Cyberscore : des questions et des enjeux en suspens

La Loi du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques, destinée au grand public, a le projet de créer un « Cyberscore » à partir du 1er octobre 2023. Ce dernier doit permettre aux internautes de connaître le niveau de sécurisation de leurs données sur les sites et réseaux sociaux qu’ils fréquentent, à l’image du Nutriscore pour les produits alimentaires.

Les opérateurs concernés devront informer les internautes, par un visuel « Cyberscore », de la sécurité de leur site ou service, de la sécurisation ainsi que de la localisation des données qu’ils hébergent par eux-mêmes ou leurs prestataires (cloud notamment). Les informations du Cyberscore seront tirées d’un audit de sécurité qu’ils devront réaliser. Les parlementaires ont prévu que cet audit soit effectué par des prestataires qualifiés par l’Anssi.

Ce texte, très général, prévoit qu’un décret listera les plateformes, réseaux sociaux et sites de visioconférence concernés (en fonction de l’importance de leur activité) et qu’un arrêté précisera les critères pris en compte par l’audit de sécurité.

Un juste équilibre à trouver pour la Fevad

« Nous soutenons le principe de plus de transparence vis-à-vis des consommateurs et de davantage de protection de leurs données. Cela étant, nous soutenons lors de nos échanges avec l’administration en charge de ce projet la mise en place de dispositifs équilibrés, qui restent atteignables pour les plateformes concernées, tout en s’assurant que les critères garantissent la sécurité des données et la crédibilité du Cyberscore. Il ne faudrait pas que ce dernier constitue un investissement disproportionné qui s’ajoute à d’autres réglementations et certifications déjà existantes », déclare Marie Audren, responsable des affaires publiques de la Fevad, la Fédération du e-commerce et de la vente à distance.

La Fevad et ses membres se posent également la question de savoir dans quelle mesure ce dispositif purement franco-français est susceptible de desservir les sites opérant dans l’Hexagone. « Le e-commerce s’exerce dans un contexte ouvert, sans frontière. Les sites exercent le plus souvent leur activité dans un environnement européen, international. Une telle disposition pourrait constituer un coût supplémentaire par rapport aux concurrents qui n’ont pas ces contraintes. Il est donc nécessaire de s’aligner sur des dispositifs européens, afin que ce soit le plus harmonieux possible », note Marie Audren.

Dernière source de préoccupation de la Fevad : que les notes du Cyberscore n’induisent en erreur les consommateurs. « Une très bonne note, comme un ‘A’ par exemple, ne doit pas inciter les internautes à relâcher leur vigilance, car c’est là que les failles peuvent être exploitées. Il importe également d’être prudent dans le niveau d’information communiqué, afin d’éviter que les cybercriminels n’exploitent ces informations à des fins malveillantes », complète Marie Audren.

Une homogénéisation des pratiques en ligne de mire

Pour Sébastien Dupont, directeur de Cyber4U et RSSI à temps partagé, l’intérêt du Cyberscore est, dans l’état actuel de ce que nous en savons, relativement limité, même si une certaine homogénéisation des pratiques pourrait apparaître comme un des bénéfices de cette mesure. « Pour les dix plus gros sites français, le Cyberscore ne présente qu’un faible intérêt. Ces sites disposent en effet déjà de dispositifs de scoring et de très nombreux mécanismes ‘sains’ qui poussent vers un niveau de maturité en matière de cybersécurité. Ce n’est en revanche pas le cas pour de nombreux sites hors de nos frontières et pour les secteurs de l’hôtellerie, du voyage et de l’événementiel ».

Pour étayer son propos, Sébastien Dupont rappelle que, sur un site marchand, par exemple, une des briques centrales de sécurité est le module de paiement. « À l’étranger, les sites marchands ont connaissance la plupart du temps de vos coordonnées bancaires et ils les stockent, alors que les sites français ne font généralement qu’assurer le relais avec le site de leur banque qui est, la plupart du temps, à la norme DSP2 avec authentification forte. Cette différence technologique et réglementaire peut créer des distorsions entre sites français et étrangers ».

De même pour les sessions utilisateurs. « En France, si vous revenez six mois plus tard sur un site, ce dernier ne vous reconnaît pas, vous devez vous reconnecter. À l’étranger, vous êtes reconnu par le site parfois sans aucun besoin de vous authentifier, même deux ans après votre dernière visite. Cette différence en termes d’ergonomie est perçue par les équipes des directions e-commerce, comme une atteinte à la concurrence, car plus de sécurité pour le site équivaut à plus de contraintes pour le consommateur », analyse Sébastien Dupont. Le Cyberscore entraînera donc une homogénéisation salutaire des exigences de sécurité.

Vers la création d’un observatoire des incidents ?

Enfin, Sébastien Dupont appelle de ses vœux la création d’un observatoire des incidents. « Il faudrait que les critères de cybersécurité pour le Cyberscore soient définis en fonction des incidents, violations et fraudes déjà constatés. Un observatoire des incidents fondé sur une déclaration obligatoire permettrait de mettre en place des mesures qui réduisent les incidents les plus impactants. Le modèle du Cyberscore doit être construit et maintenu dans le temps. Il faudra être vigilant à rester compréhensible, un minimum transparent et pédagogique. Si vous allez trop loin dans la démarche, vous avez envie de n’accepter aucun risque, et vous créez une usine à gaz », conclut-il.

Les décrets d’application sont attendus avec beaucoup d’impatience par l’ensemble des acteurs concernés. Pour la plupart d’entre eux, une arrivée trop tardive de ces décrets (ils étaient initialement attendus en février 2023) aura très certainement pour conséquence de décaler la mise en œuvre du Cyberscore de quelques mois. La date du 1^er octobre 2023 ne sera pas donc peut-être pas la date définitive de mise en application de cette mesure. Une hypothèse qu’il faudra confirmer très rapidement.