Loi Cyberscore : une avancée majeure pour évaluer la sécurité des sites web

Les cyberattaques ont connu une expansion considérable ces dernières années, touchant une variété de secteurs, allant des grandes entreprises aux institutions publiques, en passant par les particuliers. Ces attaques ont entraîné d’importantes répercussions financières, compromis la vie privée des individus, et ébranlé la confiance dans les services numériques.

En 2023, l’impact des cyberattaques s’est particulièrement fait sentir en France, avec une augmentation significative de la fréquentation de la plateforme gouvernementale Cybermalveillance.gouv.fr.

Cette hausse s’établit à 53%, rassemblant près de 3,8 millions de visiteurs, soit presque autant que le total cumulé des quatre années précédentes jusqu’en 2022.

Ces chiffres témoignent de la prise de conscience croissante quant à la nécessité de se protéger contre les cybermenaces, ainsi que de la recherche active de solutions pour renforcer la sécurité numérique.

En réponse à la recrudescence des attaques cybernétiques, l’État a pris des mesures en début d’année 2022 en adoptant la loi intitulée « Cyberscore ».

Cette loi a pour objectif de déterminer si un service est conforme aux règles de protection des données, telles que la localisation, les sauvegardes et les garanties internes, tout en renforçant la sécurité numérique et le respect de la vie privée.

Le Cyberscore, dont la mise en application est prévue d’ici la fin de l’année 2023, ambitionne de créer un label permettant aux utilisateurs de vérifier facilement et rapidement si un service est correctement sécurisé et respectueux des données, en un seul coup d’œil.

Cette mesure viendra compléter les informations fournies aux utilisateurs en matière de sécurité des données, en plus du RGPD (Règlement Général sur la Protection des Données), dans le but de favoriser des pratiques numériques plus sûres et transparentes pour tous.

Le « Cyberscore »

Le jeudi 3 mars 2022, la loi n° 2022-309 visant à instaurer une certification de cybersécurité pour les plateformes numériques accessibles au grand public a été promulguée par le Président de la République. Cette loi a été officiellement publiée dans le Journal officiel n° 53 du 4 mars 2022.

La date d’entrée en vigueur du Cyberscore est prévue pour le 1ᵉʳ octobre 2023, avec la possibilité d’un report éventuel au 1ᵉʳ janvier 2024, comme stipulé dans le projet d’arrêté.

À l’heure actuelle, les décrets et arrêtés correspondants à cette loi sont en attente de publication. Une fois publiés, ces textes viendront compléter et préciser les modalités d’application de cette nouvelle mesure de cybersécurité.

Le Cyberscore en tant qu’indicateur de sécurité informatique

Le Cyberscore s’inspire de l’initiative du Nutriscore, mais cette fois-ci, il se concentre sur les sites web et les services numériques utilisés en ligne plutôt que sur les aliments. Il s’agit d’un système d’étiquetage visuel de la sécurité de ces plateformes, conçu pour fournir aux utilisateurs une meilleure compréhension de l’impact de ces sites sur leur « santé numérique ».

Similaire au Nutriscore qui permet aux consommateurs de rapidement évaluer la qualité nutritionnelle des aliments, le Cyberscore fournira une évaluation synthétique de la sécurité des sites web.

Ainsi, les utilisateurs pourront prendre des décisions plus éclairées concernant la protection de leurs données personnelles et de leur vie privée en ligne.

Ce système constituera un outil pratique pour les utilisateurs soucieux de leur sécurité en ligne. Ils pourront naviguer sur le web en prenant des décisions éclairées, en optant pour des plateformes qui respectent davantage leur vie privée et leurs données personnelles.

Le Cyberscore sera ainsi conçu comme une mesure visant à offrir aux internautes une évaluation claire et aisément compréhensible du niveau de sécurité et de protection des données personnelles d’un site web, même en l’absence d’expertise technique.

Ce label visuel leur permettra de déterminer rapidement si le site qu’ils visitent propose un environnement sûr pour leurs données.

Qui va être concerné par la loi Cyberscore ?

Deux types d’opérateurs sont concernés par cette obligation très proche :

Tous les opérateurs de plateforme en ligne proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur :

1. Le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers.
2. Ou la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service.

