Suivez-nous
Demander une démo
Dernière mise à jour le 1 février 2024

Tout savoir sur le CyberScore

Le cyberscore est un barème de notation que vont devoir afficher un certain nombre de sites web en France.

 De la même façon que le nutriscore permet d’évaluer la qualité d’un produit alimentaire, le cyberscore permettra aux internautes d’évaluer la sécurité de leurs données personnelles sur les sites et sur les réseaux sociaux sur lesquels ils naviguent.

Téléchargez le livre blanc
Nous contacter
Loi ANSSI

Tout savoir sur le CyberScore

Cette loi poursuit un objectif de protection des données et de sécurité, partagé avec d’autres textes dont par exemple le RGPD.
En revanche, elle est singulière en ce qu’elle aboutit à la création d’une obligation d’information en termes de cybersécurité pour certains acteurs.

Par ailleurs, cette loi s’inscrit dans un contexte européen de renforcement des obligations en matière de Cybersécurité.

On pense notamment à la directive NIS (Network and Information System Security), étant précisé qu’un accord a été trouvé au niveau européen sur la directive NIS 2, ou encore au règlement européen Digital Services Act qui contraindra certaines plateformes à recourir chaque année à des audits de conformité.

Encore des interrogations sur le cyberScore ?

Le premier critère, relatif à l’assujettissement au droit européen du fournisseur de la plateforme, soulève des interrogations tant techniques que juridiques. Tout d’abord, l’assujettissement à un droit, quand bien même celui-ci serait particulièrement développé en matière de cybersécurité, ne garantit en aucun cas que le prestataire en cause a bien mis en œuvre des mesures de cybersécurité.

En effet, le simple assujettissement ne peut être un critère d’évaluation, dans le cadre d’un audit, au même titre que la mise en place de mesures concrètes et tangibles.

Ce critère ne peut servir à garantir la sécurité de l'information, car il vise clairement à discriminer les fournisseurs non européens et à favoriser de manière injustifiée les organisations ayant leur siège dans l'UE.

En outre, elle suppose simplement que le fait d'être soumis à un ensemble de lois conduit automatiquement le fournisseur à offrir des mesures de sécurité plus élevées qu'un fournisseur qui ne l'est pas, ce qui conduit à une situation absurde dans laquelle le fournisseur européen serait considéré comme offrant un niveau de protection plus élevé par rapport à son homologue non européen, même si le fournisseur européen enfreint ces obligations légales.

De plus, l’AFNUM s’interroge sur la possibilité concrète de graduer l’assujettissement à un droit. Soit l’entité en cause est soumise au droit européen, et doit de fait l’appliquer, soit elle ne l’est pas, il n’est tout simplement pas possible d’apposer une note, de C à A+, sur un critère qui, par nature, est binaire.

Enfin, nous souhaiterions préciser que les obligations européennes relatives à la protection des données et à la cybersécurité ont un champ d’application particulièrement large. Ainsi, le RGPD s’impose à toute personne traitant ou récoltant les données personnelles d’une personne située sur le territoire de l’Union et la directive NIS 2 cible l’ensemble des personnes morales fournissant des services à destination de l’UE.

Le droit européen et en particulier le RGPD et la directive NIS2 sont donc parfaitement adaptés aux enjeux transfrontalier du numérique et essayer de graduer son applicabilité ne ferait que rajouter de la confusion et de l’incertitude juridique pour les opérateurs économiques.

Quelles sont les plateformes concernées ?

Ces obligations s’imposeront à deux types de plateformes numériques, sous réserve qu’elles dépassent les seuils fixés dans un décret à venir :

* les opérateurs de plateformes en ligne au sens du Code de la consommation :

« toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur : 1° Le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ; 2° Ou la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service (…) ». Concrètement, cela concerne les moteurs de recherche, les sites d’annonces en ligne, les plateformes de partage de vidéos en ligne, etc…

* les fournisseurs de services de communications interpersonnelles au sens du Code des postes et des communications électroniques :

« service de communications interpersonnelles qui n’établit pas de connexion à un numéro ou des numéros figurant dans le plan national ou international de numérotation, ou qui ne permet pas la communication avec un numéro ou des numéros figurant dans un plan national ou international de numérotation ». Peuvent tomber sous le coup de cette définition, les services de messagerie instantanée, les réseaux sociaux, ou encore les services de visioconférence.

Quels sont les critères du cyber score ?

