Pour mieux comprendre le cyberscore, remontons en 2020. La crise sanitaire dicte sa loi sur l'ensemble du territoire. Confinés, les citoyens utilisent davantage l'Internet et les services numériques (recherches d'informations, achats en ligne...). Les services publics et les entreprises privées adaptent leur organisation en recourant aux outils digitaux et au télétravail.
Les usages digitaux explosent. La quantité de données personnelles et d'informations confidentielles en circulation sur le net augmente considérablement.
Les pirates du web sont aux anges, les cyberattaques se multiplient.
Les chiffres du dispositif national d’assistance aux victimes d’actes de cybermalveillance parlent d'eux-mêmes.
Selon une étude réalisée en 2020 par la plateforme cybermalveillance.gouv.fr, “90 % des internautes sondés ont déjà été victimes au moins une fois d’un acte de cybermalveillance.”
Le rapport d'activité de cette plateforme gouvernementale interpelle :
- une fréquentation en hausse de 155 % par rapport à 2019 (avec des pics à 600 % en début de confinement) ;
- 105 000 demandes d'assistance (formulées à 90 % par des particuliers) ;
- une progression de 20% des demandes par les professionnels publics (collectivités, associations...) ;
- un bond de 30% des demandes d'assistance contre des attaques par rançongiciels (généralement formulées par les entreprises du secteur privé).
L’État est conscient des enjeux de protection de la vie privée et économique. En début d’année 2022, il décide de passer à l’action et adopte la loi cyberscore qui devrait entrer en vigueur d’ici fin 2023.
Qu’est-ce que le cyberscore ? Que contient la loi cyberscore ? Quels sont les objectifs de la loi cyberscore ? Quels sont les bénéfices attendus pour le grand public ? Quels acteurs sont concernés ?
Découvrez ici les contours de cet outil de sensibilisation des internautes pour des pratiques digitales plus sûres.
Qu’est-ce que le cyberscore ?
Les objectifs de la loi cyberscore
Les actes de cybermalveillance se multiplient depuis 2020. D’après le site gouvernemental “cybermalveillance.gouv.fr” les pratiques les plus courantes sont :
- Le hameçonnage à 70 % ;
- L’extorsion d’argent à 52 % ;
- Le virus informatique à 52 %.
Or :
- Le RGPD impose aux responsables de traitement de mettre en oeuvre des mesures pour garantir un niveau de sécurité adapté au risque;
- Le droit Européen de la cybersécurité prévoit la mise en place d’un dispositif de certification harmonisée (certification de cybersécurité des technologies de l’information et des communications).
Cependant, aucune information transparente sur le niveau de sécurité offert par les sites web n’est exigée par la législation.
Fort de ce constat, le Président de la commission de la culture, de l’éducation et de la communication du Sénat, Laurent Laffon, a proposé un texte visant à mettre en place une certification de cybersécurité des plateformes numériques destinées au grand public. Ce texte de loi et cet outil, le “cyberscore” ont été définitivement adoptés le 3 mars 2022.
L’objectif du Cyberscore est de permettre aux 53 millions d’internautes de savoir en un clin d’oeil si l’utilisation d’un site web, d’une plateforme ou d’un outil (logiciel, application) est risquée ou non, sans avoir besoin de la moindre compétence en informatique.
Le cyberscore : une définition
La loi n°2022-309 du 3 mars 2022 "pour la mise en place d’une certification de cybersécurité des plateformes numériques destinées au grand public", dite loi cyberscore, montre la volonté de l’Etat d’encadrer davantage encore la protection des données personnelles des internautes. La loi modifie le Code de la consommation en y ajoutant un article L.111-7-3.
Ces apports se traduisent notamment par deux obligations nouvelles pour les plateformes ciblées par la loi :
- Réaliser un audit de cybersécurité,
- Faire apparaître une certification de cybersécurité (le fameux “cyberscore”) qui est le résultat de l’audit.
Ce cyberscore note le niveau de sécurisation des données sur un site web, en reprenant les principes logiques du “nutri-score” utilisé pour l’alimentation.
Le fonctionnement du cyberscore
Le cyberscore : une certification de cybersécurité sous forme de notation
Entre nous, lisez-vous les conditions générales d’utilisation des sites Internet ? Probablement non.
Le web est apprécié pour son interactivité et son accessibilité. Les recherches d’informations sont rapides. Les divertissements et les réseaux sociaux permettent une expérience utilisateur innovante.Lire régulièrement ces textes longs, écrits en minuscules et au vocabulaire compliqué, c’est inimaginable.
Les termes techniques ne permettent pas aux internautes de mesurer le niveau de sécurisation. En effet, ces documents manquent de transparence et de clarté, et ce, malgré les obligations du RGPD. Pourtant, la protection des données privées demeure une inquiétude, de plus en plus de Français en prennent conscience, notamment face à la recrudescence des attaques.
Le cyberscore devrait apporter aux internautes une information claire, lisible et intelligible de tous concernant la protection de leurs informations dans le cadre de l’utilisation de certaines plateformes numériques.
