Introduction du dispositif Cyberscore
Alors que nous vivons dans un monde de plus en plus numérisé, la question de la sécurité de nos données personnelles demeure au cœur des préoccupations. Qui n’a pas entendu parler d’une cyberattaque ces dernières années ? C’est dans ce contexte que la France a décidé d’agir, avec l’introduction de la Loi Cyber-score. Explorons ensemble cette nouvelle initiative.
Loi Cyber-score : Une réponse législative à un enjeu majeur
Le rapport du Sénat du 16 février 2022, porté à la lumière par la sénatrice Mme Anne-Catherine Loisier, nous a révélé un fait étonnant : malgré une augmentation notable des cyberattaques, de nombreuses entreprises ne semblent pas adapter leur stratégie en conséquence. Un tel constat s’avère alarmant à l’ère du tout numérique.
Pour contrer ce phénomène, la France a lancé la loi n°2022-309 du 3 mars 2022. Sa mission ? Obliger les plateformes numériques à informer le grand public sur le niveau de sécurité de leurs données. C’est une avancée notable, d’autant plus que cette loi va au-delà du célèbre RGPD en matière de transparence.
Qui est concerné et comment ?
Le spectre d’application de cette loi est large. Elle concerne principalement les plateformes numériques, services de messagerie et logiciels de visioconférence qui dépassent 25 millions de visiteurs uniques par mois depuis le territoire français en 2024.
Le cœur de cette réglementation repose sur un audit de cybersécurité, réalisé par un prestataire qualifié PASSI par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Cet audit s’attachera non seulement à la localisation des données, mais aussi à des critères tels que l’organisation, la protection des données et le développement sécurisé.
L’objectif : Un indicateur clair pour les consommateurs
Imaginez un instant avoir le pouvoir de connaître en un coup d’œil la robustesse de la sécurité d’un site web, un peu comme le nutriscore pour les produits alimentaires. C’est l’objectif du cyberscore, qui sera affiché de manière visible sur les plateformes. Ainsi, chaque utilisateur pourra faire des choix éclairés sur la protection de ses données.
Et si on ne respecte pas ?
La loi est claire à ce sujet. Tout manquement à l’obligation d’afficher le cyberscore pourra entraîner des sanctions financières importantes. Mais au-delà de l’aspect financier, la réputation d’une entreprise pourrait être gravement affectée.
C’est la logique du « name and shame », qu’on retrouve également dans la LPM 2024 pour les éditeurs de logiciel ne corrigeant pas leurs vulnérabilités. L’expression « name and shame » est anglo-saxonne et peut être traduite en français par « nommer et déshonorer » ou « dénoncer publiquement ». Elle vise à publiquement désigner et dénoncer des individus, des entreprises ou des organisations en raison d’un comportement jugé répréhensible, inapproprié ou contraire à certaines normes ou valeurs.
Quel délai ?
Selon la loi, Le cyberscore est normalement obligatoire depuis le 1er octobre 2023, seulement le decret d’application n’a pas encore été publié, rendant son application problématique.
Cependant, un projet de décret à bien été diffusé, et laisse entrevoir les contours des exigences.
Comment s’y préparer ?
Les thématiques sur lesquels se porteront les exigences du nouveau dispositif sont :
- L’organisation et la gouvernance SSI
- Interconnexion et le partage des données a des tiers, notamment hors UE
- Documentaire, inventaire, carthographie
- Externalisation et sous traitance
- Maitrise de l’exposition internet
- Traitement des incidents
- Sensibilisation cybersécurité
- Sécurité dans les développements
Les thématiques abordées sont vastes, et le chantier de préparation est important.
C’est pourquoi nous recommandons de faire un état des lieux de son niveau de conformité par rapport au projet de décret dès a présent pour préparer sa mise en conformité.
