Tout savoir sur le CyberScore
Le cyberscore est un barème de notation que vont devoir afficher un certain nombre de sites web en France.
De la même façon que le nutriscore permet d’évaluer la qualité d’un produit alimentaire, le cyberscore permettra aux internautes d’évaluer la sécurité de leurs données personnelles sur les sites et sur les réseaux sociaux sur lesquels ils naviguent.
Tout savoir sur le CyberScore
Cette loi poursuit un objectif de protection des données et de sécurité, partagé avec d’autres textes dont par exemple le RGPD.
En revanche, elle est singulière en ce qu’elle aboutit à la création d’une obligation d’information en termes de cybersécurité pour certains acteurs.
Par ailleurs, cette loi s’inscrit dans un contexte européen de renforcement des obligations en matière de Cybersécurité.
On pense notamment à la directive NIS (Network and Information System Security), étant précisé qu’un accord a été trouvé au niveau européen sur la directive NIS 2, ou encore au règlement européen Digital Services Act qui contraindra certaines plateformes à recourir chaque année à des audits de conformité.
Encore des interrogations sur le cyberScore ?
En effet, le simple assujettissement ne peut être un critère d’évaluation, dans le cadre d’un audit, au même titre que la mise en place de mesures concrètes et tangibles.
Ce critère ne peut servir à garantir la sécurité de l'information, car il vise clairement à discriminer les fournisseurs non européens et à favoriser de manière injustifiée les organisations ayant leur siège dans l'UE.
En outre, elle suppose simplement que le fait d'être soumis à un ensemble de lois conduit automatiquement le fournisseur à offrir des mesures de sécurité plus élevées qu'un fournisseur qui ne l'est pas, ce qui conduit à une situation absurde dans laquelle le fournisseur européen serait considéré comme offrant un niveau de protection plus élevé par rapport à son homologue non européen, même si le fournisseur européen enfreint ces obligations légales.
De plus, l’AFNUM s’interroge sur la possibilité concrète de graduer l’assujettissement à un droit. Soit l’entité en cause est soumise au droit européen, et doit de fait l’appliquer, soit elle ne l’est pas, il n’est tout simplement pas possible d’apposer une note, de C à A+, sur un critère qui, par nature, est binaire.
Enfin, nous souhaiterions préciser que les obligations européennes relatives à la protection des données et à la cybersécurité ont un champ d’application particulièrement large. Ainsi, le RGPD s’impose à toute personne traitant ou récoltant les données personnelles d’une personne située sur le territoire de l’Union et la directive NIS 2 cible l’ensemble des personnes morales fournissant des services à destination de l’UE.
Le droit européen et en particulier le RGPD et la directive NIS2 sont donc parfaitement adaptés aux enjeux transfrontalier du numérique et essayer de graduer son applicabilité ne ferait que rajouter de la confusion et de l’incertitude juridique pour les opérateurs économiques.
Quelles sont les plateformes concernées ?
* les opérateurs de plateformes en ligne au sens du Code de la consommation :
« toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur : 1° Le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ; 2° Ou la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service (…) ». Concrètement, cela concerne les moteurs de recherche, les sites d’annonces en ligne, les plateformes de partage de vidéos en ligne, etc…
* les fournisseurs de services de communications interpersonnelles au sens du Code des postes et des communications électroniques :
« service de communications interpersonnelles qui n’établit pas de connexion à un numéro ou des numéros figurant dans le plan national ou international de numérotation, ou qui ne permet pas la communication avec un numéro ou des numéros figurant dans un plan national ou international de numérotation ». Peuvent tomber sous le coup de cette définition, les services de messagerie instantanée, les réseaux sociaux, ou encore les services de visioconférence.
Quels sont les critères du cyber score ?
- les mesures de sécurité mise en œuvre pour sécuriser les données (audit de sécurité) *
- la localisation des données hébergées *
- l’impact de lois étrangères sur la protection des données (notamment pour les technologies dépendantes des USA ou de la Chine). *
- Le nombre de condamnations CNIL *
- Le nombre de failles de sécurité recensées *
- Certains critères importants issus du RGPD ou de la directive NIS notamment le privacy by default
Toutefois, pour l’actualisation de ce « cyberscore », il faudra attendre la décision qui définira les seuils auxquels les plateformes seront prises en compte et la décision qui s’appuiera sur la recommandation de la CNIL pour déterminer les critères de l’audit, sa durée de validité et les modalités de présentation.
Au sujet de l'affichage
Le projet d’arrêté ne prend non plus pas en considération la particularité de la navigation sur mobile, pour lequel l’affichage d’un « Cyberscore » en continu sur l’écran d’accueil pourrait constituer une véritable gêne à la navigation.
L’affichage du « Cyberscore » pose aussi la question de son affichage lorsque le service suppose une identification ou authentification et de savoir si le « Cyberscore » doit figurer sur la page d’accueil du site avant ou après l’identification ou l'authentification des utilisateurs.
De plus, L’affichage du « Cyberscore » sur les services de communications interpersonnelles non fondés sur la numérotation apparaît également plus difficile (notamment car l’information sera plus difficilement visible). En effet, le consommateur accède généralement directement à son espace personnel, composé d’un fil de conversations. Il serait pertinent pour ses services de prévoir que l’information est affichée à partir de l’écran d’accueil, et non pas sur l’écran d’accueil.
Un « Cyberscore » illisible ou difficilement lisible créera de la gêne et de la confusion chez les consommateurs qu’il est supposé éclairer.
Identification du service labellisé
Il ne serait ainsi pas justifié d’intégrer dans le domaine d’application du « Cyberscore » des connexions vers une partie du service non soumis dans son objet d’activité à l’obligation de « Cyberscore ».
Des questions ?
Pour en savoir davantage sur le sujet, télécharger le livre blanc dédié aux professionnels du secteur.
Accompagnement à l'audit CyberScore
Les équipes de Cyber Heros vous accompagnent à maîtriser et piloter votre audit Cyber Score.
L'actualité du CyberScore
Votre cyber-défense, notre métier.
Cyber-héros, un investissement pour les chefs d'entreprise qui souhaitent dormir sur leurs deux oreilles.