À l’image du Nutri-Score, un texte de loi adopté par l’Assemblée nationale propose un système d’information simple, un « Cyber-Score », pour évaluer en un coup d’œil la sécurité des plateformes numériques que vous utilisez.
au sommaire
Visioconférence, outils collaboratifs, messageriesmessageries... leurs usages ont explosé avec la pandémiepandémie de Covid-19Covid-19. Savez-vous pourtant si tous ces sites et outils sont parfaitement sécurisés ? C'est toute l'idée d'une proposition de loi adoptée par l'Assemblée nationale le 26 novembre 2021 et qui pourrait entrer en vigueur le 1er octobre 2023. Sur le modèle du Nutri-Score pour les produits alimentaires, le « Cyber-Score » permettrait d'appréhender la notion de risque à l'aide d'un barème clair et compréhensible par le commun des mortels. Si l'idée sur le papier semble séduisante pour informer les internautes des risques potentiels encourus lors de la consultation d'un site, plusieurs questions restent en suspens néanmoins en attendant l'adoption définitive de la loi.
Qui sera concerné par cette mesure ?
Le concept de cyber-rating n'est pas nouveau. De nombreuses agences spécialisées existent pour permettre à un acteur digitaldigital de connaître le niveau de sécurisation de son site. Mais ce service est payant, et libre à chacun d'y souscrire. Le principe de la loi serait d'obliger l'affichage de ce baromètrebaromètre pour que chaque usager soit conscient des risques encourus avec un visuel simple et coloré. Le périmètre exact des entreprises concernées est encore en discussion, mais le texte parle des « fournisseurs de services de communication au public en ligne », par exemple les applicationsapplications de visioconférence ou les moteurs de recherche, avec un « seuil d'utilisation », donc avec un certain volumevolume de fréquentation. L'idée est d'inciter les acteurs à adopter de meilleures pratiques.
Qui sera chargé de la certification ?
Pour le moment rien de figé. Deux visions se confrontent : est-ce que l'audit doit être mené par une autorité indépendante comme l’Autorité nationale de la sécurité des systèmes d’information (Anssi) ou basé sur une autoévaluation des entreprises, plus simple à mettre en œuvre à condition qu'un contrôle a posteriori soit entrepris ? L'amende en cas de manquement à cette obligation est en revanche déjà fixée à 375.000 euros pour une personne morale, 75.000 euros pour une personne physiquephysique.
Sur quels critères va se baser le barème ?
Tous les critères seront précisés par un arrêté ultérieur avec avis de la Commission nationale de l’informatique et des libertés (Cnil). Une chose est certaine, un des points clés concernera la sécurité des données et la localisation de leur stockage, même si le RGPD oblige déjà les acteurs du monde digital à une certaine transparencetransparence sur la collecte de ces données et leur usage. Une inquiétude demeure cependant : est-ce que ce barème ne va pas au final inciter les cyber-pirates à cibler les entreprises avec une faible note ?