Al igual que la Nutri-score para los productos alimenticios, la cyberscore es una calificación que evalúa el nivel de ciberseguridad de los sitios web. A partir de octubre de 2023, será obligatorio que los sitios web, plataformas y redes sociales de gran audiencia muestren una ciberpuntuación. El objetivo es informar a los internautas sobre la seguridad de los sitios que visitan. Así es como funciona.
Intentos dephishing y robo de datos Los años Covid han visto aumentar el número de ataques a los datos personales en Internet. Las cifras hablan por sí solas: 30 % de los ciberataques han provocado el robo de datos personales, estratégicos o técnicos, según el barómetro 2022 sobre ciberseguridad empresarial del Club de Expertos de la Seguridad, y de la Informática Numérica (CESIN).
En 2021, un hacker publicó los datos de 700 millones de usuarios de LinkedIn. En 2022, otro hacker puso a la venta en la dark web 476 millones de números de teléfono y perfiles de WhatsApp, incluidos 20 millones de números franceses....
Para combatir estas lacras modernas, el gobierno está desplegando un "escudo digital", una serie de medidas destinadas a proteger a los internautas. La primera de ellas es el ciberescudo.
Cyberscore, una obligación legal
Creada por la ley del 3 de marzo de 2022, la ciberpuntuación debe permitir a los internautas conocer, de un vistazo y sin necesidad de ser especialistas, el nivel de seguridad y protección de los datos personales que ofrece el sitio que visitan. Los sitios en cuestión también tendrán que indicar dónde se almacenan los datos que recogen. De este modo, la cibercalificación complementa las obligaciones relativas a la RGPD.
Inspirada en la Nutri-score que conocemos de la alimentación, la ciberpuntuación se expresa mediante un visual coloreado y una nota, que va de la A (muy buena) para un sitio bien protegido a la E (mala) para un sitio tamizado. Se utilizan los mismos códigos de colores que para la puntuación Nutri, que van del verde al rojo. Los sitios web tendrán que mostrar su ciberpuntuación de forma clara y visible.
La calificación se definirá sobre la base de una auditoría de seguridad. Sólo será válida durante 18 meses. Transcurrido este periodo, deberá actualizarse a partir de los datos de una nueva auditoría.
¿Qué sitios se ven afectados?
En la práctica, la obligación de exhibir este nuevo logotipo no se aplicará a todos los sitios web. Sólo se aplicará a los más grandes, los sitios con al menos 5 millones de visitantes únicos al mes.
Esto afectará a los motores de búsqueda, las grandes plataformas (Google, Live.com, Netflix, etc.), las redes sociales (YouTube, Facebook, Instagram, LinkedIn, etc.), los grandes sitios de comercio electrónico (Amazon, Fnac, Darty, leboncoin, Vinted, etc.), los sistemas de vídeo (Zoom, Skype, etc.) y los principales medios de comunicación en línea.
Esto significa que las PYME y las microempresas quedarán exentas, al menos al principio. Nada indica que este régimen no vaya a ampliarse algún día a los operadores más pequeños.
En cualquier caso, la ley estipula que un decreto elaborará una lista de las plataformas, redes sociales y sitios de comercio electrónico afectados.
¿Cuáles serán las sanciones en caso de incumplimiento? a esta obligación?
Los sitios web y plataformas en línea que incumplan esta nueva obligación de mostrar información podrían enfrentarse a una cuantiosa multa. La Dirección General francesa de Competencia, Consumo y Represión del Fraude (DGCCRF) puede imponer una multa de hasta 375.000 euros a las empresas que no muestren su puntuación cibernética en su sitio web.
¿Cómo se evaluará la puntuación cibernética?
Esta puntuación se determinará mediante una auditoría de seguridad que los sitios afectados deberán realizar con proveedores de servicios certificados por la Agence nationale de la sécurité des systèmes d'information (ANSSI) sobre la seguridad de los datos que alojan.
Una orden ministerial aún no ha especificado los procedimientos para evaluar la seguridad de los sitios web afectados por la ciberpuntuación. Ya conocemos los criterios utilizados por la ANSSI y la CNIL para evaluar la seguridad de un sitio.
Empieza por la calidad de la infraestructura, tanto de hardware como de software. El uso de un cortafuegos y herramientas para detectar vulnerabilidades es la piedra angular. El cifrado de datos durante el transporte mediante la TLS y HTTPS es igual de esencial. También hay protección contra ataques XSS (Cross-Site Scripting), que consiste en que el hacker inyecta datos en una página web para recuperar datos del usuario (datos de contacto, contraseñas, datos de sesión, etc.). Otra buena práctica, entre otras, consiste en no almacenar información sensible en el galletas y los datos almacenados localmente en el terminal del internauta.
En última instancia, la eficacia de una medida gubernamental de este tipo es cuestionable. La ciberpuntuación se dirige principalmente al público en general y a su legítima necesidad de información. Hace un llamamiento a los responsables de la seguridad de los sitios web para que sigan las buenas prácticas, y también a los responsables de la protección de datos (RPD) para que cumplan escrupulosamente los requisitos del RGPD.
A la espera de que se implante el ciberscore, ORSYS ofrece una amplia gama de cursos de formación en ciberseguridad. En particular, encontrará formación para la concienciación de los usuarios. Los responsables de seguridad y los DPO pueden elegir entre toda una gama de formaciones avanzadas y certificaciones para mejorar sus conocimientos y competencias.
