Le « cyberscore » : quésaco ?
![Image Contenus intimes et IA : que faire face à la déferlante des [contenus abusifs ?]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-dark-content-web-885x690.jpg)
![Image L’IA en [cyber threat intelligence] : un apport contrasté](https://incyber.org//wp-content/uploads/2024/03/incyber-news-artifical-intelligence-cybersecurite-cybersecurity-885x690.jpg)
![Image [Vie privée et protection de l’enfance :] comment trouver le juste équilibre face aux contenus sexuels déviants ?](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-child-protection-2024-885x690.jpg)
![Image Une autorité gouvernementale américaine critique la [cybersécurité défaillante de Microsoft]](https://incyber.org//wp-content/uploads/import/post/2022/04/google-critique-la-microsoft-dependance-du-gouvernement-us-885x690.png)
Pensé comme un outil de renseignement sur les risques probables d’une activité en ligne, le cyberscore ne saurait être l’alpha et l’oméga de la prudence en ligne. Ce dernier, créé par la loi du 3 mars 2022, doit encore faire l’objet de certaines précisions.
Quel automobiliste accepterait d’emprunter un pont sans être certain que l’édifice soit aux normes de sécurité ? La loi du 3 mars 2022 « pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public » fonctionne de manière analogue.
Elle ajoute un nouvel article au Code de la consommation rendant obligatoire « un audit de cybersécurité » des « opérateurs de plate-forme en ligne » et des fournisseurs de « services de communication interpersonnelle ». Cet audit devra également porter sur la localisation et la sécurisation des données hébergées, « directement ou par l’intermédiaire d’un tiers ».
Sont concernés par cette loi les « fournisseurs de services de communication au public en ligne dont l’activité dépasse un ou plusieurs seuils définis par décret ». Cette expression désigne les moteurs de recherche, les réseaux sociaux, les messageries en ligne, les logiciels de visio-conférence et les services de stockage en ligne.
L’audit devrait être confié à des « prestataires qualifiés par l’Agence Nationale de Sécurité des Systèmes d’Information ». Il ne consistera pas en une certification (qui vérifie le respect d’un cahier de charges précis comme une norme) mais plutôt en un diagnostic sur la complétude et la qualité des mesures de cyber-protection. Il doit être présenté « de façon lisible, claire et compréhensible » et accompagné d’une présentation « au moyen d’un système d’information coloriel », le désormais célèbre « cyberscore », inspiré du nutriscore et du Diagnostic de Performance Energétique. La loi entrera en vigueur le 1er octobre 2023.
Une loi, des incertitudes
Cette loi a été pensée comme un outil d’information pour aider les consommateurs français à choisir les solutions numériques les plus sûres. Le cyberscore doit prévenir les fuites de données personnelles, par exemple comme celles survenues sur le logiciel Zoom, dont le nombre de téléchargements avait crû de 252% lors des premières mesures de confinement. Des informations supplémentaires sur ce nouvel outil doivent néanmoins être fournis pour en apprécier les effets bénéfiques.
Quels seront les critères pour établir ces diagnostics ? Les parlementaires à l’origine de la loi ont reconnu que les menaces sur les données personnelles sont aussi bien techniques que juridiques. Le cyberscore renseignera les internautes français autant sur la fiabilité technique d’une solution en ligne que sur le pays dans lequel leurs données personnelles sont stockées ou hébergées pour traitement. Le texte de loi précise que ces critères seront définis par un arrêté ministériel à une date n’ayant pas encore été annoncée.
Qui réalisera ces audits ? La formule « prestataires d’audit qualifiés par l’Agence nationale de la sécurité des systèmes d’information » du texte de loi renvoie au travail de qualification des produits et des organisations déjà mené par l’Agence sans désigner pour l’instant de titulaire déjà reconnu. Les prestataires recommandés pas les autorités françaises sont regroupés en plusieurs familles, parmi lesquelles celle des spécialistes de l’audit : ce sont les Prestataires d’Audit de Sûreté des Systèmes d’Information (PASSI). L’établissement du cyberscore sera-t-il confié aux titulaires de la qualification PASSI ? L’ANSSI va-t-elle désigner une nouvelle famille, avec un référentiel d’exigences ad hoc ? Ces prestataires seront-ils désignés lors d’un autre processus que la qualification ?
