À l’image du Nutri-score pour les produits alimentaires, le cyberscore est une note qui évalue le niveau de cybersécurité des sites web. Dès octobre 2023, son affichage deviendra obligatoire sur les sites, plateformes et réseaux sociaux à forte audience. Objectif : informer les internautes sur la sécurité des sites qu’ils visitent. On vous explique tout.
Les tentatives d’hameçonnage et de vol de données personnelles se sont multipliées sur Internet à la faveur des années Covid. Les chiffres sont éloquents : 30 % des cyberattaques ont conduit à des vols de données personnelles, stratégiques ou techniques, selon le baromètre 2022 sur la cybersécurité des entreprises du Club des Experts de la Sécurité, et de l’Informatique Numérique (CESIN).
En 2021, un pirate publie les données de 700 millions d’utilisateurs de LinkedIn. En 2022, un autre hacker met en vente 476 millions de numéros de téléphone et de profils WhatsApp sur le dark web, dont 20 millions de numéros français…
Pour lutter contre ces fléaux modernes, le gouvernement déploie un « bouclier numérique », une série de mesures visant à protéger les internautes. Le premier d’entre eux est le cyberscore.
Le cyberscore, une obligation légale
Créé par la loi du 3 mars 2022, le cyberscore doit permettre aux internautes de connaître, d’un seul coup d’œil et sans être spécialistes, le niveau de sécurité et de protection des données personnelles offert par le site qu’ils visitent. Les sites concernés devront également indiquer où sont stockées les données qu’ils collectent. Le cyberscore vient en cela compléter les obligations relatives au RGPD.
Inspiré du Nutri-score que nous connaissons pour l’alimentation, le cyberscore se manifeste par un visuel coloré et une note, allant de A (très bien) pour un site bien sécurisé à E (mauvais) pour un site passoire. On retrouve les codes couleurs du Nutri-score, allant du vert au rouge. Les sites devront afficher leur cyberscore de manière claire et visible.
La notation sera définie à partir d’un audit de sécurité. Elle ne sera valable que pendant 18 mois. Passé ce délai, elle devra être réactualisée à partir des données d’un nouvel audit.
Quels sites sont concernés ?
Concrètement, l’obligation d’apposer ce nouveau logo ne s’appliquera pas à tous les sites web. Il ne concernera que les plus gros acteurs, des sites accueillant au moins 5 millions de visiteurs uniques par mois.
Cela touchera donc les moteurs de recherche, les grandes plateformes (Google, Live.com, Netflix…), les réseaux sociaux (YouTube, Facebook, Instagram, LinkedIn…), les grands sites d’e-commerce (Amazon, Fnac, Darty, leboncoin, Vinted…), des systèmes de visio (Zoom, Skype…) ainsi que les principaux médias en ligne.
Ainsi, les PME et micro-entreprises sont épargnées, du moins dans un premier temps. Car rien n’indique que ce dispositif ne soit pas un jour étendu à de plus petits acteurs.
Quoi qu’il en soit, la loi prévoit qu’un décret dressera la liste des plateformes, réseaux sociaux et sites d’e-commerce concernés.
Quelles seront les sanctions en cas de manquement à cette obligation ?
Les sites et plateformes en lignes qui ne respectent pas cette nouvelle obligation d’affichage risquent une amende assez salée. La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) pourra prononcer une amende pouvant aller jusqu’à 375 000 euros à l’encontre des entreprises qui n’afficheraient pas leur note cyberscore sur leur site.
Comment sera évalué le cyberscore ?
Ce score sera déterminé par un audit de sécurité que les sites concernés devront réaliser auprès des prestataires certifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) portant sur la sécurisation des données qu’ils hébergent.
Un arrêté ministériel doit encore préciser les modalités d’évaluation de la sécurité des sites web concernés par le cyberscore. On connaît d’ores et déjà les critères retenus par l’ANSSI et la CNIL pour évaluer la sécurité d’un site.
Elle commence par la qualité de l’infrastructure, tant matérielle que logicielle. L’utilisation d’un pare-feu et d’outils de détection des vulnérabilités en constitue le socle. Le chiffrement des données lors de leur transport via les protocoles TLS et HTTPS est tout aussi essentiel. On retrouve aussi la protection contre les attaques XSS (Cross-Site Scripting) qui consistent pour le pirate à injecter des données dans une page web pour récupérer des données des utilisateurs (coordonnées, mots de passe, données de session…). Un autre bonne pratique, parmi d’autres, consiste à ne pas stocker des informations sensibles dans les cookies et données stockées localement sur le terminal de l’internaute.
Au final, on peut se poser la question de l’efficacité d’une telle mesure gouvernementale. Le cyberscore s’adresse avant tout au grand public et à leur légitime besoin d’information. Il appelle les responsables de la sécurité des sites à respecter les bonnes pratiques, mais aussi les délégués à la protection des données (DPO) à respecter scrupuleusement les exigences du RGPD.
En attendant que le cyberscore soit mis en place, ORSYS vous propose de nombreuses formations en cybersécurité. Vous y trouverez notamment des formations à la sensibilisation des utilisateurs. Les responsables sécurité et les DPO auront le choix parmi toute une gamme de formations et de certifications pointues pour approfondir leurs connaissances et valoriser leurs compétences.