Un CyberScore pour définir le niveau de sécurité des sites web

géogQui n’a jamais entendu parler du Nutri-Score ? Ce logo, visible sur les emballages des aliments, informe les consommateurs sur leur qualité nutritionnelle grâce à un barème. Le CyberScore fonctionnera selon le même principe pour évaluer la sécurité des sites web en France. Il devrait entrer en vigueur en octobre 2023. E-maj IT Solutions vous informe sur ce nouveau dispositif.

Le CyberScore, késako ?

L’augmentation récente des failles de sécurité et des vols de données personnelles est indéniable. C’est pourquoi il est rassurant pour les utilisateurs de savoir que leurs données sur un site ou réseau social sont sécurisées.

Le CyberScore est un projet pour certifier la cybersécurité de plateformes numériques destinées au grand public. Par l’instauration d’un barème simple, à la manière du Nutri-Score évaluant la qualité nutritionnelle des aliments depuis 2017, il devrait permettre de comprendre rapidement le niveau de sécurisation informatique d’un site.

Visuellement, le CyberScore devrait ressembler au barème de ce même Nutri-Score avec une notation de A à E et un système d’information par couleur. Cette notation simplifiée vise une compréhension des utilisateurs en un simple coup d’œil. Elle sera probablement accompagnée de notes pour apporter davantage de précisions.

Les utilisateurs seront ainsi informés du CyberScore du site consulté et de son niveau de prestation. Ils pourront alors décider en toute connaissance de cause s’ils souhaitent utiliser ou non ce site ou réseau social.

Voici à quoi pourrait ressembler le CyberScore

Quels critères sont évalués ?

Le CyberScore évalue la sécurité des données et, à la demande de l’Assemblée nationale, la localisation de l’hébergement des données personnelles. Cette évaluation sera effectuée par des prestataires qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

La sécurité des données

La sécurité des données sera évaluée selon un diagnostic de cybersécurité établi par l’ANSSI via la qualification PASSI.

La localisation géographique de l’hébergement des données

Le lieu de stockage des données est désormais essentiel, au vu de l’utilisation exponentielle du cloud. En effet, les géants de la tech et des GAFAM étant américains, cela signifie qu’ils ne respectent probablement pas le RGPD. Le Règlement Général sur la Protection des Données est propre aux pays européens et les sites hébergés ailleurs ne sont pas tenus de le respecter.

Qui est concerné par cette loi?

Ce dispositif concerne :

– les plateformes numériques destinées au grand public

– les messageries instantanées et sites de visioconférences les plus utilisés tels que Messenger, Zoom, Skype, WhatsApp ou Discord

– les moteurs de recherche comme Google ou Bing

Les plateformes concernées par cette loi seront celles dont l’activité atteint un ou plusieurs seuils minimums, dont celui du trafic. Ces seuils seront déterminés par un futur décret.

Quand devrait s’appliquer le CyberScore ?

La proposition de loi CyberScore a été validée le 26 novembre 2021 par l’Assemblée nationale. Le texte sera réexaminé prochainement en seconde lecture. L’entrée en vigueur de cette loi est fixée au 1^er octobre 2023, ce qui laisse encore un peu de temps pour la préparation et l’évaluation de ces critères. Par ailleurs, les plateformes numériques pourront aussi profiter de cette période pour réaliser certaines modifications. Ceci devrait leur donner la possibilité d’augmenter leur score.

Quant à la durée de validité du CyberScore, elle devrait être limitée dans le temps. L’objectif étant de forcer les sites concernés à se conformer régulièrement à des audits pour maintenir constamment un niveau de sécurité élevé.

Source photos : Canva