Net als de Nutri-score voor voedingsmiddelen is de cyberscore een beoordeling die het niveau van cyberbeveiliging van websites evalueert. Vanaf oktober 2023 wordt de weergave ervan verplicht op sites, platforms en sociale netwerken met een groot publiek. Doel: internetgebruikers informeren over de veiligheid van de sites die zij bezoeken. Wij zullen u alles uitleggen.
Dankzij de Covid-jaren zijn phishing-pogingen en diefstal van persoonlijke gegevens op internet toegenomen. De cijfers spreken voor zich: 30 %-cyberaanvallen leidden tot diefstal van persoonlijke, strategische of technische gegevens, volgens de barometer 2022 over zakelijke cyberbeveiliging van de Club of Security and Digital Computing Experts (CESIN).
In 2021 publiceert een hacker de gegevens van 700 miljoen LinkedIn-gebruikers. In 2022 zet een andere hacker 476 miljoen telefoonnummers en WhatsApp-profielen te koop op het dark web, waaronder 20 miljoen Franse nummers…
Om deze moderne plagen te bestrijden, zet de regering een ‘digitaal schild’ in, een reeks maatregelen gericht op de bescherming van internetgebruikers. De eerste hiervan is de cyberscore.
Cyberscore, een wettelijke verplichting
De cyberscore, gecreëerd door de wet van 3 maart 2022, moet internetgebruikers in staat stellen om in één oogopslag en zonder specialist te zijn, het niveau van beveiliging en bescherming van persoonlijke gegevens te kennen die worden geboden door de site die ze bezoeken. De betreffende sites zullen ook moeten aangeven waar de gegevens die zij verzamelen worden opgeslagen. Op deze manier vormt de cyberscore een aanvulling op de verplichtingen met betrekking tot RGPD.
Geïnspireerd door de Nutri-score die we kennen voor voedsel, komt de cyberscore tot uiting in een kleurrijke visual en een cijfer, variërend van A (zeer goed) voor een goed beveiligde site tot E (slecht) voor een zeefsite. We vinden de Nutri-score kleurcodes, variërend van groen tot rood. Sites moeten hun cyberscore duidelijk en zichtbaar weergeven.
De beoordeling wordt bepaald op basis van een beveiligingsaudit. Het zal slechts 18 maanden geldig zijn. Na deze periode moet het worden bijgewerkt met behulp van gegevens uit een nieuwe audit.
Welke sites zijn getroffen?
Concreet zal de verplichting om dit nieuwe logo aan te brengen niet voor alle websites gelden. Het gaat alleen om de grootste spelers, sites die minimaal 5 miljoen unieke bezoekers per maand verwelkomen.
Dit zal dus gevolgen hebben voor zoekmachines, grote platforms (Google, Live.com, Netflix, enz.), sociale netwerken (YouTube, Facebook, Instagram, LinkedIn, enz.), grote e-commercesites (Amazon, Fnac, Darty, leboncoin , Vinted, etc.), videosystemen (Zoom, Skype, etc.) en de belangrijkste online media.
Het MKB en micro-ondernemingen worden dus gespaard, althans in eerste instantie. Omdat niets erop wijst dat dit systeem niet ooit zal worden uitgebreid naar kleinere spelers.
De wet bepaalt hoe dan ook dat een decreet de betrokken platforms, sociale netwerken en e-commercesites zal opsommen.
Wat zijn de sancties bij overtreding? aan deze verplichting?
Sites en onlineplatforms die zich niet aan deze nieuwe weergaveplicht houden, riskeren een vrij forse boete. Het Directoraat-generaal Concurrentie, Consumentenzaken en Fraudebestrijding (DGCCRF) kan een boete van maximaal 375.000 euro opleggen aan bedrijven die hun cyberscore niet op hun site weergeven.
Hoe wordt de cyberscore geëvalueerd?
Deze score wordt bepaald door een beveiligingsaudit die de betrokken sites moeten uitvoeren bij dienstverleners die zijn gecertificeerd door de National Information Systems Security Agency (ANSSI) met betrekking tot de beveiliging van de gegevens die zij hosten.
Een ministerieel besluit moet nog de methoden specificeren voor het evalueren van de veiligheid van websites die getroffen zijn door de cyberscore. We kennen de criteria die ANSSI en de CNIL gebruiken om de veiligheid van een site te beoordelen al.
Het begint bij de kwaliteit van de infrastructuur, zowel hardware als software. Het gebruik van een firewall en kwetsbaarheidsdetectietools vormen de basis. Het versleutelen van gegevens tijdens het transport via TLS- en HTTPS-protocollen is net zo essentieel. We vinden ook bescherming tegen XSS-aanvallen (Cross-Site Scripting), waarbij de hacker gegevens in een webpagina injecteert om gebruikersgegevens (contactgegevens, wachtwoorden, sessiegegevens, enz.) te herstellen. Een andere goede praktijk bestaat onder meer uit het niet opslaan van gevoelige informatie in cookies en gegevens die lokaal op de terminal van de internetgebruiker zijn opgeslagen.
Uiteindelijk kunnen we ons de vraag stellen naar de effectiviteit van een dergelijke overheidsmaatregel. De cyberscore richt zich primair op het algemene publiek en hun legitieme informatiebehoefte. Het roept beveiligingsmanagers van locaties op om goede praktijken te respecteren, maar ook van functionarissen voor gegevensbescherming (DPO's) om de vereisten van de AVG nauwgezet te respecteren.
In afwachting van de implementatie van cyberscore biedt ORSYS u tal van cybersecurity-trainingen aan. U vindt er vooral gebruikersbewustzijnstrainingen. Beveiligingsmanagers en DPO's zullen de keuze hebben uit een hele reeks geavanceerde trainingen en certificeringen om hun kennis te verdiepen en hun vaardigheden te verbeteren.
