Le projet de CyberScore se précise. En 2023, les sites internet devront se soumettre à l'équivalent du Nutriscore pour les produits alimentaires : une échelle de notation simple qui permettra aux internautes d'en savoir un peu plus sur le niveau de sécurisation des plateformes qu'ils fréquentent. Présentation en cinq questions.
Après le Nutriscore et le Digiscore, voici venu le temps du CyberScore. Le législateur planche en ce moment même sur un projet de loi qui imposerait aux grands sites internet d'afficher un système de notation simple rendant compte de leur niveau de sécurité informatique. Un premier texte a déjà été adopté par le Sénat et devra faire la navette au Parlement avant d'être définitivement adopté. Même si le terme CyberScore n'est pas officiel, le sénateur UDI Laurent Lafon, porteur du projet, le présentait ainsi lors de son passage à la chambre haute : « Les Français ont besoin d'une information claire et lisible sur le niveau de protection de leurs données personnelles en ligne. Le Nutriscore l'a montré : quand le pouvoir politique donne une information claire et lisible aux consommateurs, il peut initier des changements majeurs sans attendre un grand soir réglementaire. Avec le CyberScore, nous allons pousser les opérateurs à changer leurs pratiques ».
Quels services sont ciblés ?
La loi reste encore floue lorsqu'il s'agit de définir quels types de sites seront concernés. Pour le moment, ce sont les opérateurs proposant « un service de communication au public en ligne » qui sont ciblés. C'est peu explicite mais cela concerne les services comme Google, WhatsApp, Zoom, Skype, Bing ou encore Messenger : visioconférence, messageries, moteurs de recherche, réseaux sociaux… les mailles sont encore à définir mais un seuil d'utilisateurs et de trafic est prévu pour ne pas compliquer la tâche des plus petits acteurs.
Quels seront les critères de notation ?
Ce sera au gouvernement d'établir, par décrets ultérieurs, les critères précis de notation. Une chose est sûre, le dispositif se concentrera sur deux aspects principaux : l'intégrité des données mais aussi leur type d'hébergement. Le lieu de stockage est en effet devenu un enjeu majeur, autant sur le plan de la sécurité informatique qu'au niveau de la géopolitique internationale. Alors que le cloud se déploie à grande vitesse et au moment où la guerre commerciale et industrielle fait rage entre les États-Unis et la Chine - sans oublier la Russie -, ces questions deviennent cruciales. Pour éviter toute autoévaluation des sites, l'audit devra être réalisé par un prestataire certifié par l'Agence nationale de la sécurité des systèmes d'information. La notation sera également limitée dans le temps et devra ainsi être réévaluée régulièrement.
À quoi ressemblera le CyberScore ?
Les entreprises du web peuvent déjà montrer patte blanche en ce qui concerne leur sécurité, via notamment des labels professionnels. Dans le domaine de la santé, pour des sites comme Doctissimo par exemple, il existe la certification HDS (hébergement de données de santé). Pour le cloud, il existe SecNumCloud. Ce sont cependant des certificats peu connus du grand public qui ciblent des secteurs très particuliers. À l'instar du Nutriscore et du Digiscore, le CyberScore se voudra le plus clair possible. Le projet de loi insiste sur un affichage « lisible, clair et compréhensible, accompagné d'une présentation ou d'une expression complémentaire, au moyen d'un système d'information coloriel ». L'échelle graduée par lettres colorées (A, B, C, D, E) devrait vraisemblablement être reconduite.
Quand entrera en vigueur le CyberScore ?
La proposition de loi est toujours en discussion au Parlement, mais le principe de CyberScore est acté puisque la première lecture du texte a été adoptée et par le Sénat et par l'Assemblée nationale. Ce nouveau système de notation va maintenant faire la navette d'une chambre à l'autre et de commission en commission. Quoi qu'il arrive lors de ces relectures, le CyberScore entrera en vigueur au plus tard le 1er octobre 2023. C'est un horizon lointain, mais ce délai laissera aux services le temps de s'adapter à cette nouvelle notation et de modifier leurs usages pour mieux répondre à cet enjeu majeur qu'est la sécurité des données sur internet.
