L’évolution des habitudes des usagers en ligne, et en particulier les évolutions consécutives au règlement de protection générale des données, a contribué à la sensibilisation du public quant aux risques représentés par les différents services en ligne. Mais les utilisateurs ignorent encore comment évaluer le niveau de sécurité de la plupart des services en ligne qu’ils utilisent. Les entreprises de leur côté évitent de communiquer sur ce sujet. Il est en effet difficile pour elles d’affirmer que leur site est plus sécurisé contre les vulnérabilités et les cyberattaques que celles de leurs concurrent alors qu’il n’existe aucune règle de mesure unique qui leur permette de se comparer.
Le Cyberscore doit répondre à ces interrogations. Cet indicateur visuel destiné sera affiché sur la page d’accueil des plateformes offrira la possibilité de se mesurer et de comparer le niveau de sécurité des différents services.
Nous analyserons dans cet article le fonctionnement du Cyberscore et la raison pour laquelle il peut devenir un outil essentiel dans la perspective de NIS2.
Qu’est-ce que le Cyberscore et à qui s’adresse-t-il ?
Instauré par la loi du 3 mars 2022, dite de Certification de cybersécurité des plateformes numériques, le Cyberscore a été présenté comme un nouvel indicateur inspiré du Nutri-score. Il devait initialement faire son apparition le 1er octobre 2023 pour une ouverture en janvier 2024 sur une durée d’un an. À ce jour, le décret d’application n’a toujours pas été publié.
Le cyberscore vise autant à sensibiliser qu’à informer les usagers et les citoyens à la protection de leurs données. Il vise à répondre à la question suivante : comment savoir si un site web et les applications que nous utilisons quotidiennement protègent efficacement nos informations ?
Sensibiliser les citoyens et la société
Cet indicateur permettra au public de faire des choix informés en matière de services numériques. Ainsi, une grande plateforme dont les pratiques en matière d’hébergement de données et de protection des informations personnelles sont discutables se verra sanctionnée par un mauvais score. Il est possible qu’un indicateur négatif ne dissuade pas immédiatement les utilisateurs de ces plateformes, mais à la longue, l’information et la sensibilité de l’ensemble du public à la question de la protection des données devrait progresser.
Les plateformes concernées
Le Cyberscore sera affiché sur les sites des grandes plateformes numériques ayant une forte audience en France :
- Opérateurs de plateformes en ligne (ex : Amazon, Facebook, YouTube)
- Services de messagerie instantanée (ex : WhatsApp, Messenger)
- Services de visioconférence (ex : Zoom, Microsoft Teams)
- Sites de commerce en ligne traitant des données sensibles
Le décret d’application des seuils a fait l’objet d’une parution spécifique. Il fixe le seuil de fréquentation à 25 millions de visiteurs uniques par mois à partir de 2024, puis 15 millions à partir de 2025. Aucune distinction n’est faite entre les plateformes basées en France, en Europe, aux États-Unis, ou ailleurs dans le monde.
Comment fonctionne le Cyberscore ?
Le système d’évaluation sur lequel repose le cyberscore s’articule autour d’une échelle d’évaluation allant de A+ (très sécurisé) à F (peu sécurisé). Cette notation permet aux utilisateurs de saisir rapidement le niveau de sécurité d’un site ou d’une application.
Le processus d’attribution du Cyberscore est le résultat d’un audit de cybersécurité, réalisé par un prestataire qualifié en Sécurité des Systèmes d’Information (PASSI). Cet audit évaluera plusieurs aspects de la sécurité numérique, notamment :
- L’organisation et la gouvernance de la sécurité,
- La protection des données personnelles,
- La maîtrise du service numérique,
- Le niveau d’exposition sur Internet,
- La gestion des incidents de sécurité,
- La sensibilisation aux risques cyber.
Une fois l’évaluation effectuée, les plateformes ont l’obligation d’afficher leur Cyberscore de manière visible sur leur page d’accueil et dans leurs mentions légales.
Les bénéfices du Cyberscore pour les usagers
Le Cyberscore apporte de nombreux avantages. En fournissant une information claire et accessible sur la sécurité des services numériques, il crée un climat de confiance entre les utilisateurs et les plateformes.
Comme nous l’avons indiqué plus haut, le Cyberscore remplira également une fonction éducative importante en sensibilisant le grand public aux enjeux de la cybersécurité. À l’image du Nutriscore, lancé en 2017 et élargi fin 2022, il est concevable que le cyberscore puisse être élargi à d’autres acteurs de l’économie numérique et du web dans un second temps. D’ailleurs, une entreprise non directement concernée pourra chercher à atteindre ces critères afin d’améliorer son image de marque avant que le périmètre d’application soit élargi. Elles peuvent également l’adopter en anticipant d’éventuelles régulations futures, comme NIS 2. On peut donc considérer qu’un effet d’entraînement est attendu de la part du régulateur : les fournisseurs de services tiers et les partenaires des entreprises directement concernées par le Cyberscore améliorent leurs pratiques de sécurité et entraînent dans leur sillage d’autres entreprises non directement visées par la réglementation.
Conclusion
L’impact du Cyberscore sur la perception de sécurité des usagers pourrait à long terme être important. Un tel indicateur deviendrait alors un préalable au développement de tout service en ligne de taille significative. Même s’ils sont sans rapport, le Cyberscore s’inscrit d’ailleurs parfaitement dans la logique de la NIS 2 en répondant à plusieurs exigences de la directive. Le Cyberscore apparaît donc comme un outil appelé à jouer un rôle important dans un contexte général de renforcement de la sécurité.