Net als de Nutri-score voor voedingsmiddelen is de cyberscore een score die het niveau van cyberbeveiliging van websites beoordeelt. Vanaf oktober 2023 is het verplicht voor websites, platforms en sociale netwerken met een hoog kijkerspubliek om een cyberscore weer te geven. Het doel is om internetgebruikers te informeren over de veiligheid van de sites die ze bezoeken. Zo werkt het.
Pogingen omphishing en van gegevensdiefstal In de Covid-jaren is het aantal aanvallen op persoonsgegevens op internet toegenomen. De cijfers spreken voor zich: 30 % van de cyberaanvallen heeft geleid tot diefstal van persoonlijke, strategische of technische gegevens, volgens de 2022 barometer over cyberveiligheid in bedrijven van de Club des Experts de la Sécurité, et de l'Informatique Numérique (CESIN).
In 2021 publiceerde een hacker de gegevens van 700 miljoen LinkedIn-gebruikers. In 2022 zette een andere hacker 476 miljoen telefoonnummers en WhatsApp-profielen te koop op het dark web, waaronder 20 miljoen Franse nummers...
Om deze moderne plagen te bestrijden, zet de overheid een "digitaal schild" op, een reeks maatregelen om internetgebruikers te beschermen. De eerste hiervan is de cyberscore.
Cyberscore, een wettelijke verplichting
De cyberscore, die in het leven is geroepen door de wet van 3 maart 2022, moet internetgebruikers in staat stellen om in één oogopslag en zonder dat ze specialisten hoeven te zijn te zien welk niveau van beveiliging en bescherming van persoonsgegevens wordt geboden door de site die ze bezoeken. De betreffende sites moeten ook aangeven waar de gegevens die ze verzamelen, worden opgeslagen. Op deze manier vormt de cyberscore een aanvulling op de verplichtingen met betrekking tot de RGPD.
Geïnspireerd door de Nutri-score die we kennen van voedsel, wordt de cyberscore uitgedrukt door een gekleurd visueel en een cijfer, variërend van A (zeer goed) voor een goed beveiligde site tot E (slecht) voor een zeefsite. Dezelfde kleurcodes worden gebruikt als voor de Nutri-score, van groen tot rood. Websites moeten hun cyberscore duidelijk en zichtbaar weergeven.
De rating wordt bepaald op basis van een veiligheidsaudit. Ze is slechts 18 maanden geldig. Na deze periode moet het worden bijgewerkt op basis van gegevens van een nieuwe audit.
Welke sites worden beïnvloed?
In de praktijk zal de verplichting om dit nieuwe logo te tonen niet voor alle websites gelden. Het zal alleen gelden voor de grootste spelers, sites die minstens 5 miljoen unieke bezoekers per maand ontvangen.
Dit zal invloed hebben op zoekmachines, grote platforms (Google, Live.com, Netflix, enz.), sociale netwerken (YouTube, Facebook, Instagram, LinkedIn, enz.), grote e-commercesites (Amazon, Fnac, Darty, leboncoin, Vinted, enz.), videosystemen (Zoom, Skype, enz.) en de belangrijkste online media.
Dit betekent dat KMO's en micro-ondernemingen worden ontzien, althans in eerste instantie. Niets wijst erop dat deze regeling op een dag niet zal worden uitgebreid naar kleinere spelers.
In elk geval bepaalt de wet dat een decreet een lijst zal opstellen van de betrokken platforms, sociale netwerken en e-commercesites.
Wat zijn de sancties bij overtreding? aan deze verplichting?
Websites en online platforms die niet voldoen aan deze nieuwe verplichting om informatie weer te geven, kunnen een fikse boete tegemoet zien. Het Franse Directoraat-Generaal voor Mededinging, Consumentenzaken en Fraudebestrijding (DGCCRF) kan een boete tot 375.000 euro opleggen aan bedrijven die hun cyberscore niet op hun site weergeven.
Hoe wordt de cyberscore beoordeeld?
Deze score wordt bepaald door een beveiligingsaudit die de betreffende sites moeten uitvoeren bij serviceproviders die gecertificeerd zijn door het Agence nationale de la sécurité des systèmes d'information (ANSSI) over het beveiligen van de gegevens die ze hosten.
Een ministerieel besluit moet nog de procedures specificeren voor het beoordelen van de veiligheid van websites waarop de cyberscore betrekking heeft. De criteria die ANSSI en CNIL gebruiken om de veiligheid van een site te beoordelen zijn al bekend.
Het begint met de kwaliteit van de infrastructuur, zowel hardware als software. Het gebruik van een firewall en hulpmiddelen voor het opsporen van kwetsbaarheden is de hoeksteen. Het versleutelen van gegevens tijdens transport met behulp van de TLS en HTTPS is net zo essentieel. Er is ook bescherming tegen aanvallen XSS (Cross-Site Scripting), waarbij de hacker gegevens injecteert in een webpagina om gebruikersgegevens te achterhalen (contactgegevens, wachtwoorden, sessiegegevens, enz.). Een andere goede gewoonte is om gevoelige informatie niet op te slaan in de koekjes en gegevens die lokaal zijn opgeslagen op de terminal van de internetgebruiker.
Uiteindelijk is de effectiviteit van een dergelijke overheidsmaatregel twijfelachtig. De cyberscore is in de eerste plaats gericht op het grote publiek en hun legitieme behoefte aan informatie. Het doet een beroep op degenen die verantwoordelijk zijn voor de beveiliging van websites om goede praktijken te volgen, maar ook op functionarissen voor gegevensbescherming (Data Protection Officers, DPO's) om de vereisten van de RGPD nauwgezet na te leven.
Terwijl u wacht tot de cyberscore is geïmplementeerd, biedt ORSYS een breed scala aan cyberbeveiligingstrainingen. U vindt hier met name trainingen op het gebied van gebruikersbewustzijn. Security managers en DPO's kunnen kiezen uit een hele reeks geavanceerde trainingen en certificeringen om hun kennis en vaardigheden te vergroten.
