Le CyberScore est encore bien dans le flou

Secu

Le «cyberscore» dans l’attente de précisions

Par Alessandro Ciolek, publié le 26 septembre 2022

Le 3 mars dernier, l’Assemblée nationale et le Sénat ont adopté la loi pour la mise en place d’une certification de cybersécurité des plateformes numériques destinées au grand public. Presque aussi impactante que le RGPD, la « loi cyberscore » va concerner les 53 millions d’internautes français qui, chaque mois, consomment des services en ligne. Reste à en définir l’application. Pour l’instant ce CyberScore reste bien flou.

Sorti des cartons pendant la pandémie, le cyberscore reprend la logique du nutri-score pour noter le niveau de sécurisation des données sur un service en ligne. Il ambitionne de devenir « un outil qui permet de faire de la pédagogie à destination de tout un chacun qui n’a pas vocation à être spécialiste de la cybersécurité », explique son initiateur, le sénateur Laurent Lafon.

Selon lui, le nouveau ministre délégué chargé de la Transition numérique et des Télécommunications, Jean-Noël Barrot, s’est emparé du sujet dès sa désignation. « Il reste, précise Laurent Lafon, à faire intelligemment le lien entre ce qui a été pensé par les législateurs et ce qui va être traduit dans les décrets d’application.»

Laurent Lafon,

sénateur et président de la commission de la Culture,
de l’Éducation et de la Communication

Tous les sites ne seront pas impactés

La loi, qui entrera en vigueur le 1er octobre 2023, s’appliquera aux opérateurs de plateformes en ligne, aux messageries instantanées et aux sites de visioconférence générant plusieurs millions de connexions mensuelles.

Même si « il a été demandé que le cyberscore ne soit pas une contrainte supplémentaire notamment pour les TPE», comme le rappelle Laurent Lafon, le texte législatif reste et demeure bien imprécis quant à sa portée. Qu’en est-il par exemple des sites des administrations ?

À LIRE AUSSI :

Un texte législatif bien flou

Ce score de sécurité sera déterminé suite à la réalisation d’un audit auprès d’un cabinet certifié par l’Anssi et devra être affiché sur le site concerné.

Pour l’heure, les critères de notation et la signification même de chaque strate de couleur ne sont pas encore définis.

Pas plus qu’il n’est encore précisé à quelle fréquence ce cyberscore devra être mis à jour, face à l’apparition de nouvelles failles de sécurité et à la révélation, rendue obligatoire par le RGPD, d’une compromission éventuelle.

S’il faut donc attendre les décrets d’application, rédigés par les administrations concernées (notamment l’Anssi et la Cnil), on espère que fournisseurs de services et associations (Cesin et Cigref notamment) seront «intelligemment» consultés.


Un futur cyberscore européen ?

Si, dès le 1er octobre 2023, le cyberscore devait être présent sur certains sites français, pourrait-il concerner nos voisins européens ?
Selon Laurent Lafon, « ceux-ci n’ont pas prévu, à court terme, de travailler sur un outil similaire. Aussi, avançons de notre côté, et si l’idée est bonne, je ne doute pas qu’un jour elle sera généralisée. C’est vrai que la dimension européenne, et même au-delà à l’international, est fondamentale. »


À LIRE AUSSI :

Dans l'actualité

Verified by MonsterInsights