A l’image du nutriscore pour les produits alimentaires, le Gouvernement souhaite instaurer un système de notation pour les sites Web. Ce cyberscore est censé indiqué aux internautes le degré de sécurisation des données hébergées par ces mêmes sites. Un projet intéressant mais qui fait peser de lourdes conditions sur les entités assujetties à ce dispositif. Aussi, certaines conditions pour établir ce classement ne semblent pas pleinement relever directement de la cybersécurité.
Après le nutriscore, bientôt le cyberscore. A l’automne 2023, le Gouvernement entend appliquer sur tous les sites Web une note. Celle-ci (apparaissant sous forme d’un code couleur allant du vert au rouge) doit correspondre au niveau de sécurisation de la plateforme en ligne visitée par l’internaute. Dans l’idée, il s’agit donc d’informer les consommateurs quant au niveau de cybersécurité des sites qu’ils consultent.
Sur le principe, le cyberscore constitue une opportunité incontournable d’améliorer la résilience collective face à la multiplication des cyber-risques. Toutefois, la mise en place de ce dispositif, tout comme certains de ses contours soulève encore de nombreuses interrogations. C’est notamment le cas pour l’ensemble des professionnels du secteur.
Avant d’attribuer une note à chaque site, il convient de les auditer sur des critères communs. Il s’agit-ici d’un chantier majeur, à la fois pour les entités assujetties au dispositif mais aussi pour le marché des prestataires d’audit de la sécurité d’informations. Chantier dont la conclusion, selon les termes de l’arrêté prévoyant la mise en place du cyberscore, doit être conclu dès le 1er janvier 2024. Un délai qualifié de très insuffisant par les professionnels du secteur et adhérents de Numeum, la principale organisation du numérique en France.
Ce délai restreint au vu de l’ampleur de la tâche apparaît donc comme insuffisant pour permettre aux opérateurs concernés de se structurer en interne. Mais également pour laisser le marché des prestataires en cybersécurité se structurer et ainsi répondre à cette nouvelle demande.
Cyberscore : des internautes potentiellement induits en erreur
Toujours est-il que le point principal du cyberscore reste d’informer correctement le consommateur sur le niveau de cybersécurité des sites qu’il consulte. C’est pourquoi, les critères permettant de définir ce score ne devraient, par principe, ne relever que du domaine de la cybersécurité. Pour autant, en l’état actuel, des éléments relatifs à la localisation des données y figurent. Si ce type d’éléments demeure important, il n’apparaît toutefois pas capital au regard des objectifs poursuivis.
Ce flou pourrait être de nature à créer des interrogations dans l’esprit des consommateurs et internautes. Ils pourraient même être induits en erreur. Par exemple, un service qui satisferait à ces critères mais présenterait des lacunes en matière de sécurisation pourrait bénéficier d’une note acceptable voire positive et susciter chez le consommateur un sentiment erroné de sécurité, le conduisant à abaisser sa vigilance.
C’est pourquoi l’utilisation de la localisation des services d’hébergement ou de la nationalité des sous-traitants en matière d’administration et de supervision d’un site interroge. Les professionnels proposent donc d’intégrer une sorte de hiérarchisation des différents critères. Une amélioration qui permettrait au cyberscore d’être davantage fiable et réellement représentatif des niveaux de cybersécurité des sites.
Pour garantir la confidentialité, vers des audits non-publics
Toujours est-il que la question de l’audit des sites visés par la mesure demeure centrale. Numeum insiste à ce titre sur la nécessité pour les entreprises d’accéder aux conclusions préliminaires de l’audit. L’objectif étant de pouvoir mettre en place d’éventuelle mesures correctives, voire de formuler des observations nécessaires. De même, si ce score a naturellement vocation à être rendu public, les détails de cette évaluation devraient rester confidentiels, tant pour des raisons de sécurité que de protection du secret des affaires.
L’idée de ce cyberscore n’est, en effet, pas de dévoiler certains pans de l’activité Web d’entreprises. Mais véritablement de renforcer la sécurisation collective. Mais également l’information délivrée aux internautes. Un pari patent en somme.
Olivier Robillart