validité ainsi que les modalités de sa présentation.
Les grands donneurs d’ordre ou plateformes, inquiets
« Le résultat de l’audit sera présenté au consommateur de façon lisible, claire et compréhensible et est accompagné d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel. » ; les Gafam comme Google, Facebook et similaires ont encore beaucoup de pain sur la planche, et de plus en plus surgissent des commentaires sur le report de la loi.
De plus, le fait qu’il y ait une durée de validité du CyberScore certes limitée dans le temps, de sorte que les plateformes concernées seront contraintes de se plier régulièrement à de nouveaux audits. On comprend les raisons : il s’agit notamment de vérifier si le niveau de sécurité des plateformes n’a pas baissé. D’autant plus, que les critères du CyberScore pourraient aussi évoluer dans le temps, pour mieux s’adapter au client final.
Auteur Antonio Rodriguez Mota, Editeur et Directeur de Clever Technologies
Autres articles :
- Cyberprévention à mettre en place pour les PME
- Guide des pare-feu 2023 pour sécuriser son réseau ?
- palmarès des mauvaises pratiques en Cybersécurité