Les services de communications interpersonnelles non fondés sur la numérotation :

Les services qui n’établissent pas de connexion à un ou plusieurs numéros figurant dans le plan national ou international de numérotation ou qui n’en permettent pas la communication (les services de messagerie, les services de visioconférence, etc.).

En outre, la loi établit une condition liée au niveau de fréquentation du site, où des seuils d’activité seront définis ultérieurement par décret.

L’objectif principal de cette législation est de prioriser aux acteurs les plus importants du marché.

À partir de 2024, un seuil de 25 millions de visiteurs uniques par mois en France devrait être établi, mais il pourrait être abaissé à 15 millions de visiteurs uniques mensuels d’ici 2025.

D’ailleurs, selon le classement de la FEVAD dans le secteur du tourisme pour l’année 2022, uniquement la plateforme Booking.com dépasse actuellement ce seuil, la préservant ainsi de cette obligation jusqu’en 2025.

Une obligation légale à respecter

La loi Cyberscore met l’accent sur deux aspects essentiels : tout d’abord, l’obligation de réaliser un audit de sécurité pour certaines plateformes, et ensuite, la délivrance d’une certification de sécurité pour les sites destinés au grand public.

L’audit de sécurité obligatoire doit être défini par un arrêté des ministres chargés du numérique et de la consommation, en concertation avec la Commission Nationale Informatique et Libertés (CNIL).

Conformément à l’article L. 111-7-3 du Code de la consommation, l’audit sera réalisé par des prestataires agréés par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) désignés sous l’appellation « PASSI ».

L’audit se basera sur des informations publiques, accessibles librement et collectées de manière non intrusive par les prestataires PASSI.

Toutefois, si des informations non librement accessibles ou collectées de manière intrusive altèrent le Cyberscore, la responsabilité du prestataire PASSI pourrait être engagée.

Cette évaluation aura une validité de 18 mois, au-delà de laquelle une réévaluation sera nécessaire, basée sur les résultats d’un nouvel audit.

À l’instar du Nutriscore, le résultat de l’audit devra être présenté de manière claire et compréhensible, accompagné d’une expression complémentaire sous la forme d’un système d’information coloriel destiné aux internautes. Conformément au projet d’arrêté, le Cyberscore sera valide pour une période de 12 mois et devra être renouvelé tous les trois mois.

Les entreprises concernées par le Cyberscore seront également tenues de présenter une certification sur leur site web pour attester qu’elles ont été soumises à cet audit.

Cette certification sera présentée sous la forme d’une étiquette énergétique ou d’un Nutriscore, dans le but d’attirer facilement l’attention des visiteurs.

Le projet d’arrêté comprend également des critères définissant la notation du Cyberscore.

Les critères d’évaluation de la loi Cyberscore

Les sites des opérateurs seront évalués en fonction de plusieurs critères, définis par un arrêté ministériel, qui mettront l’accent sur deux aspects essentiels : la sécurité de l’outil utilisé par la plateforme et la localisation des données qu’elle collecte et héberge, ainsi que la sécurisation globale des plateformes elles-mêmes.

La sécurité de l’outil

Concernant la sécurité de l’outil, le Cyberscore évaluera la robustesse des mesures de protection mises en place par la plateforme afin de se prémunir contre les cyberattaques et les risques de violation des données personnelles des utilisateurs.

Cela inclura vraisemblablement des éléments tels que les systèmes de chiffrement utilisés, les pares-feux, les protocoles de sécurité et la gestion des mots de passe.

La localisation des données

En ce qui concerne la localisation des données, le Cyberscore portera une attention particulière à l’endroit où les informations collectées par la plateforme sont stockées. En effet, la localisation des centres de stockage peut soulever des questions juridiques concernant la protection des données.

Certains pays disposent de lois plus strictes en matière de protection des données personnelles, tandis que d’autres peuvent avoir des réglementations plus laxistes.

Il est essentiel de prendre conscience que chaque fois que des visiteurs se connectent à une plateforme en ligne, ils fournissent involontairement des données aux propriétaires de cette plateforme.