L’ANSSI doit maintenant définir les critères sur lesquels le cyber score va être calculé. Voici quelques propositions :
  • les mesures de sécurité mise en œuvre pour sécuriser les données (audit de sécurité) *
  • la localisation des données hébergées *
  • l’impact de lois étrangères sur la protection des données (notamment pour les technologies dépendantes des USA ou de la Chine). *
  • Le nombre de condamnations CNIL *
  • Le nombre de failles de sécurité recensées *
  • Certains critères importants issus du RGPD ou de la directive NIS notamment le privacy by default
Il semble que les critères ne portent pas uniquement sur les données personnelles mais seront étendues.

Toutefois, pour l’actualisation de ce « cyberscore », il faudra attendre la décision qui définira les seuils auxquels les plateformes seront prises en compte et la décision qui s’appuiera sur la recommandation de la CNIL pour déterminer les critères de l’audit, sa durée de validité et les modalités de présentation.

Au sujet de l'affichage

S’il est indiqué à l’Annexe 2 du projet d’arrêté que le “marquage visuel cyberscore devra être apposé de manière visible sur l’écran d’accueil du service en ligne visé par le présent décret”, il n’est cependant pas précisé si le « Cyberscore » devrait figurer en permanence ou s’il peut être supprimé après avoir été dûment porté à la connaissance de l’utilisateur.

Le projet d’arrêté ne prend non plus pas en considération la particularité de la navigation sur mobile, pour lequel l’affichage d’un « Cyberscore » en continu sur l’écran d’accueil pourrait constituer une véritable gêne à la navigation.

L’affichage du « Cyberscore » pose aussi la question de son affichage lorsque le service suppose une identification ou authentification et de savoir si le « Cyberscore » doit figurer sur la page d’accueil du site avant ou après l’identification ou l'authentification des utilisateurs.

De plus, L’affichage du « Cyberscore » sur les services de communications interpersonnelles non fondés sur la numérotation apparaît également plus difficile (notamment car l’information sera plus difficilement visible). En effet, le consommateur accède généralement directement à son espace personnel, composé d’un fil de conversations. Il serait pertinent pour ses services de prévoir que l’information est affichée à partir de l’écran d’accueil, et non pas sur l’écran d’accueil.

Un « Cyberscore » illisible ou difficilement lisible créera de la gêne et de la confusion chez les consommateurs qu’il est supposé éclairer.

Identification du service labellisé

Il nous apparaît essentiel de préciser ce qui est entendu par “une partie dissociable d’un service” car celle-ci pourrait être interprétée de manière large et sans considération.

Il ne serait ainsi pas justifié d’intégrer dans le domaine d’application du « Cyberscore » des connexions vers une partie du service non soumis dans son objet d’activité à l’obligation de « Cyberscore ».

Des questions ?

Pour en savoir davantage sur le sujet, télécharger le livre blanc dédié aux professionnels du secteur.

Téléchargez le livre blanc
cyberscore livre blanc audit
Cyber-score-by cyber heros

Accompagnement à l'audit CyberScore

Les équipes de Cyber Heros vous accompagnent à maîtriser et piloter votre audit Cyber Score.

Prendre rendez-vous
L'info en direct

L'actualité du CyberScore

DSI : Pourquoi Former Vos Collaborateurs à la Cybersécurité ?
Cybersécurité
DSI : Pourquoi Former Vos Collaborateurs à la Cybersécurité ?
 mars 19, 2024
Cyberattaques aux JO 2024: Un Marathon Contre les Hackers
Cybersécurité
Cyberattaques aux JO 2024: Un Marathon Contre les Hackers
 février 20, 2024
Cybersécurité et Télétravail : Quels sont les enjeux ?
Cybersécurité
Cybersécurité et Télétravail : Quels sont les enjeux ?
 février 19, 2024
Phishing : Guide Pratique pour Reconnaître et Prévenir les Cyberarnaques
Cybersécurité
Phishing : Guide Pratique pour Reconnaître et Prévenir les Cyberarnaques
 février 15, 2024

Votre cyber-défense, notre métier.

Eliminez les menaces cyber.
Facilitez vous la vie, déléguez votre cyber-défense à des experts.
Réduisez les risques liés à une manipulation humaine.
Créez une ligne de défense humaine grâce à la formation des salariés.

Cyber-héros, un investissement pour les chefs d'entreprise qui souhaitent dormir sur leurs deux oreilles.

Close
Search

Hit enter to search or ESC to close

cookie En utilisant ce site Web, vous acceptez notre politique de confidentialité. Close