Boite à outils

Cyberscore : tout ce qu’il faut savoir

Le cyberscore est un barème identique au Nutriscore. Il a été mis en place après la loi du 3 mars 2022. Cette certification de cybersécurité est entrée en vigueur fin 2023.

Romain Charbonnier
Par Romain Charbonnier
Journaliste indépendant
Contenu mis à jour le
CYBERSCORE : TOUT CE QU’IL FAUT SAVOIR
NB : Contenu en cours de réécriture.
Le cyberscore évalue le niveau de sécurité des plateformes en ligne. L’objectif est de renseigner les internautes sur le niveau de cybersécurité des sites qu’ils visitent, que ce soit des réseaux sociaux, des services de visio, des moteurs de recherche ou encore des sites e-commerce.

Qu’est-ce que le cyberscore ?

D’où vient l’idée du cyberscore ?

L’idée de développer un cyberscore est née durant le confinement. À cette époque, les gens ne pouvaient pas se déplacer et se rencontrer, ce qui a augmenté l’utilisation des plateformes telle que Zoom pour communiquer. 

Toutefois, personne ne connaissait le niveau de sécurité des plateformes ni de ce que sont devenues les données personnelles. Le but du cyberscore est d’aider un non-expert à avoir facilement une idée sur la question de la sécurité de la plateforme qu’il utilise grâce à un visuel clair et précis

D’où vient l’idée du cyberscore ?

À quoi ça sert ?

L’objectif de la mise en place d’une certification de cybersécurité est de donner aux utilisateurs un meilleur niveau de transparence concernant la sécurité de leurs données.

Il s’agit aussi d’une solution qui permet de clarifier tout ce qui est localisation des données et d’améliorer la souveraineté numérique en France et en Europe.

D’ailleurs, les éditeurs des services numériques sont soumis au RGPD depuis 2018. C’est la règle qui régit la protection des données personnelles. Le cyberscore est comme une sorte de couche supplémentaire permettant d’avoir une information synthétique sur certains critères de privacy.

Il aidera ainsi les internautes à adopter les acteurs qui proposent le meilleur niveau de sécurité et de protection contre les risques de violation des données personnelles.

Que risquent les plateformes qui ne respectent pas le cyberscore ?

Les services en ligne, les sites Internet ou encore les plateformes qui resteront longtemps dans le rouge sont exposés à une amende. Pour une personne physique, le montant est de 75 000 euros et de 375 000 euros pour une personne morale.

Gratuit
Téléchargez Le Grand Livre de la cybersécurité
Plus de 180 pages d’articles indispensables rédigés par des experts pour vous aider à mieux comprendre le secteur de la cybersécurité.
Téléchargez gratuitement le Grand Livre DE LA CYBERSÉCURITÉ

Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49

Le fonctionnement du cyberscore

Cyberscore : une certification de cybersécurité à l’image d’une notation

La plupart des plateformes en ligne proposent des conditions générales d’utilisations. Toutefois, très peu d’internautes les lisent réellement.

Internet est prisé pour son interactivité et son accessibilité. Les requêtes d’informations s’effectuent en un rien de temps. Les distractions et les réseaux sociaux procurent une expérience utilisateur hors pair. La lecture de ces longs textes, souvent rédigés en minuscules et au vocabulaire compliqué, est inconcevable.

Les termes techniques n’aident pas réellement les internautes à mesurer le niveau de sécurisation. Ces documents ne sont pas assez clairs et manquent de transparence même après les obligations du RGPD. Cependant, la protection des données privées reste une inquiétude, et davantage les Français en sont conscients, surtout face à l’augmentation des attaques.

Grâce au cyberscore les internautes ont une information claire, intelligible de tous et compréhensible en matière de protection de leurs informations dans le cadre de l’usage de quelques plateformes numériques.

 Il prend la forme d’un étiquetage, un peu similaire au Nutri-Score pour les produits alimentaires. Il affiche une notation de A à E, couronnée par un référentiel de couleurs. Ces notations sont ensuite affichées sur la plateforme web ou sur le site.

Les utilisateurs peuvent alors évaluer aisément l’engagement d’un site pour la protection de leurs données personnelles même s’ils ne sont pas des spécialistes de la sécurité d’information. Le niveau de sécurisation des données de leurs plateformes préférées n’aura plus de secret pour eux.

Le système doit être à la fois intuitif et pratique.

Cyberscore : une évaluation en toute liberté

Ce projet est basé sur la confiance. Une estimation en interne enlèverait toute apparence au cyberscore.  

La notation est ainsi octroyée après un audit externe pour plus de transparence. Ce dernier sera effectué par des experts labellisés par l’ANSSI (Agence nationale de la sécurité des systèmes d’information).