L’objectif du Cyberscore est de sensibiliser les utilisateurs à l’importance de la sécurité et de la protection de leurs données personnelles en leur fournissant une évaluation claire du niveau de sécurité et de localisation de leurs informations sur les sites qu’ils fréquentent.

L’impact potentiel de la loi Cyberscore

L’impact potentiel du Cyberscore se décline selon plusieurs perspectives clés : légale, financière, commerciale et marketing.

Sur le plan légal, cette loi prévoit des amendes substantielles pour les entreprises et les particuliers en cas de non-respect des obligations liées au Cyberscore.

Bien que ces sanctions soient moins sévères que celles du RGPD, elles soulignent néanmoins l’importance de la conformité en matière de sécurité des données.

En cas de non-respect, les particuliers s’exposent à une amende pouvant atteindre 75 000 euros, tandis que pour les entreprises, le montant peut grimper jusqu’à 375 000 euros.

La mise en place de cette loi vise donc à renforcer la sécurité et la protection des données personnelles des utilisateurs en incitant les opérateurs à améliorer leurs mesures de cybersécurité.

Sur le plan financier, le Cyberscore s’intégrera aux normes de responsabilité sociétale des entreprises (RSE), ce qui en fera un critère majeur de comparaison entre les entreprises du point de vue financier et commercial.

Les entreprises devront consacrer des ressources supplémentaires à la sécurisation de leurs outils afin de se conformer aux critères du Cyberscore, et celles qui répondront à ces exigences pourraient bénéficier d’un avantage concurrentiel.

D’un point de vue commercial et marketing, le Cyberscore deviendra un indicateur clé pour les acteurs économiques et les consommateurs.

Les individus auront une meilleure compréhension du niveau de sécurité offert par les opérateurs en ligne, ce qui influencera leurs décisions d’achat et de partenariats.

De plus, les entreprises B to B seront également impactées par cette réforme, car elles devront choisir des fournisseurs et des partenaires respectueux de la protection des données.

Cette réforme exigera une adaptation de la part des entreprises concernées, car elle implique une norme contraignante et nécessite un investissement important dans la sécurité des outils.

Cependant, c’est une mesure qui reflète une volonté collective de protéger la vie privée des individus et de garantir le respect des données personnelles par les entreprises.

Pendant la période de mise en place de la loi, il sera essentiel pour les entreprises de mettre en œuvre une cellule de veille et d’anticiper les audits, ainsi que de trouver des solutions pour être conformes au Cyberscore d’ici au 1ᵉʳ octobre 2023.

Comme cela a été le cas avec le RGPD, les entreprises qui tardent à se conformer au Cyberscore risquent de perdre un argument commercial et marketing crucial, car cette réforme sera largement mise en avant et les acteurs économiques chercheront à être rassurés par leurs partenaires concernant cette question primordiale de la protection des données.

Conseils pour améliorer son Cyberscore

Le Cyberscore constitue un indicateur essentiel quant à la sécurité des entreprises opérant en ligne. En effet, il témoigne de la qualité de la protection dont elles bénéficient face aux multiples cybermenaces qui guettent leur intégrité.

Afin d’accroître ce précieux indice et d’asseoir la sûreté de toute entreprise en ligne, il convient de prêter une attention particulière à plusieurs conseils primordiaux :

• Sensibiliser les utilisateurs : réaliser des formations aux employés et utilisateurs sur les bonnes pratiques de sécurité en ligne et sur la gestion des informations sensibles.
• S’assurer que tout site et tous les logiciels utilisés sont régulièrement mis à jour avec les dernières versions pour bénéficier des correctifs de sécurité.
• Installez des logiciels de sécurité sur tous les appareils des entreprises, y compris les ordinateurs, les téléphones portables et les tablettes.
• Effectuer des scans de vulnérabilités de manière régulière pour renforcer la sécurité des sites web.
• Éviter les e-mails de phishing et les liens suspects ou les pièces jointes provenant d’expéditeurs inconnus.
• Mettre en place des solutions afin d’être alerté en cas de changement malveillants effectués sur le site.
• Effectuer une analyse continue de la performance des sites pour éviter toute interruption de service (Down…).