Fin octobre le Sénat a remis aux mains de l’Assemblée Nationale un projet de loi ayant pour objectif la certification du niveau de cybersécurité des plateformes grand public en ligne. Buzzword du moment, le « cyberscore » est ainsi prédestiné à devenir au web ce que le nutriscore est à l’industrie agroalimentaire. Id est : informer les consommateurs quant à la qualité d’un produit.
Cyberscore, indicateur officiel de la sécurité des plateformes
Certes, bon nombre de plateformes ont pris l’initiative d’arborer des badges ou certificats de sécurité, mais la pertinence et la fiabilité de ces indicateurs restent incertaines. Le Sénat a jugé plus approprié de mettre en place un indicateur officiel unique : le cyberscore. Le terme plateforme est assez vague mais selon toute vraisemblance, sont principalement concernés les « fournisseurs de services de communication au public en ligne ». Néanmoins, des discussions sont actuellement en cours avec l’Etat pour définir plus précisément la zone d’application de ce projet de loi. Le nombre de visiteurs des sites ainsi que la nature de leurs activités seront logiquement pris en considération. Pour l’heure, le gouvernement a exigé l’application du score pour toutes les plateformes qui enregistrent un minimum de 5000 visiteurs uniques par mois, quel que soit l’activité.
Le cyberscore en renfort du RGPD
Placé sous le signe de la transparence, le cyberscore va ainsi renforcer le Règlement Général de Protection des Données (RGPD) tout en informant les utilisateurs sur les usages dont feront l’objet leurs données. Initialement déposé le 15 Juillet dernier et ayant fait l’objet d’amendements le 13 Octobre, le texte a été adopté en première lecture le 22 Octobre 2020 par le Sénat.
Côté juridique, le projet de loi était censé aboutir sur un alinéa et a finalement débouché sur des articles. Au début, le Sénat avait prévu de recourir aux services de prestataires pour évaluer les entreprises. Très intéressée par le projet, l’ANSSI était pressentie pour désigner ces prestataires mais après avis défavorable du gouvernement, les bases du cyberscore reposeront sur une auto-évaluation réalisée par les entreprises elles-mêmes. Les déclarations seront ensuite contrôlées a posteriori par la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes (DGCCRF). Un décret explicitera les détails relatifs aux indicateurs et aux validités des évaluations. Au final, le cyberscore sera matérialisé soit par « un système d’information coloriel », soit un logo à l’image de son équivalent agroalimentaire.
Cyberscore contre cybercriminels
Sans précédent depuis l’ère du numérique, la situation sanitaire et le confinement ont entraîné une recrudescence de l’utilisation des services en ligne en tout genre. Un phénomène qui ne laisse pas indifférent les cybercriminels, à l’affut des moindres failles et des mauvaises pratiques pour arriver à leurs fins. Le Sénateur Laurent Lafon, principal instigateur de ce projet de loi, juge les français peu vigilants et moins exigeants que les habitants des autres pays européens occidentaux en termes de sécurisation de données. Propos confirmés par une récente étude indiquant :
« Un tiers des français ne connaissent pas les législations concernant la protection des données. En tant qu’information synthétique, visuelle et accessible immédiatement à tous les usagers, quel que soit leur degré de connaissance, le cyberscore permettrait de renverser cette tendance. »
Pour répondre aux plus sceptiques quant à la pertinence d’un système important basé avant tout sur l’auto-évaluation, le Sénateur de répondre :
« Je ne suis pas sûr qu’à moyen terme une structure qui cacherait l’information serait gagnante ».
Gageons qu’il ait raison. Sachant que la situation sanitaire mondiale continue de faire la part belle aux services en ligne, cette initiative arrive à point nommé. En attendant, on ignore si le texte connaîtra d’autres amendements et d’autres modifications. La balle est dans le camp de l’Assemblée Nationale.