Le Sénat vient d’adopter un projet de loi visant à créer un CyberScore de la sécurité informatique pour le public. Ce nouveau système d’étiquetage permettra de voir plus facilement le niveau de sécurité numérique. Il entrera en vigueur le 1er octobre 2023.
Les moteurs de recherche, les réseaux sociaux, leurs messageries, les visioconférences, les places de marché en ligne…. Tous ces éléments sont des cibles possibles. Chacun devra réaliser un audit de cybersécurité portant sur « sa sécurité et sa sûreté » ainsi que sur « la sécurité, la localisation et la sûreté des données qu’il héberge directement, ou par l’intermédiaire d’un tiers. » Cet audit sera réalisé par des prestataires qualifiés par l’Ansi.
Le label SecNumCloud délivré par l’Anssi devra être lié au CyberScore. Le résultat sera visible au premier coup d’œil, à l’image du NutriScore que l’on trouve sur les paquets alimentaires. Le résultat sera présenté dans un format « lisible » et compréhensible, avec une « expression ou présentation complémentaire », en utilisant une technologie de l’information colorée.
Un décret fixera les seuils requis pour se soumettre à cette nouvelle obligation afin d’éviter les lourdeurs administratives. Après avis de la Commission nationale de l’informatique et des libertés (Cnil), un arrêté ministériel déterminera les critères de l’audit, les conditions de validité et ses modalités de présentation. Parmi les critères d’évaluation figurent le lieu où se trouvent les données, le régime juridique applicable à leur protection, l’utilisation qui en est faite et l’existence éventuelle d’une condamnation par une autorité responsable.
