La loi relative au « cyber-score » [1] a été adoptée dans un contexte qui vient confirmer la volonté du législateur de protéger les Français contre les risques d’attaques malveillantes et de piratages de grande ampleur.
Le cyber-score fait référence au désormais très célèbre nutri-score. Le principe est le même : les sites internet se verront attribuer une note qui indiquera le niveau de fiabilité de protection des données afin de permettre l’information de l’utilisateur au cours de sa navigation.
Pas moins de 43% des entreprises françaises auraient connu des difficultés de cyber-sécurité en 2020 [2] et 30% des collectivités territoriales ont été victimes de ce nouveau mode opératoire [3].
Au Royaume-Uni une cyber-attaque a ciblé une entreprise de chips, provoquant une pénurie de ce produit outre-manche. La même semaine, c’était la mairie de Saint-Cloud qui était victime d’une cyber-attaque visant à la divulgation de documents internes à la municipalité.
En dépit du fait que les collectivités territoriales et les administrations publiques puissent faire aujourd’hui l’objet de cyber-attaques d’ampleur plus ou moins grande, l’introduction du cyber-score dans les critères de la commande publique s’est heurtée au refus du Secrétaire d’Etat chargé de la transition numérique. Le parlement a donc retenu une rédaction qui permet un large champ d’application du cyber-score (I) dont l’ensemble des critères restent à définir par le pouvoir réglementaire (II).
I. Un large champ d’application du cyber-score.
Le champ d’application de la loi n’est pas encore précisément identifié, mais déjà sont ciblés des opérateurs de plateformes et les fournisseurs de services de communications interpersonnelles comme WhatsApp ou Messenger.
Les opérateurs de plateformes en ligne sont ceux visés à l’article L. 111-7 du code de la consommation. La mention de cette définition permet au législateur de cibler les géants d’internet tels que Facebook, Amazon, Google ou encore YouTube, mais également de cibler des sites moins visibles.
Les fournisseurs de services de communications comme WhatsApp ou Messenger sont également invités à se conformer à ce cyber-score d’ici octobre 2023.
Une condition de niveau de fréquentation du site est néanmoins requise. Plusieurs seuils seront fixés par décret afin de dessiner les contours des sociétés qui devront faire apparaitre ce cyber-score et ne pas rendre la tâche trop lourde pour des opérateurs de taille plus modestes qui tenteraient de renforcer la fiabilité de leur site.
II. Des critères de fiabilité en cours de définition.
Le débat a été nourri au parlement autour de la question des critères d’évaluation et de fiabilité de la note. L’Assemblée Nationale a écarté le critère d’auto-évaluation pour lui préférer un audit de sécurité réalisé par un prestataire agrée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). La confiance n’excluant pas le contrôle, l’ANSSI a été retenue pour vérifier les conditions de ces prestataires compte tenu au regard de son expertise en matière de cyber-sécurité, ce qui peut interroger sur la pertinence à élire le siège des réformes en la matière dans le code de la consommation et non dans celui de la sécurité intérieure.
Les critères sont renvoyés à un arrêté conjoint des ministres en charge du numérique et de la consommation, mais le critère du lieu d’hébergement des données semble déjà attirer l’attention des services de l’Etat puisque 90% des données Françaises sont herbagées aux Etats-Unis par manque de data centers.
La Commission nationale de l’informatique et des libertés intervient tout naturellement dans le processus de fixation des critères en tant que régulateur des données personnelles. Une exigence toute particulière pourrait être requise en matière de respect de la réglementation européenne, à commencer par le règlement général sur la protection des données (RGPD).
Le respect de ces critères prendra la forme d’un « système d’information coloriel », a priori fondé sur celui du nutri-score allant du vert pour les sites sécurisés au rouge pour ceux ne remplissant pas suffisamment de critères.
A l’heure des guerres modernes, militaires et numériques, le renforcement de la protection des citoyens dans l’espace numérique par des cyber-score pourrait inciter d’autres pays européens à adopter cette nouvelle norme