Cyberscore : tout ce qu’il faut savoir - Guardia Cybersecurity School

Q: Préparer votre cyberscore : comment faire ?

Pour rappel, la certification sera réalisée par des prestataires qualifiés par l’ANSSI pour garantir l’indépendance de la notation. D’ailleurs, la direction générale de la concurrence, de la consommation et de la répression des fraudes DGCCRF et la CNIL ont déjà élaboré des discussions sur le développement du score.

Le cyberscore est un barème identique au Nutriscore. Il a été mis en place après la loi du 3 mars 2022. Cette certification de Cybersécurité est entrée en vigueur le 1er octobre 2023.

Contenu mis à jour le 2 Avril 2024

Le cyberscore arrivera cette année pour évaluer le niveau de sécurité des plateformes en ligne. La plupart des grandes plateformes seront évaluées et sont dans l’obligation d’afficher leur score. L’objectif est de renseigner les internautes du niveau de cybersécurité des plateformes qu’ils visitent, que ce soit des réseaux sociaux, des services de visio, des moteurs de recherche ou encore des sites e-commerce.

Qu’est-ce que le cyberscore ?

D’où vient l’idée du cyberscore ?

L’idée de développer un cyberscore est née durant le confinement. À cette époque, les gens ne pouvaient pas se déplacer et se rencontrer, ce qui a augmenté l’utilisation des plateformes telle que Zoom pour communiquer.

Toutefois, personne ne connaissait le niveau de sécurité des plateformes ni de ce que sont devenues les données personnelles. Le but du cyberscore est d’aider un non-expert à avoir facilement une idée sur la question de la sécurité de la plateforme qu’il utilise grâce à un visuel clair et précis.

À quoi ça sert ?

L’objectif de la mise en place d’une certification de cybersécurité est de donner aux utilisateurs un meilleur niveau de transparence concernant la sécurité de leurs données.

Il s’agit aussi d’une solution qui permet de clarifier tout ce qui est localisation des données et d’améliorer la souveraineté numérique en France et en Europe.

D’ailleurs, les éditeurs des services numériques sont soumis au RGPD depuis 2018. C’est la règle qui régit la protection des données personnelles. Le cyberscore est comme une sorte de couche supplémentaire permettant d’avoir une information synthétique sur certains critères de privacy.

Il aidera ainsi les internautes à adopter les acteurs qui proposent le meilleur niveau de sécurité et de protection contre les risques de violation des données personnelles.

Que risquent les plateformes qui ne respectent pas le cyberscore ?

Les services en ligne, les sites Internet ou encore les plateformes qui resteront longtemps dans le rouge sont exposés à une amende. Pour une personne physique, le montant est de 75 000 euros et de 375 000 euros pour une personne morale.

Gratuit

Téléchargez Le Grand Livre de la cybersécurité

Plus de 180 pages d’articles indispensables rédigés par des experts pour vous aider à mieux comprendre le secteur de la cybersécurité.

Téléchargez gratuitement le Grand Livre DE LA CYBERSÉCURITÉ

Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49

Le fonctionnement du cyberscore

Cyberscore : une certification de cybersécurité à l’image d’une notation

La plupart des plateformes en ligne proposent des conditions générales d’utilisations. Toutefois, très peu d’internautes les lisent réellement.

Internet est prisé pour son interactivité et son accessibilité. Les requêtes d’informations s’effectuent en un rien de temps. Les distractions et les réseaux sociaux procurent une expérience utilisateur hors pair. La lecture de ces longs textes, souvent rédigés en minuscules et au vocabulaire compliqué, est inconcevable.

Les termes techniques n’aident pas réellement les internautes à mesurer le niveau de sécurisation. Ces documents ne sont pas assez clairs et manquent de transparence même après les obligations du RGPD. Cependant, la protection des données privées reste une inquiétude, et davantage les Français en sont conscients, surtout face à l’augmentation des attaques.

Grâce au cyberscore les internautes auront une information claire, intelligible de tous et compréhensible en matière de protection de leurs informations dans le cadre de l’usage de quelques plateformes numériques.

Comment devrait fonctionner le cyberscore ? Il devra prendre la forme d’un étiquetage, un peu similaire au Nutri-Score pour les produits alimentaires. Il affichera une notation de A à E, couronnée par un référentiel de couleurs. Ces notations seront affichées sur la plateforme web ou sur le site.

Les utilisateurs pourront alors évaluer aisément l’engagement d’un site pour la protection de leurs données personnelles même s’ils ne sont pas des spécialistes de la sécurité d’information. Le niveau de sécurisation des données de leurs plateformes préférées n’aura plus de secret pour eux.

