Comment fonctionne le Cyberscore, nouveau label online de sécurité des données

Le futur cyberscore, inspiré du nutriscore alimentaire, verra le jour en 2024. Petit tour d'horizon de ce dispositif innovant de sensibilisation à la cybersécurité

Le 1er octobre entrait en vigueur un article du Code de la Consommation imposant à certaines plateformes en ligne de faire réaliser un audit de cybersécurité et de faire apparaître leur résultat sur leurs plateformes sous la forme d’un Cyberscore. 

Inspiré du nutri-score des produits alimentaires, le Cyberscore vise à informer les utilisateurs du niveau de sécurisation et de protection de leurs données personnelles. Présenté sous la forme d’un dispositif visuel en couleurs, le Cyberscore mesure les niveaux de :

  • Protection des données personnelles garanti par la plateforme, notamment en matière de conformité de l'hébergement et du traitement des données, de revente ou de partage des données à des tiers ;
  •  Externalisation du traitement des données, avec une réelle prime à un hébergement réalisé dans l'UE, ainsi que des sous-traitants de nationalité européenne ;
  • Sécurité globale, notamment en matière de connexion utilisateur, gestion de l'identification/authentification, sécurisation de la messagerie, dispositif de traitement des incidents de sécurité, sensibilisation aux risques cyber et lutte antifraude, etc.

Ces nouvelles obligations s'appliquent aux opérateurs de plateformes en ligne (tels que les moteurs de recherche, les sites d'annonce en ligne, les Marketplaces, les réseaux sociaux...) ou les personnes qui fournissent des services de communication interpersonnelles non fondés sur la numérotation (tel que les services de messageries instantanées), qu'ils hébergent les données directement ou par l'intermédiaire d'un tiers. Pour qu'ils soient soumis à ce nouveau dispositif, il faut également que ces acteurs dépassent certains seuils définis par décret. À ce jour, le projet de décret prévoit que l'obligation du Cyberscore s'appliquerait aux acteurs qui comptent au moins 25 millions de visiteurs uniques par mois depuis le territoire français dès 2024, seuil qui serait réduit à 15 millions en 2025 afin de concerner un plus grand nombre d’acteurs. 

Quelles conséquences pour les entreprises ?

Concrètement, chaque Cyberscore devra être déterminé par un audit externe réalisé par un prestataire d'audit de la sécurité des systèmes d'information (PASSI), qualifié par l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), ou par un auditeur sélectionné par le PASSI. Les entreprises concernées devront faire apparaître leur Cyberscore sur leur plateforme.

Le projet d'arrêté, qui entrerait en vigueur au 1er janvier 2024, prévoit une période de validité de 12 mois pour chaque Cyberscore, un délai relativement court et qui pose naturellement des contraintes opérationnelles fortes pour les acteurs. En effet, cela imposerait aux plateformes concernées la réalisation d’un audit chaque année, avec la mise en place d’éventuelles rectifications et ajustements nécessaires au maintien, ou à l’amélioration de leur Cyberscore d’une année sur l’autre.

Le projet d'arrêté comporte également en annexe les critères de notation qui devront être pris en compte pour l'audit, avec une grille de notation de F à A+. L'exercice apparaît complexe. Pour obtenir le niveau A+ par exemple, il faut atteindre un nombre total de 62 critères par niveau, alors même que seuls 36 critères figurent à ce jour dans l'annexe, eux-mêmes décomposés en sous critères qui ne sont pour l'instant pas mentionnés.

Concrètement, quelle portée pour le Cyberscore ?

Au-delà des questions pratiques de réalisation de l’audit et des critères de notation, se pose la question de l’impact d’un score jugé comme négatif sur le comportement des utilisateurs. A partir de quelle note les utilisateurs se détourneront de certaines plateformes, cesseront de les utiliser et ainsi impacteront leurs revenus ? Parallèlement, à partir de quel impact sur son activité une plateforme donnée engagera des investissements afin d’améliorer son Cyberscore et ainsi rassurer ses utilisateurs ?

En matière de cybersécurité, on peut également légitimement s’interroger sur l’indicateur que pourrait constituer le Cyberscore pour les éventuels cybers attaquants et leur recherche de cibles. Vont-ils se ruer sur les plateformes fragiles dont le Cyberscore apparait faible ?

L'enjeu pour les entreprises concernées se pose enfin en termes d'image de marque, puisqu'elles devront afficher publiquement leurs niveaux de sécurité comme l’indique le projet d’arrêté :  "le marquage visuel Cyberscore devra être apposé de manière visible sur l'écran d'accueil du service en ligne". Une ambition qui s'inscrit dans la logique des nouveaux textes européens comme le Digital Services Act (DSA) et le Digital Markets Act (DMA) visant à contraindre les grandes plateformes à plus de transparence.