Durant l’audit, ils évaluent entre autres :

  •  La sécurité des données sur la plateforme ;
  •  Le positionnement et la défense des serveurs d’hébergement.
Vous souhaitez travailler dans la cybersécurité ?
2 FORMATIONS DE POST BAC À BAC+5 100% dédiées à la cybersécurité
Nos programmes de formation sont pensés avec les entreprises du secteur de la cybersécurité et du digital pour maximiser l’employabilité de nos étudiants. Le Bachelor a été construit pour transmettre de solides bases de développement informatique tout en parcourant progressivement les notions clés de la cybersécurité. Le MSc est à 100% dédié à la cyber et spécialise dans un métier de la cybersécurité. Nos diplômes sont reconnus par les entreprises et par l’Etat, ils délivrent en fin de cursus un titre RNCP de niveau 6 (Bac+3) ou 7 (Bac+5).
bachelor
logo-bachelor
BACHELOR (BAC+3)
DÉVELOPPEUR INFORMATIQUE OPTION CYBERSÉCURITÉ
master-of-science
logo-mos
MASTER OF SCIENCE (BAC+5)
EXPERT
CYBERSÉCURITÉ

Les différents critères du cyberscore

En voici quelque-uns :

  • Les mesures de sécurité établies pour sécuriser les données (audit de sécurité) ;
  • Le positionnement des données hébergées ;
  • La conséquence des lois étrangères en matière de protection des données, surtout les technologies qui proviennent de la Chine et des États-Unis ;
  • La statistique des condamnations CNIL ;
  • La quantité de failles de sécurité recensées ;
  • Différents critères liés au RGPD ou de la directive NIS comme le privacy by default ;
  • Nombre de sanctions pour infraction des réglementations en matière de protection des informations personnelles reçues ;
  • La stratégie de sécurisation de l’infrastructure du site Internet lui-même.
LES DIFFÉRENTS CRITÈRES DU CYBERSCORE
Il est important de noter que les critères ne s’appuient pas uniquement sur les données personnelles, mais sont beaucoup plus larges.Néanmoins, pour le traitement de ce cyberscore, la décision qui déterminera les seuils auxquels les plateformes seront considérées dépend :

  • Des critères de l’audit ;
  • Les modalités de présentation ;
  • La durée de validité.

Les conséquences de la loi « cyberscore » sur les acteurs concernés

Cyberscore : qui sera concerné ?

Le nouveau logo ne concerne pas tous les sites, mais s’applique :

  • Aux grandes plateformes en ligne ;
  • Aux moteurs de recherche ;
  • Aux réseaux sociaux ;
  • Aux messageries instantanées ;
  • Aux services de visioconférence ;
  • Aux sites qui accueillent 5 millions de visiteurs uniques par mois au minimum.

Parmi les plateformes concernées : Google, Bing, Facebook, WhatsApp, Messenger, Skype, Zoom, Instagram, Zoom, Tik Tok, Twitch, Qwant et LinkedIn. Les services e-commerce tels que FNAC/Darty, eBay, Amazon, Vinted et Boulanger sont aussi concernés par la loi. C’est aussi le cas de certains médias en ligne : Le Parisien, Ouest France, Le Monde, BFM TV, Huffington Post, Le Figaro ou encore Libération.

La solution épargne d’une certaine manière les PME et les petits opérateurs de plateformes au début.

Les impacts de la réforme

La réforme sur la loi « cyberscore » peut avoir d’énormes conséquences pour les sociétés concernées.

Sur le plan financier
Le manquement aux dispositions de la loi expose les entreprises concernées à des sanctions. Il peut s’agir d’une amende qui peut atteindre jusqu’à 375 000 euros pour les personnes morales.
Au niveau de la RSE
Le cyberscore sera intégré dans les normes RSE. De ce fait, les entreprises doivent se concentrer plus sur la protection des données et le niveau de cybersécurité.
Sur le plan marketing 
Afficher un mauvais cyberscore impactera certainement de manière négative l’image d’une entreprise. Grâce à cette notation, il est possible de comparer les opérateurs en fonction de leur politique de cybersécurité. La protection des données sera très vite un puissant argument marketing.

Depuis quand la loi « cyberscore » est-elle en vigueur ?

La déposition du texte a été réalisée le 15 juillet 2020, pour une première lecture au Sénat. Ensuite, le projet de loi a été adopté le 24 février 2022 par le Sénat pour une seconde lecture avant son adoption par l’Assemblée nationale.C’était en mars 2022 que la loi sur le cyberscore ou la loi n° 2022-309 a été annoncée sur le journal officiel. Elle est désormais en vigueur depuis la fin de l’année 2023. Par ailleurs, la notation doit être affichée sur chaque plateforme concernée depuis le 1er octobre 2023.  

Cette loi « cyberscore » est un complément du RGPD ou Règlement général sur la Protection des Données, adopté en mai 2018.

Pour compléter la réglementation européenne, les institutions gouvernementales désirent inciter à la prise de conscience et offrir à tout le monde toutes les chances de pouvoir contrôler au mieux les données personnelles. La réforme va ainsi impliquer plusieurs facteurs au niveau des entreprises : marketing, juridique, informatique et conformité.

