Les réseaux sociaux comme les autres grandes plateformes numériques devront se soumettre bientôt à l'équivalent du NutriScore pour évaluer leur niveau en matière de sécurité informatique. C'est le principe du CyberScore, en débat au Parlement.

Le NutriScore, le DigiScore et maintenant le CyberScore. La notation des produits et des services grâce à un code couleur a le vent en poupe et gagne désormais le monde de la sécurité informatique. Une proposition de loi doit être examinée à l’Assemblée nationale à partir du 26 novembre. Elle pourrait donner lieu à un barème semblable à ce que l’on voit désormais sur les produits alimentaires.

Le texte doit déboucher par la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public. Ce score permettrait ainsi d’un seul coup d’œil d’avoir une information simple et compréhensible de la sécurité de tel ou tel site ou service. Le texte a d’ores et déjà été adopté par le Sénat, lors d’un débat qui s’est achevé le 22 octobre 2020.

Si la proposition de loi ne mentionne pas explicitement le terme de CyberScore, l’élu qui en est à l’origine, le sénateur Laurent Lafon, membre de l’UDI, le qualifiait ainsi le jour de son examen dans la chambre haute du Parlement. Il justifiait alors sa démarche par le fait que « les Français ont besoin d’une information claire et lisible sur le niveau de protection de leurs données personnelles en ligne ».

Devant ses collègues, le parlementaire faisait observer que ce genre de régulation par la donnée, avec des notes, peut avoir beaucoup plus d’impact qu’une révision réglementaire, car ces scores peuvent influencer le comportement des particuliers et, par conséquent, leur choix dans l’achat de tel ou tel produit, l’utilisation de tel ou tel service. Dès lors, les entreprises sont poussées à s’adapter.

« Le NutriScore l’a montré : quand le pouvoir politique donne une information claire et lisible aux consommateurs, il peut initier des changements majeurs sans attendre un grand soir réglementaire », commentait Laurent Lafon. « Avec le CyberScore, nous allons pousser les opérateurs à changer leurs pratiques  », ajoutait-il, anticipant qu’une mauvaise note pourrait dissuader des internautes de s’inscrire.

Le milieu du cyber comporte déjà des certifications spécifiques, comme celle validant le bon hébergement de données de santé (HDS) ou répondant aux critères pour assurer une prestation de service informatique à distance, c’est-à-dire dans le cloud (SecNumCloud). Ce sont toutefois des certifications visant des segments très particuliers, qui ne couvrent pas nécessairement les plateformes fréquentées par le grand public.

Un CyberScore dont les critères restent à établir

En l’état, le texte de loi est très général et renvoie l’établissement d’un certain nombre de critères à des décrets et des arrêtés qu’il faudra prendre ultérieurement. C’est le cas par exemple de la portée du CyberScore : seules les plateformes « dont l’activité dépasse un ou plusieurs seuils », dont celui de l’affluence, devront s’y soumettre. Les grands réseaux sociaux comme Facebook ou Twitter devraient être concernés.

Plusieurs amendements ont été déposés par les députés pour compléter le texte. Il y a en particulier la question de la certification : qui s’en chargera ? Des parlementaires veulent éviter un scénario consistant à une auto-évaluation : ce travail d’audit devra être mené par des prestataires extérieurs, « qualifiés par l’Autorité nationale de la sécurité des systèmes d’information », qui fait autorité en France.

Google Cloud
Les grands prestataires de cloud qui s’adressent aux publics seront concernés par cette notation. // Source : Google Cloud

D’autres amendements proposent d’inclure aux critères la question de la localisation de l’hébergement, avec en filigrane des problématiques juridiques d’accès aux données qui sont stockées sur des serveurs pouvant se trouver, selon les cas de figure, hors de France ou d’Europe. La nationalité des plateformes pourrait aussi s’inviter au débat, compte tenu des effets de certaines législations étrangères.

Les paramètres du CyberScore restent donc à établir, tout comme la portée finale du dispositif (quels types de sites ou services concernés ?) et les critères d’éligibilité (à partir de combien de visiteurs, et sur quelle base ?). Les plateformes pourraient toutefois avoir un long délai d’adaptation, ne serait-ce que pour avoir le temps de mener les audits : les élus envisagent une entrée en vigueur de la loi le 1er octobre 2023.

Partager sur les réseaux sociaux

La suite en vidéo