Le Cyberscore : évaluer le niveau de sécurité des sites internet

Cybersécurité

Le Cyberscore adopte un système de notation similaire au Nutriscore et a été instauré suite à la loi du 3 mars 2022. Cette certification en cybersécurité est devenue opérationnelle à partir du 1er octobre 2023.

D'où vient le cyberscore ?

L'initiative de créer un cyberscore a émergé pendant le confinement, période où les déplacements et les rencontres étaient limités, conduisant à une utilisation accrue de plateformes telles que Zoom pour les communications. 

Cependant, la sécurité de ces plateformes et le devenir des données personnelles demeuraient inconnus. L'objectif du cyberscore est de fournir à un utilisateur non spécialisé une évaluation simple et claire de la sécurité de la plateforme qu'il utilise, en mettant en place un indicateur visuel précis. 

Le cyberscore, à quoi sert-il ?

L'instauration d'une certification de cybersécurité vise à offrir aux utilisateurs une transparence accrue sur la sécurité de leurs données. Cette démarche a également pour objectif de clarifier la localisation des données, contribuant ainsi à renforcer la souveraineté numérique en France et en Europe. 

Les éditeurs de services numériques sont déjà soumis au RGPD depuis 2018, une réglementation qui régit la protection des données personnelles. Le cyberscore agit comme une couche supplémentaire, fournissant une synthèse d'informations sur certains critères de confidentialité. 

En facilitant l'accès à des indicateurs clairs, le cyberscore assiste les internautes dans le choix des acteurs offrant le plus haut niveau de sécurité et de protection contre les risques de violation des données personnelles. 

Qui est concerné par le cyberscore ?

Cette loi s'applique de manière étendue, ciblant principalement les plateformes numériques, les services de messagerie et les logiciels de visioconférence qui dépassent les 25 millions de visiteurs uniques par mois depuis le territoire français en 2024. 

Au cœur de cette réglementation réside un audit de cybersécurité, confié à un prestataire qualifié PASSI agréé par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Cet examen portera non seulement sur la localisation des données, mais également sur des critères tels que l'organisation, la protection des données et le développement sécurisé. 

Cyberscore : quelle incidence en cas de non application ?

La loi est explicite à ce sujet : tout manquement à l'obligation d'afficher le cyberscore pourrait entraîner des sanctions financières substantielles. Au-delà des implications financières, une telle négligence pourrait sérieusement entacher la réputation d'une entreprise. 

Cette approche s'inscrit dans la logique du "name and shame", également présente dans la LPM 2024 pour les éditeurs de logiciels ne remédiant pas à leurs vulnérabilités. L'expression "name and shame", d'origine anglo-saxonne, peut être traduite en français par "nommer et déshonorer" ou "dénoncer publiquement". Son objectif est de publiquement identifier et critiquer des individus, des entreprises ou des organisations en raison de comportements jugés répréhensibles, inappropriés, ou contraires à certaines normes ou valeurs. 

Quel est l'objectif du cyberscore ?

Comme pour le Nutriscore avec les produits alimentaires, le cyberscore permet d'apporter une vue claire sur la solidité d'un site internet. C'est précisément l'objectif du cyberscore, qui sera clairement affiché sur les plateformes. De cette manière, chaque utilisateur sera en mesure de prendre des décisions éclairées concernant la protection de ses données. 

Bon à savoir

"Art. L. 111-7-3.- Les opérateurs de plateformes en ligne mentionnés à l'article L. 111-7 du présent code et les personnes qui fournissent des services de communications interpersonnelles non fondés sur la numérotation, au sens du 6° quater de l'article L. 32 du code des postes et des communications électroniques, dont l'activité dépasse un ou plusieurs seuils définis par décret réalisent un audit de cybersécurité, dont les résultats sont présentés au consommateur dans les conditions prévues au dernier alinéa du présent article, portant sur la sécurisation et la localisation des données qu'ils hébergent, directement ou par l'intermédiaire d'un tiers, et sur leur propre sécurisation, dans les conditions prévues au présent article."

CE QU'IL FAUT RETENIR

  • #1

    La certification en cybersécurité est devenue opérationnelle à partir du 1er octobre 2023. 

  • #2

    L'objectif du cyberscore est de fournir à un utilisateur non spécialisé une évaluation simple et claire de la sécurité de la plateforme qu'il utilise 

  • #3

    Tout manquement à l'obligation d'afficher le cyberscore pourrait entraîner des sanctions financières substantielles. 

Un expert en cybersécurité se tenant debout dans un open space

AVEC OTO CYBERDÉFENSE DEVENEZ ACTEUR DE VOTRE SÉCURITÉ

Prenez rendez-vous ou contactez directement un de nos experts pour aller plus loin sur votre projet de Cyberdéfense.

Bonnes pratiques | 4 avr. 2024 | 6 min

Protection des données

Comment protéger sa clé usb des virus ?

Les clés USB représentent un important risque d'infection, car elles sont connectées à de nombreux ordinateurs différents. Il est particulièrement facile pour un cybercriminel ou un logiciel malveillant déjà présent de contaminer la clé avec un virus ou un ver, le tout sans que vous en ayez conscience. Dès que la clé USB est branchée sur un ordinateur, le ver crée un fichier autorun.inf. Ce fichier est automatiquement exécuté par Windows, permettant ainsi la propagation du virus.

En savoir plus

Article | 2 avr. 2024 | 9 min

Sécurité des réseaux

Internet des Objets (IoT) : Sécuriser la connectivité

Assurer la sécurité de l'Internet des Objets (IoT) revient à protéger les appareils connectés à Internet ainsi que les réseaux auxquels ils sont liés contre les menaces et les vulnérabilités. Cela implique d'identifier et de surveiller les risques potentiels, tout en remédiant aux failles de sécurité des appareils susceptibles de présenter des risques pour la sécurité de votre entreprise.

En savoir plus

Bonnes pratiques | 28 mars 2024 | 11 min

Malware

Comment reconnaître une tentative de phishing

Les attaques de phishing deviennent de plus en plus courantes, et souvent, ce sont les stratégies les plus simples qui réussissent à tromper les utilisateurs. Comment se prémunir contre le phishing ? Voici nos recommandations pour identifier ces tentatives d'arnaque et surtout pour éviter d'en être la victime.

En savoir plus