C’est quoi le Cyberscore ?

18 janvier 2024 5 min de lecture

Il y a quelques mois, l’annonce du gouvernement a été largement repris par la presse. Le cyberscore était né ! Un indicateur visuel, facile à lire et pédagogique, allait être mis en place et apposé sur les sites Web pour en estimer la sécurité. On reprend les codes du Nutriscore : un site A, c’est sain, garanti sans vol de données ou sans malware… alors qu’un site E n’est pas bon pour la santé (numérique). Surement une histoire de cookies pas frais ou de certificats à la date de péremption dépassée.

Sur le papier, l’idée est simple et efficace. Mais en pratique, entre l’annonce et la mise en place au quotidien, on pouvait se poser de nombreuses questions. Quels sont les sites Web concernés ? Comment va se dérouler la notation ? Qui va donner le Cyberscore ? Le Cyberscore est-il obligatoire ? Que faire en cas de mauvaise note ?

La définition officielle du Cyberscore

Le 3 mars 2022 a été proposé une « loi visant à sécuriser et réguler l’espace numérique ». Le projet s’appuie sur 12 mesures, visant à atteindre quatre grands objectifs de protection de l’espace numérique, des citoyens, des entreprises et des collectivités et de la démocratie.

Cette loi du 3 mars 2022 a mis en œuvre le Cyberscore afin que les internautes puissent connaitre la sécurisation de leurs données sur les sites et réseaux sociaux. Elle modifie le Code de la Consommation en imposant de nouvelles obligations :

  • Information des internautes au travers d’un visuel Cyberscore
  • Sécurité du site
  • Localisation du site

L’évaluation de ce score sera réalisée au travers d’un audit devant être fait par un prestataire qualifié PASSI.  Sont concernés les grandes plateformes numériques, les messageries instantanées et les sites de visioconférence

Pour les plus férus de cyber-conformité, le texte fait le lien avec deux poids lourds du cadre réglementaire européen, le DGA (Data Governance Act) et le DMA (Digital Market Act). La loi visant à sécuriser et réguler l’espace numérique contribue à la mise en application française de ces deux textes.

Cyberscore : qui sera le premier ?

Le projet de décret de mise en application du Cyberscore précise des seuils de visites mensuelles pour définir les premiers sites et les premières plateformes qui seront concernées par cette loi.

« Les opérateurs de plateformes en ligne mentionnés à l’article L. 111-7 du présent code et les personnes qui fournissent des services de communications interpersonnelles non fondés sur la numérotation, au sens du 6° quater de l’article L. 32 du code des postes et des communications électroniques, dont l’activité dépasse un ou plusieurs seuils définis par décret réalisent un audit de cybersécurité, dont les résultats sont présentés au consommateur dans les conditions prévues au dernier alinéa du présent article, portant sur la sécurisation et la localisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, et sur leur propre sécurisation, dans les conditions prévues au présent article. »

Le seuil mentionné à l’article 1 de la Loi n° 2022-309 du 3 mars 2022 est fixé à 25 millions de visiteurs uniques par mois depuis le territoire français pour l’année 2024. Ce seuil est calculé sur la base de la dernière année civile.

 

Le seuil mentionné à l’article 1 de la Loi n° 2022-309 du 3 mars 2022 est fixé à 15 millions de visiteurs uniques par mois depuis le territoire français pour l’année 2025 et les années suivantes. Ce seuil est calculé sur la base de la dernière année civile.

Cela donne une première idée de la taille des premières cibles du Cyberscore.

Cyberscore : en pratique, comment faire ?

L’audit d’évaluation devra être mené par un prestataire d’audit qualifié PASSI. L’évaluation va s’appuyer sur une grille d’audit regroupant 9 thématiques, avec près de 40 critères qui feront l’objet de points de contrôle. La notation ira de de A+ à F

Les 9 thématiques d’audit d’évaluation du cyberscore sont les suivantes :

  1. Organisation et gouvernance
  2. Protection des données
  3. Connaissance et maîtrise du service numérique
  4. Niveau d’externalisation
  5. Niveau d’exposition sur Internet
  6. Dispositif de traitement des incidents de sécurité
  7. Audit du service numérique étudié
  8. Sensibilisation aux risques Cyber et lutte anti-fraude
  9. Développement sécurisé

Pour illustrer, on retrouver par exemple les critères d’audit suivant

  • Organisation et Gouvernance : La société délivrant le service est assujettie au droit européen (pour un score de A+ à C)
  • Connaissance et maîtrise du service numérique : Existence d’une cartographique des partenaires et des sous-traitants contribuant au service numérique étudié (pour un score de A+ à E)
  • Niveau d’externalisation : Localisation des infrastructures d’hébergement du service numérique en UE (pour un score de A+ à C)
  • Niveau d’exposition sur Internet : Gestion de l’identification/authentification des administrateurs techniques et fonctionnels du service (pour un score de A+ à E)
  • Développement sécurisé : Prise en compte des règles de l’OWASP (pour un score de A+ à D)

La note finale devra apparaitre de manière visuelle sur l’écran d’accueil avec le score. De plus le score et la date d’audit devront être précisés dans les mentions légales. A ce stade les seuils qui vont permettre de détermine les notes ne sont pas connus. Plus globalement la mécanique de calcul du score n’est pas encore connue.

Cyberscore : notre analyse

Cette loi n’est pas la première initiative publique pour apporter de la confiance aux citoyens. En effet l’homologation de sécurité, rendue obligatoire grâce à ce bon vieux RGS (Référentiel Général de Sécurité), visait à rassurer quant à l’utilisation d’un téléservice. La démarche n’était peut-être pas assez tournée vers le grand public mais elle avait le mérite d’exister et d’avoir initié la gestion des risques et le security-by-design dans de nombreuses collectivités publiques !

Le cyberscore devrait permettre de sensibiliser le grand public aux enjeux de la Cyber de tous les jours : protection des données, sécurité de l’accès à un site, par exemple. Et le texte représente un levier pour d’autres challenges comme la localisation des données et la souveraineté associée ou encore comme la maitrise des sous-traitants. A noter également la nécessite de disposer d’une assurance pour couvrir les risques numériques.

« Pour les plus aguerris à la cybersécurité, les exigences semblent tout à fait logiques et plutôt raisonnables. La bonne nouvelle est que pour les plus gros, concernés en premier par le texte, l’évaluation devrait bien se passer. Celles et ceux qui ont mis en place une démarche de sécurité ne devraient pas avoir de problème à avoir une bonne note ! Le plus complexe pour certains sera surement les problématiques de localisation des données et de gestion des tiers. »

Benjamin Leroux