Le Cyberscore a pour objectif de définir le niveau de sécurité des plateformes numériques, des services de messagerie et des logiciels de visioconférence auprès des utilisateurs. Promulguée par la loi n° 2022-309 "pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public" le 3 mars 2022, son entrée en vigueur est prévue le 1er octobre 2023.
Ce Cyberscore consiste à établir un niveau de sécurité à partir d’un audit de cybersécurité portant sur « la sécurisation et la localisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, et sur leur propre sécurisation ». Ce niveau de sécurité est déterminé par un abécédaire, basé sur le modèle du Nutriscore. L’audit sera effectué par des prestataires d’audit qualifiés par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).
Quelles sont les plateformes concernées ?
Le Cyberscore s’applique à toute personne physique ou morale qui propose, à titre professionnel, de manière rémunérée ou non, un service de communication au public. Le périmètre d’action de la loi reste encore à définir, toutefois le rapport de l’Assemblée Nationale mentionne les opérateurs de plateformes en ligne dont l’activité dépasse un seuil de cinq millions de visiteurs uniques par mois, en particulier deux catégories :
- Les sites les plus utilisés par les consommateurs, dans un souci de simplification et d’exemplarité (ex : plateforme e-commerce, réseaux sociaux, etc.)
- Les services de visioconférences et les messageries les plus utilisés.
Le Cyberscore concernera donc en premier lieu les plateformes / entreprises les plus importantes, qui ont un gros volume de visiteurs. Une centaine de plateformes incontournables ont été identifiées. Cette première mise en application permet ainsi de donner davantage de temps aux entreprises moyennes et aux start-ups pour se mettre en conformité avec les mesures de défense numérique requises.
En effet, tout comme le Nutriscore, son champ d’application sera au fur et à mesure élargi à l’ensemble des acteurs du marché. Il est fort probable que d’ici 2025/2030 d’autres critères de sélection soient pris en compte pour définir le périmètre d’application du « Cyberscore » et ce seuil de visiteurs pourrait être revu à la hausse ou à la baisse.
Le Cyberscore, un Nutriscore numérique ?
L’abécédaire du Cyberscore reprend le format du Nutriscore et sa graduation en couleurs lisible, claire et compréhensible, mais il diffère en pratique. Si les données alimentaires propres restent inchangées dans le temps, ce n’est pas le cas des données en matière de cybersécurité, des réseaux et des systèmes.
Les données intrinsèques d’un produit numérique ne sont pas stables dans le temps. Les vulnérabilités zero-day - faille de sécurité informatique dont l'éditeur du logiciel ou le fournisseur de service n'a pas encore connaissance, ou qui n'a pas encore reçu de correctif - en sont la preuve. En effet, le niveau de cybersécurité d’une entité peut chuter le temps d’une découverte ou d’une innovation technologique. Pour pallier cela, la notion de caducité de l’audit de sécurité est introduite et mentionne la durée d’un an.
Les risques en cas de non-conformité
En cas de non-conformité, une amende pouvant aller jusqu’à 75 000,00€ pour une personne physique et 375 000,00€ pour une personne morale peut être appliquée. La responsabilité de contrôle et de sanction sera confiée à l’ANSSI (Agence Nationale de Sécurité de Systèmes d’Information).
Au-delà de la sanction pécuniaire, les opérateurs s’exposeront à un risque d’image auprès de leurs utilisateurs. Ces derniers auront un aperçu du traitement des données personnelles abritées par la plateforme, et une mauvaise note engendrerait une baisse de la confiance auprès de l’opérateur.
Ce Cyberscore va contraindre les plateformes à renforcer la sécurité des données personnelles et donner une nouvelle envergure au RGPD. Au-delà du Cyberscore, RSM peut vous accompagner dans la gouvernance de votre risque cyber global (ISO 27001, ISAE 3402). Consultez notre offre Cybersécurité et privacy.