Cyberscore : définition et critères de constitution
La loi française créé un cyberscore pour imposer aux opérateurs de plateformes en ligne d’informer les internautes, ou plus généralement le grand public, sur le niveau de sécurisation de leurs données. Cette certification de cybersécurité repose sur des critères définis.
Ces critères sont les suivants :
- évaluation de cybersécurité de la plateforme réalisée par un prestataire d'audit qualifié par l'Agence nationale de la sécurité des systèmes d'information - ANSSI ;
- localisation des données personnelles hébergées : soit directement par les opérateurs, soit indirectement par l'intermédiaire de leur(s) partenaire(s) (environnement Cloud notamment) ;
- évaluation de cybersécurité de l'infrastructure de la plateforme elle-même.
Ces critères sont cumulatifs.
Le cyberscore sera donc un visuel devant être présenté de façon lisible, claire et compréhensible au consommateur :
Par exemple, un système de notation allant de 1 à E ou du vert au rouge, à l’image :
- du nutriscore d’ores et déjà renseigné pour les produits alimentaires ;
- ou encore du diagnostic de performance énergétique utilisé dans le secteur immobilier.
Thématiques d'audit de cybersécurité
Les critères pris en compte par l’audit de cybersécurité devraient être prochainement fixé par arrêté des ministres chargés du numérique et de la consommation.
Histoire juridique
Périmètre d'application
Dès lors, un décret à venir va fournir une liste référentielle des plateformes numériques concernées.
Nous savons déjà qu’il pourrait s’agir de :
- sites internet ;
- services en ligne ;
- réseaux sociaux ;
- plateformes de communication ;
- sites de visioconférence.
dépassant un seuil qui sera précisé en fonction de l’importance de leur activité.
Sanctions financières
En cas de non-respect de cette réglementation, les entreprises s’exposent à une amende de 375 000 euros.