Le CyberScore : un enjeu de taille pour les entreprises
Plus d’une entreprise française sur deux s’est vue subir au moins une attaque au cours de l’année 2021. Si cette attaque n’est pas gérée dans les plus brefs délais, elle peut causer des pertes financières d’une grande envergure. En effet, le coût médiant d’une cyberattaque, en France, est de 52 000 euros.
Selon Globb Security, seulement 39% des entreprises se considèrent suffisamment préparées en cas de cyberattaques de grande ampleur. Une autre étude réalisée par IBM dénonce que 62% des grands groupes ne sont pas suffisamment armés pour faire face aux cyberattaques. Alors même que plus de 50% des entreprises ont subi une attaque en 2021.
De ce fait, les entreprises ne semblent pas prendre les mesures nécessaires pour protéger leurs SI. Elles ne peuvent pas garantir une sécurité suffisante de leurs données.
Comment garantir alors la protection des données et réduire la vulnérabilité aux attaques ?
Renouer la confiance en cyber
Le Sénat a adopté, le 3 mars 2022, une proposition de création d’un « Cyber Score ».
Il s’agit d’un système de notation, à l’image du bien connu « Nutri-score » attribué aux grands acteurs du numérique permettant aux utilisateurs d’évaluer la sécurité de leurs données.
La notation sera effectuée par des organismes auditeurs tiers accrédités. Et l’obligation d’informer les consommateurs sur le niveau de sécurité des plateformes sera effective dès le 1er octobre 2023.
Qui est visé par le « Cyber Score » ?
Selon la loi, les cibles du « Cyber Score » sont les « opérateurs de plateformes en ligne », défini par l’article L111-7-1 du Code de la consommation. Il s’agit principalement des éditeurs de moteurs de recherche et de comparateurs de prix et, d’autre part, des sites permettant la mise en relation de personnes tel que les sites de rencontres ou les réseaux sociaux.
Le législateur a tenu à se limiter, pour le moment, aux seuls acteurs dont l’activité exercée dépasse un ou plusieurs seuils définis par décret. Il ressort du dossier législatif que le seuil minimal d’activité devrait être fixé à cinq millions de visiteurs uniques par mois.
Il pourrait être envisagé que la loi se généralise, par la suite, pour d’autre type d’entreprise.
Qui se chargera d’attribuer le Cyber Score ?
L’audit sera effectué par des prestataires qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Les critères pris en compte seront développés ultérieurement par décret.
Il s’agit de prendre en compte le nombre de condamnations par la CNIL, le nombre de failles de sécurité ayant entrainé des pertes de données dans la dernière année. Par ailleurs, des indicateurs techniques peuvent être pris en compte comme le chiffrement des données de bout en bout, réclame Anne-Catherine Loisier, vice-présidente de la commission des affaires économiques.
Sanctions
Dans un souci de protéger les utilisateurs, des sanctions seront mises en œuvre dont une amende administrative pouvant atteindre 375 000 euros pour les entreprises réfractaires au « Cyber Score ».
Les questions autour du Cyber Score
Quelles seront les vraies conséquences envers les entreprises ayant une faible notation de la part de l’ANSSI ?
Celles-ci auront une véritable baisse de leur niveau de fréquentation ou à l’inverse les utilisateurs ne seront que très faiblement sensibles aux notes attribuées à leurs plateformes préférées.
Dans le cas où ce dernier aurait un véritable impact. Quels sont les critères spécifiques et les tranches de notes attribuables ?
Pour l’heure, les critères de notation et la signification même de chaque strate de couleur ne sont pas encore définis.
Le flou persiste également sur la fréquence de mise à jour de ce Cyber Score, notamment face à l’apparition de nouvelles failles de sécurité et à la révélation, rendue obligatoire par le RGPD, d’une compromission éventuelle.