Le Cyberscore c’est quoi ?
Pour établir le cyberscore, les plateformes numériques destinées au grand public vont devoir réaliser un audit de cybersécurité dont les résultats seront présentés aux consommateurs.
Par “plateformes numériques destinées au grand public”, on entend certains moteurs de recherche ou marketplaces qui dépassent certains seuils. D’après la loi, l’audit obligatoire portera sur « la sécurisation et la localisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, et sur leur propre sécurisation ». La durée de la validité du cyberscore sera de 12 mois et les audits afférents devront être renouvelés jusqu’à 3 mois après l’expiration du dernier audit.
Lire plus : Loi n° 2022-309 du 3 mars 2022
Quels seront les éléments qui feront l’objet d’une notation ?
L’audit, qui sera réalisé par un prestataire qualifié (PASSI), s’appuiera sur une grille d’audit centrée sur neuf thématiques :
Le thème de l’organisation et gouvernance regroupe toutes les actions faites par la plateforme pour éviter en amont les risques cyber. Notamment en suivant les injonctions juridiques européennes ou encore en souscrivant à une assurance pour les risques numériques…
La protection des données est aussi une thématique pointée dans l’audit, cette dernière regroupe les injonctions du Règlement Général sur la Protection des données (RGPD) ou encore la conformité du service aux recommandations du Comité Européen de la Protection des Données.
Ensuite, concernant le thème de la connaissance et la maîtrise du service numérique, un des critères soulevés sera l’existence d’une cartographique des partenaires et des sous-traitants contribuant au service numérique étudié.
Le niveau d’externalisation des données est aussi observé, le prestataire qualifié devra s’interroger sur la quantité et la qualité des données traitées par un prestataire externe à l’entreprise.
La cinquième thématique est relative au niveau d’exposition sur internet, plus la plateforme sera exposée, plus le risque cyber sera important. La surface d’exposition regroupe l’ensemble des ressources du service informatique exposé, comme les domaines, les adresses IP ou les sites web…
L’audit se concentrera aussi sur le dispositif de traitement des incidents de sécurité, même si le but premier est d’éviter ces failles de sécurité, une réponse appropriée de l’entreprise est attendue lorsque ses premières défenses tombent. Ce point peut s’assimiler à la gouvernance des données.
Un audit du service numérique étudié sera effectué avant la mise en place de celui-ci, puis régulièrement, une fois que ce service sera mis en place.
L’entreprise devra aussi mettre un point d’orgue sur la sensibilisation aux risques cyber et la lutte anti-fraude, elle devra mettre en place des actions de sensibilisation pour les employés de l’entreprise fournissant le service numérique étudié.
Le neuvième et dernier point de l’audit concerne le développement sécurisé avec notamment la vérification de l’application des règles de l’OSWAP, une organisation à but non lucratif qui se consacre à la sécurité des applications web.
Lire plus : Projet d’arrêté pour l’application de la loi n° 2022-309 du 3 mars 2022.
Pourquoi imposer l’édiction d’un Cyberscore ?
L’avantage de ce cyberscore est de populariser l’importance de la cybersécurité dans notre quotidien, en indiquant simplement, avec une palette de couleurs compréhensible par tous, le niveau de cybersécurité assuré par la plateforme.
Selon le projet d’arrêté relatif à cette loi du 3 mars 2022, ce marquage visuel devra être apposé de manière visible sur l’écran d’accueil du service en ligne. De plus, le score de l’audit ainsi que la date de celui-ci devront apparaître de manière visible dans les mentions légales du service en ligne.
Des débuts ratés ?
Les textes d’application encadrant la mise en place du cyberscore ne sont toujours pas publiés au journal officiel alors que ce dernier est obligatoire depuis le 1er octobre.
La fixation des seuils pour l’application de cette loi, ou encore les critères de l’audit devant être effectué par les entreprises dépassant ces seuils sont encore à l’état de projet de décret ou de projet d’arrêté.
De plus pour le consommateur il sera difficile de connaître les enjeux de cybersécurité derrière une lettre A, B, C, D ou E. Mais certains pourraient arguer que le consommateur a aussi un devoir d’information à ce sujet.
Cependant, les critères compris dans le projet d’arrêté semblent assez simples à mettre en œuvre pour les structures concernées par le cyberscore. Seules certaines grandes entreprises sont, pour le moment, concernées par cette loi, il leur sera plutôt aisé de faire les efforts requis pour éviter la sanction.
Il est logique de penser que cette certification cyberscore a vocation à s’étendre aux petites et moyennes entreprises. Affaire à suivre donc…
French