La cybersécurité ne se résume pas à des actes de malveillance. C’est beaucoup plus que les piratages de comptes bancaires ou de messageries, des vols de données, etc.

Les libertés de chacun, la pérennité des sociétés et la progression des services publics sont en jeu. La sécurité informatique assure la souveraineté nationale.

Bref, le cyberscore se révèle être un moyen qui permet d’avancer un pas de plus vers une société numérique de confiance.

À quoi le cyberscore ressemble-t-il ?

À l’image du Nutri-Score, le cyberscore permet aux internautes d’estimer, en un coup d’œil, la sécurité du site visité.Le cyberscore se fonde sur le même visuel coloré que son modèle :

  • Vert foncé pour un site ultra sécurisé ;
  • Jaune pour un site moyennement sécurisé ;
  • Rouge pour un site passoire.

Pour ce qui est du système de notation du Cyber-Score, c’est l’ANSSI qui sera chargée de la certification. Toutefois, l’État pourrait choisir une auto-évaluation par les sociétés concernées, avant un audit a posteriori. C’est d’ailleurs un système beaucoup plus facile à mettre en œuvre.

Cyber-score

Préparer votre cyberscore : comment faire ?

Pour rappel, la certification sera réalisée par des prestataires qualifiés par l’ANSSI pour garantir l’indépendance de la notation.

D’ailleurs, la direction générale de la concurrence, de la consommation et de la répression des fraudes DGCCRF et la CNIL ont déjà élaboré des discussions sur le développement du score.

Cependant, avant d’en savoir plus sur la mise en place de la notation, il est possible de se préparer à l’audit du cyberscore. Voici quelques conseils pour réussir cette étape :

  • Elaborer une démarche active de conformité en se basant sur le RGPD et la loi informatique ;
  • Considérer les récentes obligations surtout concernant les secteurs concernés par la directive NIS ;
  • Adopter les mesures organisationnelles et techniques essentielles pour améliorer la sécurité de vos applications : zero trust, audit des sous-traitants techniques, chiffrement, sauvegardes, gestion des droits des utilisateurs.

Vérifier la sécurité d’une plateforme en ligne même sans le fameux cyberscore

Il est toujours important de connaître le niveau de sécurité d’une plateforme que vous visitez. Naviguer sur des sites web sécurisés est essentiel pour protéger vos informations. Voici quelques méthodes faciles pour contrôler le niveau de sécurité d’une plateforme :

  • S’assurer de l’utilisation du protocole HTTPS : vous devez vérifier que l’URL affiche bien HTTPS. Il faut bien observer que le « S » ne manque pas ;
  • Utiliser les vérificateurs de sécurité comme Google Safe-Browsing, Norton SafeWeb, un site et add-on de navigateur qui estime entre autres la sécurité des sites web. Il y a aussi PhishTank qui est un site spécialisé en lutte contre le phishing. Pour ce faire, il suffit de copier et coller l’adresse URL dans ces outils ;
  • Se renseigner sur le service que vous désirez utiliser. Il ne doit pas faire partie de la liste des plateformes piratées ou qui ont fait l’objet de fuites d’informations, particulièrement après des vulnérabilités problématiques. La liste peut être consultée sur le site « Have I been pwned ». Parmi les plateformes les plus consultées, on retrouve entre autres, LinkedIn, Bitly, Facebook, Snaptchat ou encore Twitter et Canva.
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110

Depuis quand la loi cyberscore est-elle en vigueur ?

La déposition du texte a été réalisée le 15 juillet 2020, pour une première lecture au Sénat. Ensuite, le projet de loi a été adopté le 24 février 2022 par le Sénat pour une seconde lecture avant son adoption par l’Assemblée nationale. Elle est appliquée depuis fin 2023. C’était en mars 2022 que la loi sur le cyberscore ou la loi n° 2022-309 a été annoncée sur le journal officiel. Elle va entrer en vigueur à la fin de l’année 2023. Par ailleurs, la notation doit être affichée sur chaque plateforme concernée à partir du 1er octobre 2023.

À quoi le cyberscore ressemble-t-il ?

À l’image du Nutri-Score, le cyberscore permet aux internautes d’estimer, en un coup d’œil, la sécurité du site visité. Le cyberscore se fonde sur le même visuel coloré que son modèle :

  • Vert foncé pour un site ultra sécurisé ;
  • Jaune pour un site moyennement sécurisé ;
  • Rouge pour un site passoire.

Préparer votre cyberscore : comment faire ?

Pour rappel, la certification sera réalisée par des prestataires qualifiés par l’ANSSI pour garantir l’indépendance de la notation. D’ailleurs, la direction générale de la concurrence, de la consommation et de la répression des fraudes DGCCRF et la CNIL ont déjà élaboré des discussions sur le développement du score.