Le Cyberscore : évaluer le niveau de sécurité des sites internet
D'où vient le cyberscore ?
L'initiative de créer un cyberscore a émergé pendant le confinement, période où les déplacements et les rencontres étaient limités, conduisant à une utilisation accrue de plateformes telles que Zoom pour les communications.
Cependant, la sécurité de ces plateformes et le devenir des données personnelles demeuraient inconnus. L'objectif du cyberscore est de fournir à un utilisateur non spécialisé une évaluation simple et claire de la sécurité de la plateforme qu'il utilise, en mettant en place un indicateur visuel précis.
Le cyberscore, à quoi sert-il ?
L'instauration d'une certification de cybersécurité vise à offrir aux utilisateurs une transparence accrue sur la sécurité de leurs données. Cette démarche a également pour objectif de clarifier la localisation des données, contribuant ainsi à renforcer la souveraineté numérique en France et en Europe.
Les éditeurs de services numériques sont déjà soumis au RGPD depuis 2018, une réglementation qui régit la protection des données personnelles. Le cyberscore agit comme une couche supplémentaire, fournissant une synthèse d'informations sur certains critères de confidentialité.
En facilitant l'accès à des indicateurs clairs, le cyberscore assiste les internautes dans le choix des acteurs offrant le plus haut niveau de sécurité et de protection contre les risques de violation des données personnelles.
Qui est concerné par le cyberscore ?
Cette loi s'applique de manière étendue, ciblant principalement les plateformes numériques, les services de messagerie et les logiciels de visioconférence qui dépassent les 25 millions de visiteurs uniques par mois depuis le territoire français en 2024.
Au cœur de cette réglementation réside un audit de cybersécurité, confié à un prestataire qualifié PASSI agréé par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Cet examen portera non seulement sur la localisation des données, mais également sur des critères tels que l'organisation, la protection des données et le développement sécurisé.
Cyberscore : quelle incidence en cas de non application ?
La loi est explicite à ce sujet : tout manquement à l'obligation d'afficher le cyberscore pourrait entraîner des sanctions financières substantielles. Au-delà des implications financières, une telle négligence pourrait sérieusement entacher la réputation d'une entreprise.
Cette approche s'inscrit dans la logique du "name and shame", également présente dans la LPM 2024 pour les éditeurs de logiciels ne remédiant pas à leurs vulnérabilités. L'expression "name and shame", d'origine anglo-saxonne, peut être traduite en français par "nommer et déshonorer" ou "dénoncer publiquement". Son objectif est de publiquement identifier et critiquer des individus, des entreprises ou des organisations en raison de comportements jugés répréhensibles, inappropriés, ou contraires à certaines normes ou valeurs.
Quel est l'objectif du cyberscore ?
Comme pour le Nutriscore avec les produits alimentaires, le cyberscore permet d'apporter une vue claire sur la solidité d'un site internet. C'est précisément l'objectif du cyberscore, qui sera clairement affiché sur les plateformes. De cette manière, chaque utilisateur sera en mesure de prendre des décisions éclairées concernant la protection de ses données.

Bon à savoir
"Art. L. 111-7-3.- Les opérateurs de plateformes en ligne mentionnés à l'article L. 111-7 du présent code et les personnes qui fournissent des services de communications interpersonnelles non fondés sur la numérotation, au sens du 6° quater de l'article L. 32 du code des postes et des communications électroniques, dont l'activité dépasse un ou plusieurs seuils définis par décret réalisent un audit de cybersécurité, dont les résultats sont présentés au consommateur dans les conditions prévues au dernier alinéa du présent article, portant sur la sécurisation et la localisation des données qu'ils hébergent, directement ou par l'intermédiaire d'un tiers, et sur leur propre sécurisation, dans les conditions prévues au présent article."
CE QU'IL FAUT RETENIR
-
#1
La certification en cybersécurité est devenue opérationnelle à partir du 1er octobre 2023.
-
#2
L'objectif du cyberscore est de fournir à un utilisateur non spécialisé une évaluation simple et claire de la sécurité de la plateforme qu'il utilise
-
#3
Tout manquement à l'obligation d'afficher le cyberscore pourrait entraîner des sanctions financières substantielles.

AVEC OTO CYBERDÉFENSE DEVENEZ ACTEUR DE VOTRE SÉCURITÉ
Prenez rendez-vous ou contactez directement un de nos experts pour aller plus loin sur votre projet de Cyberdéfense.