Al igual que el Nutri-score para productos alimentarios, el cyberscore es una calificación que evalúa el nivel de ciberseguridad de los sitios web. A partir de octubre de 2023, su exhibición será obligatoria en sitios, plataformas y redes sociales de gran audiencia. Objetivo: informar a los usuarios de Internet sobre la seguridad de los sitios que visitan. Te lo explicaremos todo.
Los intentos de phishing y el robo de datos personales se han multiplicado en Internet gracias a los años del Covid. Las cifras hablan por sí solas: 30 ciberataques % condujeron al robo de datos personales, estratégicos o técnicos, según el barómetro 2022 sobre ciberseguridad empresarial del Club de Expertos en Seguridad e Informática Digital (CESIN).
En 2021, un hacker publica los datos de 700 millones de usuarios de LinkedIn. En 2022, otro hacker pone a la venta 476 millones de números de teléfono y perfiles de WhatsApp en la web oscura, incluidos 20 millones de números franceses...
Para luchar contra estos flagelos modernos, el gobierno está desplegando un “escudo digital”, una serie de medidas destinadas a proteger a los usuarios de Internet. El primero de ellos es el ciberscore.
Cyberscore, una obligación legal
Creado por ley del 3 de marzo de 2022, el ciberscore debe permitir a los internautas conocer, de un vistazo y sin ser especialistas, el nivel de seguridad y protección de los datos personales que ofrece el sitio que visitan. Los sitios interesados también deberán indicar dónde se almacenan los datos que recopilan. De este modo, el cyberscore complementa las obligaciones relativas a RGPD.
Inspirado en el Nutri-score que conocemos para los alimentos, el ciberscore se manifiesta mediante una imagen colorida y una calificación que va desde A (muy bueno) para un sitio bien protegido hasta E (malo) para un sitio con tamiz. Encontramos los códigos de colores Nutri-score, que van del verde al rojo. Los sitios deben mostrar su puntuación cibernética de forma clara y visible.
La calificación se definirá en base a una auditoría de seguridad. Sólo tendrá una vigencia de 18 meses. Transcurrido este plazo, deberá actualizarse utilizando datos de una nueva auditoría.
¿Qué sitios se ven afectados?
En concreto, la obligación de colocar este nuevo logotipo no se aplicará a todos los sitios web. Sólo afectará a los actores más importantes, los sitios que reciben al menos 5 millones de visitantes únicos al mes.
Por tanto, esto afectará a los motores de búsqueda, a las principales plataformas (Google, Live.com, Netflix, etc.), a las redes sociales (YouTube, Facebook, Instagram, LinkedIn, etc.), a los principales sitios de comercio electrónico (Amazon, Fnac, Darty, leboncoin). , Vinted, etc.), sistemas de vídeo (Zoom, Skype, etc.) así como los principales medios online.
De este modo, las PYME y las microempresas se salvan, al menos al principio. Porque nada indica que este sistema algún día no se extenderá a los actores más pequeños.
En cualquier caso, la ley prevé que un decreto enumerará las plataformas, redes sociales y sitios de comercio electrónico afectados.
¿Cuáles serán las sanciones en caso de incumplimiento? a esta obligación?
Los sitios y plataformas en línea que no cumplan con esta nueva obligación de visualización se arriesgan a recibir una multa bastante elevada. La Dirección General de Competencia, Consumo y Control del Fraude (DGCCRF) podrá imponer una multa de hasta 375.000 euros a las empresas que no muestren su calificación de ciberscore en su sitio.
¿Cómo se evaluará el ciberscore?
Esta puntuación vendrá determinada por una auditoría de seguridad que los sitios afectados deberán realizar con proveedores de servicios certificados por la Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI) en relación con la seguridad de los datos que alojan.
Un decreto ministerial aún debe especificar los métodos para evaluar la seguridad de los sitios web afectados por el ciberscore. Ya conocemos los criterios utilizados por la ANSSI y la CNIL para evaluar la seguridad de un sitio.
Comienza con la calidad de la infraestructura, tanto de hardware como de software. El uso de un firewall y herramientas de detección de vulnerabilidades constituye la base. Cifrar datos durante el transporte mediante protocolos TLS y HTTPS es igualmente esencial. También encontramos protección contra ataques XSS (Cross-Site Scripting) que consisten en que el hacker inyecta datos en una página web para recuperar datos del usuario (datos de contacto, contraseñas, datos de sesión, etc.). Otra buena práctica, entre otras, consiste en no almacenar información sensible en cookies y datos almacenados localmente en el terminal del internauta.
En última instancia, podemos plantearnos la cuestión de la eficacia de una medida gubernamental de este tipo. El cyberscore está dirigido principalmente al público en general y a su legítima necesidad de información. Pide a los responsables de seguridad de los sitios web que respeten las buenas prácticas, pero también a los responsables de la protección de datos (DPO) que respeten escrupulosamente los requisitos del RGPD.
A la espera de que se implemente el cyberscore, ORSYS le ofrece numerosos cursos de formación en ciberseguridad. Allí encontrará, en particular, cursos de sensibilización para los usuarios. Los gerentes de seguridad y DPO tendrán la opción de elegir entre una amplia gama de certificaciones y capacitación avanzada para profundizar sus conocimientos y mejorar sus habilidades.
