Articles récents
  • nuit blockchain 3 evenement
    La Nuit de la Blockchain 3ème Édition : Blockchain et IA dans les industries créatives

    Rendez-vous le 20 mais 2025 sur le campus d'ICN Business School à La Défense à Paris pour la 3ème édition de La Nuit de...

  • fiscalite-crypto-actifs-france
    La fiscalité des crypto-actifs en France en 2025

    Dans cet article, découvrez un éclairage sur le paysage fiscal qui s’applique à vos actifs numériques en cette année...

  • BPIFRANCE INVESTISSEMENT CRYPTOS
    Une première mondiale : Bpifrance mise sur les cryptos

    Découvrez dans cet article comment Bpifrance, la SEC et Ethereum rebattent les cartes de l’écosystème crypto en 2025....

  • ETUDE BITPANDA 2025 DEMANDE CRYPTO EXPLOSE
    Étude Bitpanda 2025 : la demande crypto explose, les institutions peinent à suivre

    Une étude Bitpanda révèle un écart croissant entre la demande en crypto des investisseurs et l’offre des institutions...

Petit guide du Cyberscore

La loi du 3 mars 2022 a eu pour objet la mise en place d’une certification de cybersécurité des plateformes numériques destinées au grand public, cette certification est aussi appelée « cyberscore ».

Le Cyberscore c’est quoi ?

Pour établir le cyberscore, les plateformes numériques destinées au grand public vont devoir réaliser un audit de cybersécurité dont les résultats seront présentés aux consommateurs.

Par « plateformes numériques destinées au grand public », on entend certains moteurs de recherche ou marketplaces qui dépassent certains seuils. D’après la loi, l’audit obligatoire portera sur « la sécurisation et la localisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, et sur leur propre sécurisation ». La durée de la validité du cyberscore sera de 12 mois et les audits afférents devront être renouvelés jusqu’à 3 mois après l’expiration du dernier audit.

 

Lire plus : Loi n° 2022-309 du 3 mars 2022 

 

Quels seront les éléments qui feront l’objet d’une notation ?

L’audit, qui sera réalisé par un prestataire qualifié (PASSI), s’appuiera sur une grille d’audit centrée sur neuf thématiques :

Le thème de l’organisation et gouvernance regroupe toutes les actions faites par la plateforme pour éviter en amont les risques cyber. Notamment en suivant les injonctions juridiques européennes ou encore en souscrivant à une assurance pour les risques numériques…

La protection des données est aussi une thématique pointée dans l’audit, cette dernière regroupe les injonctions du Règlement Général sur la Protection des données (RGPD) ou encore la conformité du service aux recommandations du Comité Européen de la Protection des Données.

Ensuite, concernant le thème de la connaissance et la maîtrise du service numérique, un des critères soulevés sera l’existence d’une cartographique des partenaires et des sous-traitants contribuant au service numérique étudié.

Le niveau d’externalisation des données est aussi observé, le prestataire qualifié devra s’interroger sur la quantité et la qualité des données traitées par un prestataire externe à l’entreprise.

La cinquième thématique est relative au niveau d’exposition sur internet, plus la plateforme sera exposée, plus le risque cyber sera important. La surface d’exposition regroupe l’ensemble des ressources du service informatique exposé, comme les domaines, les adresses IP ou les sites web…

L’audit se concentrera aussi sur le dispositif de traitement des incidents de sécurité, même si le but premier est d’éviter ces failles de sécurité, une réponse appropriée de l’entreprise est attendue lorsque ses premières défenses tombent.  Ce point peut s’assimiler à la gouvernance des données.

Un audit du service numérique étudié sera effectué avant la mise en place de celui-ci, puis régulièrement, une fois que ce service sera mis en place.

L’entreprise devra aussi mettre un point d’orgue sur la sensibilisation aux risques cyber et la lutte anti-fraude, elle devra mettre en place des actions de sensibilisation pour les employés de l’entreprise fournissant le service numérique étudié.

Le neuvième et dernier point de l’audit concerne le développement sécurisé avec notamment la vérification de l’application des règles de l’OSWAP, une organisation à but non lucratif qui se consacre à la sécurité des applications web.

 

Lire plus : Projet d’arrêté pour l’application de la loi n° 2022-309 du 3 mars 2022.

 

Pourquoi imposer l’édiction d’un Cyberscore ?

L’avantage de ce cyberscore est de populariser l’importance de la cybersécurité dans notre quotidien, en indiquant simplement, avec une palette de couleurs compréhensible par tous, le niveau de cybersécurité assuré par la plateforme.

Selon le projet d’arrêté relatif à cette loi du 3 mars 2022, ce marquage visuel devra être apposé de manière visible sur l’écran d’accueil du service en ligne. De plus, le score de l’audit ainsi que la date de celui-ci devront apparaître de manière visible dans les mentions légales du service en ligne.

 

Des débuts ratés ?

Les textes d’application encadrant la mise en place du cyberscore ne sont toujours pas publiés au journal officiel alors que ce dernier est obligatoire depuis le 1er octobre.

La fixation des seuils pour l’application de cette loi, ou encore les critères de l’audit devant être effectué par les entreprises dépassant ces seuils sont encore à l’état de projet de décret ou de projet d’arrêté.

De plus pour le consommateur il sera difficile de connaître les enjeux de cybersécurité derrière une lettre A, B, C, D ou E. Mais certains pourraient arguer que le consommateur a aussi un devoir d’information à ce sujet.

Cependant, les critères compris dans le projet d’arrêté semblent assez simples à mettre en œuvre pour les structures concernées par le cyberscore. Seules certaines grandes entreprises sont, pour le moment, concernées par cette loi, il leur sera plutôt aisé de faire les efforts requis pour éviter la sanction.

Il est logique de penser que cette certification cyberscore a vocation à s’étendre aux petites et moyennes entreprises. Affaire à suivre donc…

Prev
Start in Blockchain, l’agence média spécialisé Web 3.0, fête ses 1 an !
start in blockchain un an

Start in Blockchain, l’agence média spécialisé Web 3.0, fête ses 1 an !

Depuis une année, Start in Blockchain vulgarise la technologie blockchain, afin de la rendre accessible à tous....

Next
La technologie Blockchain : une révolution pour l’Agroalimentaire ?

La technologie Blockchain : une révolution pour l’Agroalimentaire ?

Depuis quelques années déjà, le secteur de la grande distribution et de l’agroalimentaire est l’un des premiers à...

Marie Pieters

Après des études dans le droit du numérique j'ai décidé de mettre à profit ma formation sur le média Start in Blockchain. Mon objectif : rendre le droit accessible à tous !

Newsletter Start in Blockchain
Vous Pourriez aussi aimer !
Article recommandé
Depuis une année, Start in Blockchain vulgarise la technologie blockchain,…
fr_FRFrench