Cyberscore : comment le « Nutri-Score de la cyber » prend forme

Clément Bohic,
cyberscore 2021

Forme, portée, mise en œuvre… Plus d’un an après le dépôt de la proposition de loi censée l’instaurer, le « cyberscore » continue d’évoluer au gré de la navette parlementaire.

À quand le « cyberscore » ? Aux dernières nouvelles, le 1er octobre 2023. C’est en tout cas la date actuellement envisagée pour l’entrée en vigueur de la loi censée instaurer cet indicateur, ainsi surnommé en référence au Nutri-Score.

Le texte vient de franchir le cap de l’Assemblée nationale, en première lecture. Il en ressort bien différent de la version initiale, déposée au Sénat en juillet 2020 sous l’impulsion de Laurent Lafon (Union centriste, Val-de-Marne).

Cette version d’origine comportait deux articles. Le premier visait à ajouter un alinéa au Code de la consommation. Objectif : obliger les opérateurs de plates-formes en ligne (définis au L. 111-7 de ce même Code) à fournir un « diagnostic de cybersécurité ». Les indicateurs seraient fixés par décret. Tout comme la durée de validité dudit diagnostic et la liste des organismes habilités à l’effectuer.

Le deuxième article insérait, dans le Code de la commande publique, les « impératifs de cybersécurité ».

À ce stade, un certain nombre d’objectifs non inscrits dans la proposition de loi étaient fixés. Entre autres, la portée du diagnostic : les données qu’hébergent les opérateurs de plates-formes, directement ou par l’intermédiaire de prestataires.
Les dépositaires évoquaient par ailleurs l’idée d’une présentation sur le modèle du diagnostic de performance énergétique, destiné à décrire l’impact environnemental des logements. Ils suggéraient de prendre pour base les CSPN (certifications de sécurité de premier niveau) que délivre l’ANSSI.

Aussi pour les acheteurs publics ?

La commission des affaires économiques du Sénat avait intégré la portée du diagnostic dans le texte. Elle avait surtout adopté un amendement de réécriture : on n’allait plus simplement insérer un alinéa dans le Code de la consommation, mais un article. Destiné notamment à :

– Étendre le dispositif à tous les fournisseurs de services de communication au public dont l’activité en France dépasserait un ou plusieurs seuils définis par décret. Autrement dit, aller au-delà de la seule notion de « plates-formes en ligne ». Et inclure, entre autres, les logiciels de visioconférence.

– Fixer les indicateurs et la durée de validité des diagnostics par arrêté, afin que celui-ci puisse être modifié facilement

– Confier à « l’autorité administrative compétente » (comprendre l’ANSSI) la désignation des organismes habilités

– Accompagner éventuellement les diagnostics « d’une présentation ou d’une expression […] au moyen de graphiques ou de symboles » (en ligne de mire, le Nutri-Score)

À l’issue du vote en séance (octobre 2020), on avait perdu la notion d’activité « en France », au profit d’un périmètre géographique global. À l’inverse, les députés avaient fourni un seuil : celui du nombre de connexions. Tout en précisant que l’arrêté relatif aux indicateurs définirait aussi les modalités de présentation du diagnostic (solution préconisée : un « système d’information coloriel »). Ils avaient aussi imposé une condition pour les services nécessitant une authentification : intégrer le « cyberscore » sur la page destinée à réaliser cette démarche.

Les députés avaient en outre supprimé l’article 2, qui aurait ouvert la voie à un cyberscore pour les acheteurs publics. Motif : en portant sur l’ensemble des marchés quel que soit leur objet, ledit article contrevient au principe fondamental d’égalité devant la commande publique. Ce qui pourrait se concevoir pour le critère du développement durable ne peut s’appliquer pour la cybersécurité, qui ne peut porter que sur les achats de prestations informatiques.

Cyberscore : quels exempts ?

Le 18 novembre 2021, la commission des affaires économiques de l’Assemblée nationale rendait sa version du texte. Au menu, le retour aux opérateurs de plates-formes tels que définis dans le Code de la consommation… Mais l’extension du dispositif aux personnes qui fournissent des « services de communication interpersonnelles non fondés sur la numérotation ». Avec, pour la définition, un renvoi au 6° quater du L. 32 du Code des postes et des communications électroniques.

6 quater cyberscore
Les services de visio qui disposent d’un système de téléphonie seront-ils exemptés (cliquer pour agrandir) ?

Autre évolution du texte à la commission : le diagnostic (ou plutôt désormais la « certification présentant le diagnostic » couvrira aussi la sécurisation même des opérateurs et des fournisseurs concernés.

De la séance publique du 26 novembre sont ressortis, outre l’échéance de 2023, les changements suivants :

– On ne parle plus de « certification », mais d’« audit » de cybersécurité

– Mention explicite de l’ANSSI pour qualifier les prestataires d’audit

– Disparition de la condition relative aux services avec authentification

Le « cyberscore » est maintenant aux mains du Sénat, pour la deuxième lecture.

Illustration principale © hywards – Adobe Stock