En mars 2022, le Gouvernement français met en place le projet de loi sur une certification de cybersécurité ou aussi appelé cyber score. Inspiré du nutri score, l’objectif de cet indicateur est d’informer les personnes qui souhaiteraient visiter un site web, une note A, le site est sain d’utilisation, une note E, les visiteurs encourent un risque pour leurs données.
Se pose alors plusieurs questions. Quels sites sont concernés ? Quel est le barème de notation ? Qui délivre le cyber score ? et est-il obligatoire ? Découvrez dans cet article toutes les réponses à vos questions.
Qu’est-ce que le cyber score ?
Le cyber score est un projet de loi, la loi n° 2022-309, mis en place le 3 mars 2022 par le gouvernement français. Ce projet de loi doit mettre en place une certification de cybersécurité obligatoire pour les plateformes numériques. Pour ce faire, la loi s’appuie sur 12 mesures qui permettraient d’atteindre quatre grands objectifs de protection des données.
Protéger les concitoyens
- Créer un filtre de cybersécurité anti-arnaque
- Choisir librement son moteur de recherche, son navigateur, sa messagerie
- Bannir des réseaux sociaux les personnes condamnées pour cyberharcèlement
- Encadrer les nouveaux types de jeux en ligne
Protéger les entreprises et les collectivités
- Interdire aux géants du numérique de privilégier leurs services sur leurs plateformes
- Réduire la dépendance des entreprises au cloud
- Soutenir et régulariser les meublés de tourisme pour les collectivités
Protéger la démocratie
- Interdire la diffusion de médias étrangers faisant l’objet de sanctions internationales
- Lutter contre la désinformation sur les réseaux sociaux
Protéger les enfants
- Interdire la publicité ciblée sur les personnes mineurs ou utilisant des données sensibles
- Mettre fin à l’exposition des enfants aux contenus pornographiques
- Retirer tous les contenus pédopornographiques en ligne
Au-delà de ces 12 mesures, la loi n°2022-39 met en œuvre de nouvelles règles pour la sécurité des données des internautes. Ces nouvelles règles visent à modifier le Code de la Consommation en obligeant l’ajout :
- D’un indice de sécurité représenté par le Cyber score
- Une sécurisation obligatoire du site
- L’emplacement d’hébergement du site
Comment est évaluée la sécurité d’un site ?
Cette certification vient s’ajouter aux deux nouveaux règlements récemment mis en oeuvre par la Commission Européenne, le DGA (Data Governance Act) et le DMA (Digital Market Act).
Pour évaluer la sécurité des sites concernés, le gouvernement ne mettra pas en place un organisme ou système approprié. L’évaluation sera aux frais de l’entreprise et devra se faire par un prestataire externe à l’entreprise qualifié PASSI.
Afin de noter convenablement chaque plateforme, l’évaluation se basera sur 9 thématiques, regroupant 40 critères, qui donneront une note allant de A+ à F :
- L’organisation et la gouvernance des données
- La protection des données
- La connaissance et la maîtrise du service numérique
- Le niveau d’externalisation
- Le dispositif de traitement des incidents de sécurité
- L’audit du service numérique étudié
- La sensibilisation aux risques Cyber et la lutte anti-fraude
- Le développement sécurisé des plateformes et applications
Une fois la note établie, elle devra apparaître sur l’écran d’accueil avec son score. Les entreprises devront également marquer le score et la date de l’audit dans les mentions légales.
Les points qui seront attribués à chaque thématique n'ont pas encore été dévoilés.
Qui sera concerné ?
Ce nouveau barème concerne les plateformes numériques, les sites de messageries instantanées et les sites de visioconférences.
Un projet de décret de mise en place du Cyber score indique que les sites et plateformes dépassant un certain seuil de visites mensuelles devront mettre en place ce visuel avant une date précise.
Ainsi, les sites dépassant les 25 millions de visiteurs uniques par mois sur le territoire français devront mettre en œuvre le Cyber score pour l’année 2024. Les sites atteignant les 15 millions de visiteurs uniques en France auront jusqu’en 2025 pour mettre le barème en place.
Le cyber score semble être le nouveau moyen de défense et de prévention du gouvernement français pour protéger ses internautes. Mais, si la loi n°2022-309 souhaite amener une ère de protection sur internet, elle n’est pas la première mise en place. L’homologation de sécurité, mise en place en 2014, avait déjà pour objectif de rassurer les utilisateurs d’un téléservice.
Contrairement à ce projet, le cyber score doit permettre de sensibiliser le public aux enjeux de la cybersécurité quotidienne tels que : la sécurité d’un site, la protection de ses données, reconnaître une tentative d’escroquerie ou d’intrusion.