Si vous deviez évaluer le niveau de sécurité de votre entreprise sur une échelle de 0 (très risqué) à 5 (ultra-protégé), quelle note vous lui donnerez ?
Face à la numérisation de la société et à l’augmentation significative de l’utilisation des outils numériques depuis 2020, les enjeux de cybersécurité deviennent majeurs, tant pour les entreprises, administrations publiques et collectivités territoriales que pour les utilisateurs de l’internet.
La cybersécurité constitue l’ensemble des mesures de sécurité permettant de protéger votre système d’informations contre des évènements susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées (piqûre de rappel ici).
Pour autant, bien que les entreprises soient soumises à des obligations de sécurité des données qu’elles traitent et doivent les évaluer régulièrement, elles n’ont pas l’obligation d’informer les consommateurs du niveau de sécurité des outils numériques qu’elles leur proposent.
Ainsi, et à l’occasion du début du Cyber-mois le 1er octobre 2023, la loi du 3 mars 2022 relative au « Cyberscore » est entrée en vigueur.
Le Cyberscore s’inscrit dans une volonté de renforcer la cybersécurité et, entre autres, de sensibiliser les consommateurs.
Sommaire
- Qu’est-ce que le Cyberscore ?
- Qui est concerné ?
- Comment le Cyberscore doit-il être mis en place ?
1. Qu’est-ce que le Cyberscore ?
Le Cyberscore est le « nutri-score » de la cybersécurité des outils numériques.
Le Cyberscore consiste ainsi à présenter aux consommateurs les résultats de l’évaluation de la cybersécurité d’une solution numérique et ce, de façon lisible, claire et compréhensible, par différentes couleurs, comme le nutriscore.
Les notes du Cyberscore iront de la note F (la plus basse) à A+ (la plus haute), et les couleurs iront du rouge au vert.
Par exemple, dans le cadre d’un Cyberscore évalué à la note « D », le visuel proposé est celui-ci :
Le Cyberscore devrait être apposé sur la page d’accueil du site internet de l’entreprise, de sorte que le consommateur soit rapidement informé du niveau de sécurité des services numériques qu’il utilise.
2. Qui est concerné par le Cyberscore ?
Le Cyberscore s’applique aux entreprises qui :
- sont des opérateurs de plateforme en ligne : les moteurs de recherches, les marketplaces et plateformes de mises en relation, les réseaux sociaux ou encore les comparateurs en ligne ;
- fournissent des services de communications interpersonnelles non fondés sur la numérotation, c’est-à-dire les services de communication en ligne tels que WhatsApp, Messenger ou encore les outils de visioconférence.
Seules les entreprises qui dépassent un certain seuil auront l’obligation de présenter leur Cyberscore aux consommateurs.
Un projet de décret fixe ce seuil à 25 millions de visiteurs uniques par mois pour l’année 2024, puis 15 millions de visiteurs uniques par mois pour les années 2025 et suivantes.
Ce projet n’a pas encore été adopté, de sorte que les seuils peuvent encore être augmentés ou diminués.
3. Comment le Cyberscore doit-il être mis en place ?
Pour pouvoir calculer le Cyberscore et l’afficher sur son site, les entreprises devront faire réaliser un audit de cybersécurité par un prestataire qualifié par l’Agence Nationale de la Sécurité des Système d’Information.
L’audit de cybersécurité devra notamment porter sur la sécurisation et la localisation des données hébergées par les outils numériques, directement ou par l’intermédiaire d’un tiers, et sur leur propre sécurisation.
Les critères précis devant être évalués dans le cadre de cette évaluation seront fixés par un arrêté.
A ce jour, seul un projet d’arrêté a été publié précisant que l’audit est réalisé sur la base d’informations ouvertes, librement accessibles et de manière non intrusive par le prestataire. Il fixe plus d’une trentaine de critères à évaluer portant notamment sur :
- L’organisation et la gouvernance de la cybersécurité, la sensibilisation aux risques de cybersécurité et les développements sécurisés ;
- La protection des données ;
- La connaissance du service numérique, le niveau d’externalisation, et d’exposition sur l’internet ;
- Les dispositifs de traitement des incidents de sécurité ainsi que les audits réguliers du service numérique.
Le projet d’arrêté précise que cet audit devra être réalisé une fois par an si les plateformes et fournisseurs dépassent les seuils fixés par décret.
A ce stade et en l’absence d’arrêté et de décret définitifs, il est difficile de planifier et préparer l’audit de cybersécurité, l’ensemble des critères et « sous-critères » à auditer n’étant pas mentionné dans le projet d’arrêté.
En conclusion, le Cyberscore a vocation à sensibiliser les consommateurs et à les informer du niveau de sécurité des solutions numériques qu’ils utilisent.
Au-delà de cette transparence, le Cyberscore présente différents avantages, tels que :
- une amélioration de la réputation des entreprises, ce qui peut favoriser l’image de marque ;
- une amélioration de la cybersécurité dans la mesure où l’évaluation de cybersécurité fera ressortir les éléments à améliorer et les bonnes pratiques attendues.
En parallèle du Cyberscore, il existe d’autres moyens de réaliser des évaluations de la sécurité d’un système d’information notamment en faisant appel à des prestataires d’audit de sécurité informatique et en définissant avec eux le périmètre de cet audit.