Cyberscore : les limites du système déjà pointées du doigt

Une personne en train de donner plusieurs étoiles à une appliation mobile
© watchara songprasert via iStock

Dès le 1er octobre 2023, plusieurs services en ligne devront afficher de manière lisible, claire et compréhensible un "score" de cybersécurité. Pour certains, il s’agit d’une avancée en demi-teinte qui soulève déjà quelques questions.

Le 3 mars 2022, la loi n°2022-309 a été adoptée. Celle-ci modifie le code de la consommation en faveur d’une clarification en matière de cybersécurité. Elle impose aux (grandes) plateformes numériques, aux messageries instantanées (comme WhatsApp) ou aux sites de visioconférence les plus utilisés (comme Zoom) d’afficher de manière lisible, claire et compréhensible au moyen d’un système coloriel leur score cyber, dès le 1er octobre 2023. Le bien-nommé « cyberscore » sera établi à la suite d’un audit réalisé par des prestataires choisis par l’Agence Nationale de la Sécurité des Systèmes d’Information (Anssi), à la charge des entreprises concernées.

Un impératif étendu aux prestataires

L’objectif ? Assurer les internautes qu’un service proposé est bien sécurisé, mais aussi qu’il protège les données hébergées directement… ou du côté de ses prestataires, et ce, peu importe qu’elles soient hébergées dans le cloud ou dans des serveurs physiques. Pour l’instant, la liste des entreprises qui devront se soumettre à l’audit n’est pas définitive : un décret devra lister les plateformes, réseaux sociaux, services de messagerie et sites de visioconférence concernés, le principal critère retenu étant la taille des entreprises ainsi que leur seuil d’activité – a priori 5 millions de visiteurs uniques par mois. Le site Dalloz Actualité, spécialisé dans le droit, estime ainsi qu’une centaine d’entreprises seraient soumises à l’obligation.

Des sanctions financières en cas de manquement

Pour les entreprises qui ne respecteraient pas la loi, une amende de 375 000 euros pourrait être prononcée par la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF). Pour rappel, en 2020, le chiffre d’affaires de Zoom s’élevait à 2,65 milliards de dollars, et à 4,1 milliards de dollars en 2021.

Pas les bons critères

Pour l’avocate Lamia El Fath, spécialisée sur les enjeux du numérique et de la propriété intellectuelle, le cyberscore ne va pas assez loin. « La loi ne concerne qu’une petite quantité d’acteurs. Il faut certes attendre le décret d’application, mais le périmètre annoncé ne laisse pas présager que les mesures seront appliquées au plus grand nombre. Le critère choisi, à savoir le nombre de visiteurs uniques mensuels, n’est peut-être pas le seul qui devrait être pris en compte. À mon sens, certains secteurs sont plus sensibles que d’autres en termes de données traitées et devraient être également concernés par la mesure. » En effet, en l’état, aucune mention n’est faite du type de données soumises au cyberscore. Or, certaines plateformes traitent ou hébergent des données de santé, financières, liées au droit ou au secret des affaires. « Par ailleurs, seules sont concernées les plateformes destinées aux consommateurs. »

Perte de sens

Les consommateurs, justement, sont de plus en plus soumis aux « preuves de transparence » des outils en ligne. « Conditions générales, politiques de confidentialité, et maintenant cyberscore : il devient compliqué, pour les utilisateurs, de trouver les informations. » Sans compter les frais engendrés pour les entreprises concernées. « Elles se retrouvent à débourser des frais conséquents. Le danger est que mises en balance avec le risque de sanctions, les prises de décision tendent vers moins de conformité », rapporte Lamia El Fath.

Une mesure qui pénalise les petites structures ?

Autre inquiétude : les structures non concernées, mais proposant des services concurrents des grandes plateformes, pourraient se retrouver défavorisées par cette loi. En effet, une entreprise plus modeste mais mieux sécurisée qu’une grande plateforme ne disposant pas du label pourrait décourager ou inquiéter les internautes. « Toutes les entreprises n’ont pas les moyens de ‘marketer’ leurs offres. Il y a un vrai problème avec cette logique de label payant : tout le monde ne peut pas se le payer, même ceux qui sont en règle. »

Un bon indicateur… pour les hackers

Malgré sa proximité, en termes d’intention et de nom, avec le nutriscore, le cyberscore donne plus d’informations que celui-ci… aux personnes malintentionnées. Une barre de céréales mal notée ne risque « que » de s’attirer le désamour des consommateurs. Un site estampillé « sécurité faible » en revanche, pourrait bien attiser la curiosité des hackers. « Nous n’avons pas encore les détails, mais dans la mesure où la note doit être claire et lisible, celle-ci pourrait bien donner de nombreuses informations sur les failles détectées », conclut l’avocate.

NEWSLETTER

Recevez la newsletter Major tous les mardis, gratuitement, dans votre boîte e-mail.

Veille Médias

4 921 articles au total

à la Newsletter
Partager
à la newsletter
Partager

Inscrivez-vous gratuitement à la newsletter de Major !

Major ne vendra pas votre e-mail et aucune pub ne vous sera envoyée. Vous pouvez vous désabonner à tout moment.