Le système doit être à la fois intuitif et pratique.

Cyberscore : une évaluation en toute liberté

Ce projet est basé sur la confiance. Une estimation en interne enlèverait toute apparence au cyberscore.

La notation sera ainsi octroyée après un audit externe pour plus de transparence. Ce dernier sera effectué par des experts labellisés par l’ANSSI (Agence nationale de la sécurité des systèmes d’information).

Durant l’audit, ils évalueront entre autres :

la sécurité des données sur la plateforme ;
le positionnement et la défense des serveurs d’hébergement.

La présentation, les critères d’évaluation et les conditions de validité sont encore à déterminer par les décrets d’application.

Vous souhaitez travailler dans la cybersécurité ?

2 FORMATIONS DE POST BAC À BAC+5 100% dédiées à la cybersécurité

Nos programmes de formation sont pensés avec les entreprises du secteur de la cybersécurité et du digital pour maximiser l’employabilité de nos étudiants. Le Bachelor a été construit pour transmettre de solides bases de développement informatique tout en parcourant progressivement les notions clés de la cybersécurité. Le MSc est à 100% dédié à la cyber et spécialise dans un métier de la cybersécurité. Nos diplômes sont reconnus par les entreprises et par l’Etat, ils délivrent en fin de cursus un titre RNCP de niveau 6 (Bac+3) ou 7 (Bac+5).

BACHELOR (BAC+3)

DÉVELOPPEUR INFORMATIQUE OPTION CYBERSÉCURITÉ

En savoir +

MASTER OF SCIENCE (BAC+5)

EXPERT
CYBERSÉCURITÉ

En savoir +

Les différents critères du cyberscore

L’ANSSI est encore sur le point de définir les critères qui permettent de calculer le cyberscore. Voici quelques idées :

les mesures de sécurité établies pour sécuriser les données (audit de sécurité) ;
le positionnement des données hébergées ;
la conséquence des lois étrangères en matière de protection des données, surtout les technologies qui proviennent de la Chine et des États-Unis ;
la statistique des condamnations CNIL ;
la quantité de failles de sécurité recensées ;
différents critères liés au RGPD ou de la directive NIS comme le privacy by default ;
nombre de sanctions pour infraction des réglementations en matière de protection des informations personnelles reçues ;
la stratégie de sécurisation de l’infrastructure du site Internet lui-même ;
etc.

Il est important de noter que les critères ne s’appuient pas uniquement sur les données personnelles, mais sont beaucoup plus larges.Néanmoins, pour le traitement de ce cyberscore, la décision qui déterminera les seuils auxquels les plateformes seront considérées dépend :

des critères de l’audit ;
les modalités de présentation ;
la durée de validité.

Les conséquences de la loi « cyberscore » sur les acteurs concernés

Cyberscore : qui sera concerné ?

Le nouveau logo ne concerne pas tous les sites. Certes, les contours de ce dispositif légal ne sont pas encore très bien définis, mais la loi qui sera appliquée dès le mois d’octobre devrait s’appliquer :

aux grandes plateformes en ligne ;
aux moteurs de recherche ;
aux réseaux sociaux ;
aux messageries instantanées ;
aux services de visioconférence ;
des sites qui accueillent 5 millions de visiteurs uniques par mois au minimum.

Parmi les plateformes concernées, il y aura entre autres, Google, Bing, Facebook, WhatsApp, Messenger, Skype, Zoom, Instagram, Zoom, Tik Tok, Twitch, Qwant et LinkedIn. Les services e-commerce tels que FNAC/Darty, eBay, Amazon, Vinted et Boulanger sont aussi concernés par la loi. C’est aussi le cas de certains médias en ligne : Le Parisien, Ouest France, Le Monde, BFM TV, Huffington Post, Le Figaro ou encore Libération.

La solution épargne d’une certaine manière les PME et les petits opérateurs de plateformes au début.

Les impacts de la réforme

La réforme sur la loi « cyberscore » pourrait avoir d’énormes conséquences pour les sociétés concernées sur différents plans.
Sur le plan financier
Le manquement aux dispositions de la loi expose les entreprises concernées à des sanctions. Il peut s’agir d’une amende qui peut atteindre jusqu’à 375 000 € pour les personnes morales.
Au niveau de la RSE
Le cyberscore sera intégré dans les normes RSE. De ce fait, les entreprises doivent se concentrer plus sur la protection des données et le niveau de cybersécurité.
Sur le plan marketing
Afficher un mauvais cyberscore impactera certainement de manière négative l’image d’une entreprise. Grâce à cette notation, il est possible de comparer les opérateurs en fonction de leur politique de cybersécurité. La protection des données sera très vite un puissant argument marketing.

