Failles de sécurité, vol de données personnelles ou encore cyberattaques : naviguer sur le Web n’est pas sans risques. C’est pourquoi, en mars 2022, une proposition de loi a définitivement été adoptée : elle met en place une certification de cybersécurité des plateformes numériques destinées au grand public. Cette loi instaure notamment un « cyberscore ». Les consommatrices et consommateurs seront ainsi mieux informés sur la protection de leurs données, en fonction du site internet sur lequel ils naviguent. Tour d’horizon sur l’essentiel de cette nouvelle réglementation.

Un cyberscore pour plus de transparence

Ce nouveau texte modifie le Code de la consommation et impose de nouvelles obligations en matière de cybersécurité aux grandes plateformes numériques, aux messageries instantanées et aux sites de visioconférence les plus fréquentés.

Cette proposition de loi a été initiée par le sénateur Laurent Lafon en juillet 2020. Il souhaitait que les internautes aient accès, de manière lisible et transparente, aux conditions générales d’utilisation des différentes plateformes numériques. Actuellement, il est vrai que ces conditions générales ne sont pas compréhensibles par tous. Et pour cause : les textes sont remplis de termes techniques. La mise en place d’un cyberscore vise donc à pallier ce manque de lisibilité pour les internautes. 

À partir du 1er octobre 2023, les plateformes numériques devront afficher le niveau de cybersécurité de leur site avec ce fameux cyberscore. Ce dernier prendra la même forme que le nutriscore des produits alimentaires. Allant de la lettre A à la lettre E, et accompagné d’un code couleur, cet étiquetage indiquera le niveau de sécurisation des données des sites et des réseaux sociaux fréquentés. Grâce à cet outil, chacun pourra évaluer le niveau de sécurité d’une plateforme. 

Une nouvelle obligation, mais pour qui ? 

Si la loi rend obligatoire la mise en place d’une certification de cybersécurité des plateformes numériques destinées au grand public, les opérateurs concernés ne sont pas encore définis. Comme l’indique Vie publique, le texte reste pour l’instant très général, mais un décret est prévu pour définir les plateformes qui seront soumises au cyberscore. 

Le décret permettra de définir les seuils selon lesquels les opérateurs de plateformes en ligne seront soumis à cette nouvelle obligation. Il semblerait néanmoins que le cyberscore s’adresse aux plateformes les plus utilisées, soit principalement les sites d’échanges – les réseaux sociaux – et les systèmes de visioconférence. 

Un audit de sécurité encore à préciser

Les opérateurs des plateformes numériques, qui seront soumis au cyberscore, devront réaliser un audit de sécurité. Les informations du cyberscore se baseront sur les critères de cet audit. Pour l’instant, ces derniers ne sont pas non plus fixés. Néanmoins, nous savons que l’audit de sécurité devra être effectué par des prestataires qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). 

Il est donc difficile de savoir sur quoi reposera exactement le cyberscore, mais d’après le texte de loi, les principaux marqueurs des opérateurs étudiés sont : 

  • La sécurisation de l’hébergement des données et de leur localisation. C’est-à-dire si le site ou le service héberge lui-même les données, ou s’il fait appel à un prestataire, comme un cloud. 
  • La sécurisation de l’infrastructure de la plateforme en elle-même.

De nombreux points sont encore à définir avant l’entrée en vigueur de cette nouvelle obligation en octobre 2023. Affaire à suivre donc…

Lire aussi

Cybersécurité : quel est le niveau
des entreprises françaises ?

Technologie & Systèmes
10 mai 2022

Le constat du cabinet Wavestone, acteur majeur du conseil en France, est sans appel : les entreprises françaises ont progressé dans leur préparation au risque cyber, mais l’effort global reste insuffisant. En mars 2022, le spécialiste de la transformation des organisations publie un baromètre évaluant les entreprises françaises face aux…

« Si l’humain continue de constituer une faille,
il y aura toujours un trou dans la raquette
en matière de cybersécurité »

image de plusieurs cadenas digital
Technologie & Systèmes
26 avril 2022

Pour Aurélie Luttrin, qui accompagne entreprises et collectivités dans la sécurisation de leur transformation digitale, l’humain doit plus que jamais être placé au cœur des stratégies de cybersécurité. À condition de rectifier certains travers, et de développer des compétences indispensables. Interview. En septembre 2021, vous avez signé une tribune titrée…

Cybersécurité : qu’est-ce que le Campus Cyber ?

Technologie & Systèmes
19 avril 2022

Inauguré le mardi 15 février 2022, le tout nouveau Campus Cyber a élu domicile aux portes de Paris, et plus précisément dans la tour Eria à La Défense. Dessinée par l’architecte Christian de Portzamparc, cette immense tour de 13 étages peut se vanter de réunir tous les acteurs de la…