Le 5 mars 2024 |
La loi n°2022-309 introduit le cyberscore, une certification novatrice et obligatoire destinée aux plateformes numériques afin de les évaluer selon des enjeux de sécurité informatique, de respect du RGPD et de gouvernance. Cette nouvelle certification permettra d’informer les utilisateurs sur la fiabilité des sites Internet qu’ils consultent au quotidien, notamment en ce qui concerne la sécurisation de leurs données. Que faut-il en retenir ?
La loi n°2022-309 introduit le cyberscore, une certification novatrice et obligatoire destinée aux plateformes numériques afin de les évaluer selon des enjeux de sécurité informatique, de respect du RGPD et de gouvernance. Cette nouvelle certification permettra d’informer les utilisateurs sur la fiabilité des sites Internet qu’ils consultent au quotidien, notamment en ce qui concerne la sécurisation de leurs données. Que faut-il en retenir ?
Bien que la loi soit censée être entrée en vigueur depuis le 1er octobre 2023 (1), aucun texte d’application n’a encore été publié. Un décret d'application doit définir les seuils d’activités désignant les opérateurs concernés, et un arrêté doit fixer les critères d’audit définitifs.
Quels sont les critères de l’audit cyberscore ?
Si les mesures réglementaires prévues par la loi n'ont pas encore été détaillées, un projet d’arrêté(2) du ministère de l’Économie permet néanmoins d’apprécier ces dernières.
Ainsi, la certification cyberscores’appuiera sur une grille d’audit qui s’articulera autour des 9 thématiques suivantes :
- Organisation et gouvernance : L’organisme certificateur consultera les certifications obtenues par la plate-forme et évaluera sa conformité au droit européen, ainsi que sa maîtrise des risques engendrés par la collecte de données personnelles.
- Protection des données : Les plates-formes concernées devront suivre les recommandations du comité européen de la protection des données et se conformer au RGPD.
- Connaissance et maîtrise du service numérique : L’opérateur de la plate-forme auditée devra être en mesure de présenter une documentation récente et détaillée concernant les données collectées et l’architecture réseau. Cette dernière devra permettre un cloisonnement des informations et une haute disponibilité.
- Niveau d’externalisation : Le stockage des données personnelles par l’opérateur et ses sous-traitants se fera nécessairement au sein de l’Union Européenne. L’externalisation de services sensibles, comme le paiement, sera étudiée par le certificateur.
- Niveau d’exposition sur Internet : Les différents services exposés par la plate-forme seront audités, ainsi que les mécanismes d’authentification mis en place pour les utilisateurs et les administrateurs.
- Dispositif de traitement des incidents de sécurité : Le certificateur vérifiera la stratégie de détection et de réponse à incidents de la plate-forme, ainsi que sa capacité à pouvoir assurer une gestion de crise et la continuité d’activité.
- Audits du service numérique étudié : La mise en place d’audits de sécurité avant la mise en œuvre de nouveaux services numériques et régulièrement après leur déploiement sera vérifiée.
- Sensibilisation aux risques cyber et lutte anti-fraude : Le certificateur examinera la politique de lutte contre la fraude mise en place par la plate-forme, ainsi que la sensibilisation des acteurs concernés aux risques cyber.
- Développement sécurisé : La plate-forme devra organiser des formations au développement sécurisé, qui permettront par exemple le respect des règles de l’OWASP.
Quel est le mode de calcul du cyberscore ?
L’évaluation du cyberscore se fera via un audit réalisé par un prestataire qualifié en Sécurité des Systèmes d'Information (PASSI).
Le système de notation du cyberscore fonctionne par paliers (A+, A, B... etc). Pour espérer obtenir un bon cyberscore, la plate-forme auditée devra valider un certain nombre de critères d’audit provenant des neuf catégories mentionnées précédemment (par exemple, 55 critères validés sur 62 pour le score « B »). L’obtention de chaque palier est de plus conditionnée à la validation de critères spécifiques, jugés essentiels.
La plate-forme concernée devra ensuite afficher le palier obtenu sur son site internet. Un visuel simple, inspiré du modèle du Nutri-Score permettra d’informer le grand public sur son positionnement sur les enjeux de gouvernance, de sécurité informatique et de respect du Règlement Général sur la Protection des Données (RGPD).
Ainsi, ce nouveau système de notation cyberscore permettra aux utilisateurs de prendre conscience de l’importance centrale de la cybersécurité et de la protection de leurs données personnelles, tout en leur donnant le pouvoir d’apprécier le positionnement des grandes plateformes numériques vis-à-vis de ces enjeux.
Sources :
[1]Loi n°2022-309 du 3 mars 2022 pour la mise en place d'une certification de cybersécurité des plateformes numériques destinées au grand public
[2] Projet d’arrêté fixant les critères pour l'application de la loi
Auteurs
Découvrir nos offres
Cybersécurité et protection des données
Dans un environnement toujours plus digitalisé, la circulation et l’exploitation de données représentent un potentiel de création de valeur gigantesque pour les entreprises tout comme une menace de plus en plus redoutable pour leur sécurité.
Audit IT
Bâtir la confiance à partir du tremplin de la technologie, des processus et des contrôles Les entreprises dépendent de plus en plus de la technologie, ce qui est source d’opportunités comme de risques. Face à la complexité croissante de l’environnement règlementaire, les sociétés doivent s’assurer de la sécurité de leurs systèmes informatiques. Nos spécialistes en assurance et conseil des technologies...
Technology and digital consulting
Découvrez notre pôle Digital et Technologies pour améliorer la performance de votre entreprise. Nous sommes spécialisés dans l'analyse de données, la transformation des solutions d'entreprise, l'assistance à la maîtrise d'ouvrage SI, l'automatisation des processus, ainsi que le conseil en stratégie et gouvernance des SI. Nous mettons à votre disposition notre expertise et notre expérience pour vous...