La localisation, un enjeu stratégique
L’audit de cybersécurité devra aussi porter sur la localisation des données stockées par ces plateformes lors de leur visite par des internautes français. La localisation des données permet de rendre le web moins opaque en indiquant les États qui les hébergent ainsi que la législation dont elles font l’objet. Si celles-ci sont stockées dans un État membre de l’UE, elles sont protégées par le RGPD.
Dans le cas contraire, les arbitrages de la Commission européenne renseignent sur l’adéquation entre la législation du pays où elles sont conservées et les exigences en matière de sauvegarde de la vie privée des règlements de l’Union européenne. Le niveau de protection juridique de l’État concerné peut être jugé équivalent à celui des membres de l’UE. C’est notamment le cas du Japon, de l’Argentine, du Royaume-Uni et de la Nouvelle-Zélande. La liste complète des pays jugés sûrs est établie par la CNIL.
Si les autorités sont trop intrusives, le risque juridique sur la confidentialité des données diminuera le cyberscore des solutions qui y ont implanté leurs serveurs. C’est notamment le cas de la Chine, du Brésil ou de l’Inde. La seule solution contre cette pénalité est la tenue de négociations pour définir les conditions juridiques de transferts de données. Les États-Unis sont parvenus à un accord avec l’UE le 25 mars 2022 pour être dans cette situation. C’est une diplomatie de la donnée que le cyberscore met en évidence. Les pays qui ne sont pas conformes avec la règlementation européenne risquent de voir leurs plateformes nationales pénalisées dans l’accès au marché européen.
En outre, la loi à l’origine du cyberscore est concomitante de la définition d’une politique européenne de cybersécurité. La date d’application de la loi française, le 1er octobre 2023, est très proche de celle du règlement européen « Cybersecurity Act » qui est le 31 décembre 2023. En plus d’uniformiser les schémas de certification de tous les États membres, l’article 51 de ce règlement prévoit la protection des données tout au long de leur utilisation (recueil, traitement, stockage). La France serait pionnière dans la définition d’un espace numérique en ligne accessible à tous, étant le plus sûre possible et dont le modèle pourrait être réappliqué dans le reste de l’Union européenne.
Cet enjeu juridique confère enfin un avantage aux logiciels européens fonctionnant avec la technologie Cloud. La surveillance par des autorités judiciaires porte aussi bien sur les données stockées dans les serveurs d’un prestataire que celles hébergées momentanément pour le temps d’une opération sur un logiciel disponible grâce au Cloud et disposant de ses propres serveurs. Les cyberscores des solutions d’origine européenne seront alors supérieurs à ceux des États « non-adéquats ».
Des effets économiques pour les entreprises françaises
Le cyberscore favorisera aussi la prise en considération par les éditeurs de logiciel de la cyber-protection lors de la phase de conception. Le code informatique d’un site, d’une application ou d’un service en ligne peut présenter des failles favorisant l’accès à son contenu privé. Faute de temps et d’effectifs, les développeurs de solutions ne parviennent pas toujours à les identifier et les fournisseurs de services commercialisent alors des produits dont la fiabilité n’est pas optimale. Ces failles peuvent même faire l’objet d’un commerce clandestin via le deep-web et font peser un risque important d’espionnage et/ou de piratage aux utilisateurs de ces solutions, parmi lesquels de nombreuses entreprises françaises.
Plusieurs acteurs, comme le CIGREF, ont souhaité mettre les fournisseurs en face de leurs responsabilités. L’identification des failles informatiques sera un critère pris en compte dans le diagnostic synthétisé par le cyberscore et son affichage permettra (c’est du moins le souhait des parlementaires à l’origine du projet de loi) alors d’accélérer l’identification et la résorption de ces failles. Toute non-conformité d’un service en ligne entraînera une amende pouvant atteindre 75 000 euros (pour une personne physique) et 375 000 euros (pour une personne morale). La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) sanctionnera les contrevenants.
Une note élevée ne signifie donc nullement une absence totale de risque de fuites. Des députés ont par ailleurs souhaité que la présentation du cyberscore soit accompagnée d’une campagne de sensibilisation du grand public sur les cyber-risques et la sauvegarde de la souveraineté numérique. Le cyberscore, au contraire, a pour ambition de doter les internautes français (et européens) d’une influence pour en faire des acteurs d’un Internet plus transparent et démocratique.