Cyberscore - Comment se préparer à la mise en place de cette notation ?
Sujet de forte actualité ces derniers mois, un cyberscore va bientôt être mis en place.
Indicateur visuel, simple à lire, affiché prochainement sur les sites Web pour en estimer la sécurité, le cyberscore reprend clairement les codes du Nutri-score : A = plateforme Web saine, E = plateforme Web en mauvaise santé.
L’évaluation de ce score sera réalisée via un audit fait par un prestataire qualifié PASSI.
L’audit s’appuiera sur une grille d’audit regroupant 9 thématiques :
· Organisation et gouvernance
· Protection des données
· Connaissance et maîtrise du service numérique
· Niveau d’externalisation
· Niveau d’exposition sur Internet
· Dispositif de traitement des incidents de sécurité
· Audit du service numérique étudié
· Sensibilisation aux risques Cyber et lutte anti-fraude
· Développement sécurisé
Sont concernés par ce cyberscore les grandes plateformes numériques, les messageries instantanées et les sites de visioconférence sur toutes les plateformes numériques à destination du grand public.
L’objectif de cette nouvelle certification sera d’informer au mieux les internautes sur les sites Internet qu’ils consultent et sur leur fiabilité, notamment en ce qui concerne la sécurisation de leurs données. Cette loi, appelée Loi Lafon, entrera en vigueur le 1er octobre 2023.
Mais comment se préparer à la mise en place de ce système de notation et s’assurer d’être parmi les bons élèves ? Voici quelques pistes !
1. La protection des données
Pour avoir un bon cyberscore, il sera primordial d’assurer une bonne protection des données des utilisateurs, surtout les données à caractère personnel. Se conformer au règlement européen RGPD (Règlement Général sur la Protection des Données) est déjà obligatoire lorsque l’on traite des données à caractère personnel d’individus au sein de l’Union Européenne. Parmi les critères permettant d’assurer une bonne note, on retrouve notamment :
· L’existence de mesures techniques, organisationnelles et juridiques assurant la conformité du service aux recommandations de l’EDPB (European Data Protection Board), le comité européen de la protection des données, en matière d’hébergement et de traitement des données.
· L’existence d’une cartographie des informations traitées par le service numérique étudié et de leur sensibilité.
2. Les cookies
Lorsque l’on souhaite naviguer sur votre site internet, doit-on d’emblée faire face à une fenêtre pop-up avec « Accepter les cookies » en police 62, tandis que l’option « Continuer sans accepter » se cache en italique quelque part dans un coin de la page ? Si c’est le cas, il y a de fortes chances que cela impacte votre cyberscore. Parmi les critères de notation, on retrouve en effet la capacité à naviguer sur un site internet sans avoir à accepter les cookies.
3. Organisation et gouvernance
Plusieurs critères d’organisation et de gouvernance de la sécurité seront pris en compte comme :
· L’assujettissement ou non de la société délivrant le service au droit européen.
· L’organisation de la maîtrise des risques de cybersécurité.
· L’existence ou non d’une assurance permettant de couvrir les risques numériques pour le service numérique.
Voici 3 principaux axes sur lesquels travailler pour espérer obtenir un bon cyberscore. D’autres critères seront pris en compte comme :
· Les certificats de sécurité et protocoles de chiffrement utilisés.
· La localisation des infrastructures d’hébergement du service numérique.
· La gestion de l’identification/authentification des administrateurs techniques et fonctionnels du service.
· La prise en compte des règles de l’OWASP dans les développements.
· Mais aussi la convivialité du site !
Petit rappel par le biais de cet article donc… Le dispositif cyberscore entre en vigueur le 1er octobre 2023.