Quand la loi « cyberscore » entrera-t-elle en vigueur ?

La déposition du texte a été réalisée le 15 juillet 2020, pour une première lecture au Sénat. Ensuite, le projet de loi a été adopté le 24 février 2022 par le Sénat pour une seconde lecture avant son adoption par l’Assemblée nationale.C’était en mars 2022 que la loi sur le cyberscore ou la loi n° 2022-309 a été annoncée sur le journal officiel. Elle va entrer en vigueur à la fin de l’année 2023. Par ailleurs, la notation doit être affichée sur chaque plateforme concernée à partir du 1er octobre 2023.

Cette loi « cyberscore » est un complément du RGPD ou Règlement général sur la Protection des Données, adopté en mai 2018.

Pour compléter la réglementation européenne, les institutions gouvernementales désirent inciter à la prise de conscience et offrir à tout le monde toutes les chances de pouvoir contrôler au mieux les données personnelles. La réforme va ainsi impliquer plusieurs facteurs au niveau des entreprises : marketing, juridique, informatique et conformité.

La cybersécurité ne se résume pas à des actes de malveillance. C’est beaucoup plus que les piratages de comptes bancaires ou de messageries, des vols de données, etc.

Les libertés de chacun, la pérennité des sociétés et la progression des services publics sont en jeu. La sécurité informatique assure la souveraineté nationale.

Bref, le cyberscore se révèle être un moyen qui permet d’avancer un pas de plus vers une société numérique de confiance.

À quoi le cyberscore va-t-il ressembler ?

À l’image du Nutri-Score, le cyberscore permet aux internautes d’estimer, en un coup d’œil, la sécurité du site visité.Le cyberscore devrait ainsi se fonder sur le même visuel coloré que son modèle :

Vert foncé pour un site ultra sécurisé ;
Jaune pour un site moyennement sécurisé ;
Rouge pour un site passoire.

Pour ce qui est du système de notation du Cyber-Score, c’est l’ANSSI qui sera chargée de la certification. Toutefois, l’État pourrait choisir une auto-évaluation par les sociétés concernées, avant un audit a posteriori. C’est d’ailleurs un système beaucoup plus facile à mettre en œuvre.

Préparer votre cyberscore : comment faire ?

Pour rappel, la certification sera réalisée par des prestataires qualifiés par l’ANSSI pour garantir l’indépendance de la notation.

D’ailleurs, la direction générale de la concurrence, de la consommation et de la répression des fraudes DGCCRF et la CNIL ont déjà élaboré des discussions sur le développement du score.

Cependant, avant d’en savoir plus sur la mise en place de la notation, il est possible de se préparer à l’audit du cyberscore. Voici quelques conseils pour réussir cette étape :
élaborer une démarche active de conformité en se basant sur le RGPD et la loi informatique ;
considérer les récentes obligations surtout concernant les secteurs concernés par la directive NIS ;
adopter les mesures organisationnelles et techniques essentielles pour améliorer la sécurité de vos applications : zero trust, audit des sous-traitants techniques, chiffrement, sauvegardes, gestion des droits des utilisateurs.

Vérifier la sécurité d’une plateforme en ligne même sans le fameux cyberscore

En attendant la mise en application de la loi en octobre 2023, il est toujours important de savoir que le niveau de sécurité d’une plateforme que vous visitez. Naviguer sur des sites web sécurisés est essentiel pour protéger vos informations. Voici quelques méthodes faciles pour contrôler le niveau de sécurité d’une plateforme :

s’assurer de l’utilisation du protocole HTTPS : vous devez vérifier que l’URL affiche bien HTTPS. Il faut bien observer que le « S » ne manque pas ;
utiliser les vérificateurs de sécurité comme Google Safe-Browsing, Norton SafeWeb, un site et add-on de navigateur qui estime entre autres la sécurité des sites web. Il y a aussi PhishTank qui est un site spécialisé en lutte contre le phishing. Pour ce faire, il suffit de copier et coller l’adresse URL dans ces outils ;
se renseigner sur le service que vous désirez utiliser. Il ne doit pas faire partie de la liste des plateformes piratées ou qui ont fait l’objet de fuites d’informations, particulièrement après des vulnérabilités problématiques. La liste peut être consultée sur le site « Have I been pwned ». Parmi les plateformes les plus consultées, on retrouve entre autres, LinkedIn, Bitly, Facebook, Snaptchat ou encore Twitter et Canva.

Contenus récents

23/04/2024 Qu’est-ce qu’un backdoor ou porte dérobée en informatique ?

23/04/2024 Deepfake : une technologie basée sur l’IA aux dérives inquiétantes

Voir tous les articles