Une loi du 3 mars 2022 rend obligatoire l’utilisation d’un « cyberscore » pour certifier la sécurité des plateformes numériques destinées au grand public.
Cette obligation d’informer les consommateurs sur le niveau de sécurité des plateformes sera effective à compter du 1er octobre 2023.
Ainsi, les opérateurs de grandes plateformes numériques devront informer les internautes à l’aide d’un visuel « cyberscore » sur le niveau de :
- sécurité de leur site ou service
- sécurisation et localisation des données qu’ils hébergent par eux-mêmes ou leurs prestataires (cloud notamment).
Le fait d’obliger les plateformes à indiquer le lieu de localisation des données s’inscrit clairement pour les pouvoirs publics et les régulateurs dans l’objectif de réaffirmer le principe d’une souveraineté numérique européenne des données.
Cette obligation s’inscrit dans une double volonté des pouvoirs publics :
- Augmenter le niveau général de sécurité appliqué aux plateformes les plus utilisées par le grand public
Ce travail de certification a été initié en 2017 par le Règlement européen sur la cybersécurité ; lequel a été mis en œuvre en France par l’Agence nationale de sécurité des systèmes d’information (Anssi).
Rappelons que l’Anssi délivre déjà des certifications de sécurité à des produits industriels ainsi que des homologations à des services de confiance.
- Rendre le plus clair possible l’information apportée aux consommateurs par les acteurs du numérique.
Le consommateur doit être capable en un seul coup d’œil de connaître le niveau de sécurité d’une plateforme. Il disposera ainsi d’une information transparente sur le niveau de sécurité garanti par les sites qu’il fréquente quotidiennement.
Ce système d’étiquetage existe déjà dans de nombreux domaines : nutrition, énergie, et plus récemment, réparabilité des appareils électroménagers. Cette pratique permet de présenter aux consommateurs une information compréhensible en un clin d’œil
Quelles sont les plateformes concernées ?
L’article 111-7 du Code de la consommation précise les plateformes concernées. Il s’agit de :
- « toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ou la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service »
Seront vraisemblablement concernées, les plateformes de type moteurs de recherches, réseaux sociaux ou plateformes de ventes en ligne :
- les fournisseurs de service de communication au public en ligne visés à l’article L. 32 du Code des postes et des communications électroniques,
- les services de visioconférence (Zoom, Meet, Teams, etc.),
- ainsi que les services de messagerie (WhatsApp, Signal, Messenger, etc.).
Un prochain décret listera les plateformes, réseaux sociaux et sites de visioconférence concernés en fonction de leur seuil d’activité et d’audience :
- nombre d’utilisateurs uniques, de connexions journalières, de pages vues,
- durée moyenne d’utilisation, etc.
Quels sont les types d’audits à réaliser pour établir un cyberscore ?
Il ne s’agira pas d’un audit réalisé en interne ou d’une auto qualification par les plateformes mais bien d’un audit réalisé par un prestataire d’audit externe qualifié par l’Anssi. On parle de Prestataires d’audit de la sécurité des systèmes d’information qualifiés ou « prestataires PASSI ».
Un arrêté précisera les critères pris en compte par l’Anssi pour établir le diagnostic de sécurité, sa durée de validité et ses modalités.
Comme indiqué ci-dessus, on sait déjà que les internautes devront être informés du niveau de sécurité mis en œuvre par l’opérateur ainsi que de la localisation des serveurs hébergeant les données.
Par ailleurs, le résultat de cet audit devra :
- se présenter « de façon lisible, claire et compréhensible » et
- s’accompagner « d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel » (visuel cyberscore).
En cas de manquement, les opérateurs des plateformes concernées s’exposent à une amende administrative prononcée par la DGCCRF (1). Le montant de l’amende ne peut excéder :
- 75 000 euros pour une personne physique et
- 375 000 euros pour une personne morale ;
Les opérateurs de grandes plateformes numériques ont donc jusqu’au 1er octobre 2023 pour se mettre en conformité.
Cette date pourrait paraitre lointaine mais le choix du prestataire PASSI et des modalités de tests à réaliser (type de tests techniques, périmètre concerné, etc.) ainsi que la corrections des vulnérabilités potentiellement découvertes nécessitent que les plateformes ne tardent pas à s’engager dans la démarche de conformité.
Anthony Sitbon
Lexing Technologies, Département sécurité
(1) Code de la consommation, art. L. 131-4.