Pour gérer vos consentements :
Categories: Sécurité

Cyberscore : comment le « Nutri-Score de la cyber » prend forme

À quand le « cyberscore » ? Aux dernières nouvelles, le 1er octobre 2023. C’est en tout cas la date actuellement envisagée pour l’entrée en vigueur de la loi censée instaurer cet indicateur, ainsi surnommé en référence au Nutri-Score.

Le texte vient de franchir le cap de l’Assemblée nationale, en première lecture. Il en ressort bien différent de la version initiale, déposée au Sénat en juillet 2020 sous l’impulsion de Laurent Lafon (Union centriste, Val-de-Marne).

Cette version d’origine comportait deux articles. Le premier visait à ajouter un alinéa au Code de la consommation. Objectif : obliger les opérateurs de plates-formes en ligne (définis au L. 111-7 de ce même Code) à fournir un « diagnostic de cybersécurité ». Les indicateurs seraient fixés par décret. Tout comme la durée de validité dudit diagnostic et la liste des organismes habilités à l’effectuer.

Le deuxième article insérait, dans le Code de la commande publique, les « impératifs de cybersécurité ».

À ce stade, un certain nombre d’objectifs non inscrits dans la proposition de loi étaient fixés. Entre autres, la portée du diagnostic : les données qu’hébergent les opérateurs de plates-formes, directement ou par l’intermédiaire de prestataires.
Les dépositaires évoquaient par ailleurs l’idée d’une présentation sur le modèle du diagnostic de performance énergétique, destiné à décrire l’impact environnemental des logements. Ils suggéraient de prendre pour base les CSPN (certifications de sécurité de premier niveau) que délivre l’ANSSI.

Aussi pour les acheteurs publics ?

La commission des affaires économiques du Sénat avait intégré la portée du diagnostic dans le texte. Elle avait surtout adopté un amendement de réécriture : on n’allait plus simplement insérer un alinéa dans le Code de la consommation, mais un article. Destiné notamment à :

– Étendre le dispositif à tous les fournisseurs de services de communication au public dont l’activité en France dépasserait un ou plusieurs seuils définis par décret. Autrement dit, aller au-delà de la seule notion de « plates-formes en ligne ». Et inclure, entre autres, les logiciels de visioconférence.

– Fixer les indicateurs et la durée de validité des diagnostics par arrêté, afin que celui-ci puisse être modifié facilement

– Confier à « l’autorité administrative compétente » (comprendre l’ANSSI) la désignation des organismes habilités

– Accompagner éventuellement les diagnostics « d’une présentation ou d’une expression […] au moyen de graphiques ou de symboles » (en ligne de mire, le Nutri-Score)

À l’issue du vote en séance (octobre 2020), on avait perdu la notion d’activité « en France », au profit d’un périmètre géographique global. À l’inverse, les députés avaient fourni un seuil : celui du nombre de connexions. Tout en précisant que l’arrêté relatif aux indicateurs définirait aussi les modalités de présentation du diagnostic (solution préconisée : un « système d’information coloriel »). Ils avaient aussi imposé une condition pour les services nécessitant une authentification : intégrer le « cyberscore » sur la page destinée à réaliser cette démarche.

Les députés avaient en outre supprimé l’article 2, qui aurait ouvert la voie à un cyberscore pour les acheteurs publics. Motif : en portant sur l’ensemble des marchés quel que soit leur objet, ledit article contrevient au principe fondamental d’égalité devant la commande publique. Ce qui pourrait se concevoir pour le critère du développement durable ne peut s’appliquer pour la cybersécurité, qui ne peut porter que sur les achats de prestations informatiques.

Cyberscore : quels exempts ?

Le 18 novembre 2021, la commission des affaires économiques de l’Assemblée nationale rendait sa version du texte. Au menu, le retour aux opérateurs de plates-formes tels que définis dans le Code de la consommation… Mais l’extension du dispositif aux personnes qui fournissent des « services de communication interpersonnelles non fondés sur la numérotation ». Avec, pour la définition, un renvoi au 6° quater du L. 32 du Code des postes et des communications électroniques.

Les services de visio qui disposent d’un système de téléphonie seront-ils exemptés (cliquer pour agrandir) ?

Autre évolution du texte à la commission : le diagnostic (ou plutôt désormais la « certification présentant le diagnostic » couvrira aussi la sécurisation même des opérateurs et des fournisseurs concernés.

De la séance publique du 26 novembre sont ressortis, outre l’échéance de 2023, les changements suivants :

– On ne parle plus de « certification », mais d’« audit » de cybersécurité

– Mention explicite de l’ANSSI pour qualifier les prestataires d’audit

– Disparition de la condition relative aux services avec authentification

Le « cyberscore » est maintenant aux mains du Sénat, pour la deuxième lecture.

Illustration principale © hywards – Adobe Stock

Recent Posts

Cloud : 4 points à retenir du rapport Aryaka

Adoption cloud, espace de travail hybride, convergence réseau et cybersécurité… La migration monte en puissance.

2 heures ago

Automatisation et emploi : pourquoi l’Europe peut mieux faire

Impactés par l'automatisation, 12 millions d'emplois seraient détruits dans 5 pays d'Europe, d'ici 2040. La…

8 heures ago

Green IT : 10 chiffres sur l’empreinte écologique

L'ADEME et l'Arcep ont remis au Gouvernement leur rapport sur l'empreinte environnementale du numérique en…

8 heures ago

Cisco : 4 certifications qui rapportent

Dans les technologies et les réseaux, une expertise certifiée peut faire la différence. Les certifications…

1 jour ago

WeTransfer vers une valorisation de 716 millions €

Le service de transfert et de stockage de fichiers WeTransfer sera évalué entre 629 et…

1 jour ago

Threat intelligence : VirusTotal tente de valoriser les IoC

VirusTotal (plate-forme de renseignement sur les menaces) a récemment introduit le principe des « collections…

1 jour ago