Comment le cyberscore devrait-il fonctionner ? Cette certification prendra la forme d’un étiquetage, un peu comme le Nutri-Score pour les produits alimentaires : une notation (de A à E), complétée par un référentiel de couleurs, sera affichée distinctement sur le site ou la plateforme web.
Les internautes pourront ainsi très facilement évaluer l'engagement d'un site pour la protection de leurs données personnelles sans avoir besoin d’être un spécialiste de la cybersécurité ! Le niveau de sécurisation des données de leurs sites favoris n’aura plus aucun secret pour eux.
Le système se veut pratique et intuitif.
L’outil cyberscore : une évaluation en toute indépendance
La confiance est au cœur de ce projet. Une évaluation en interne ôterait toute crédibilité au cyberscore.
Cette notation sera donc attribuée à la suite d’un audit externe pour davantage de transparence. Cet audit sera réalisé par des prestataires labellisés par l'Agence nationale de la sécurité des systèmes d'information (Anssi) qui évalueront principalement :
- La sécurisation des données sur le site internet ;
- La localisation et le protection des serveurs d'hébergement ;
Les critères d'évaluation, la présentation et les conditions de validité restent à définir par les décrets d’application. A ce jour, il existe toutefois des pistes de réflexion :
- Techniques de sécurisation des données hébergées par l’opérateur lui-même et par ses prestataires utilisées (chiffrement bout à bout…) ;
- Nombre de sanctions pour violation des réglementations sur la protection des données personnelles reçues ;
- Techniques de sécurisation de l’infrastructure de la plateforme elle-même etc.
La loi cyberscore : quels impacts sur les entreprises concernées ?
Les acteurs concernés par le cyberscore
Les acteurs concernés sont les opérateurs de plateforme en ligne tels que définis à l’article L. 111-7 du Code de la consommation, à savoir, tous les sites proposant un service de communication en ligne reposant sur :
- Le classement ou le référencement de contenus, de biens ou de services via des algorithmes,
- Ou la mise en relation de parties pour le partage, l’échange, ou encore la vente de biens, de services ou de contenus.
Autrement dit, sont principalement visés :
- Les plateformes de communication (ex: Whatsapp);
- Les moteurs de recherche;
- Les messageries instantanées,
- Les marketplaces dépassant un certain seuil (Fnac, Amazon etc.);
- Les réseaux sociaux;
- Les logiciels de visioconférences;
- Les sites de vente/échange entre particuliers.
Ce texte est une première étape. Très général, il propose des lignes directrices. Un décret le complètera très prochainement. Celui-ci précisera notamment les seuils d’activité, par exemple les plateformes qui reçoivent cinq millions de visiteurs uniques par mois., . Globalement les plateformes aux volumes d'activité les plus importants seront en première ligne, tandis que les petites structures devraient rester exemptées, du moins dans un premier temps.
Les conséquences de la réforme
Les conséquences de cette réforme pourraient être importantes pour les entreprises concernées et cela sur différents plans :
- Au niveau financier : Des sanctions sont prévues en cas de manquement aux dispositions de la loi et notamment jusqu’à 375 000€ d’amende pour les personnes morales;
- Au niveau de la RSE : Les normes RSE devront intégrer le cyberscore, faisant ainsi du niveau de cybersécurité et de protection des données l’un des critères de responsabilité sociétale des entreprises.
- Au niveau marketing : Un mauvais cyberscore aura nécessairement un impact négatif sur l’image de l’entreprise. Les internautes pourront comparer les différents opérateurs du point de vue de leur politique de cybersécurité. La protection des données deviendra un véritable argument marketing.
L’entrée en vigueur de la loi cyberscore
Le texte a été déposé le 15 juillet 2020 au Sénat en première lecture. Le projet de loi a ensuite été définitivement adopté par le Sénat le jeudi 24 février 2022 en deuxième lecture avant d'être également adopté par l’Assemblée nationale. La loi n° 2022-309, dite cyberscore, a été promulguée au journal officiel le 3 mars 2022.
Celle-ci entrera en vigueur d‘ici fin 2023 et le cyberscore devra être affiché à compter du 1er octobre 2023 sur toutes les plateformes concernées.
La loi cyberscore vient compléter le RGPD (Règlement Général sur la Protection des Données) entré en vigueur en mai 2018.
En complément de la réglementation Européenne, les institutions gouvernementales souhaitent provoquer une prise de conscience et donner aux citoyens toutes les cartes pour exercer un meilleur contrôle sur leurs données personnelles. Du côté des entreprises, cette réforme va impliquer de nombreux acteurs : juridique et conformité, informatique et marketing notamment.
La sécurité numérique ne se limite pas à des actes de malveillance. Cela va bien au-delà des vols de données, des piratages de comptes bancaires ou de messageries. Les libertés individuelles, le bon fonctionnement des services publics (comme les hôpitaux) et la pérennité des entreprises sont en jeu. Elle garantit une souveraineté nationale.
Le cyberscore se présente comme un pas supplémentaire vers une société numérique de la confiance.
Des interrogations subsistent sur votre conformité RGPD ? Le logiciel RGPD Leto vous accompagne à chaque étape. Réserver une démo avec nos experts.