Inventé en 2014, le nutri-score a réussi à s ‘imposer en Europe récemment. Et pourtant au départ cette idée loufoque avait été accueillie fraichement. Nous sommes maintenant tous habitués à cette indication pour notre santé nutritionnelle. Et bien l’Assemblée Nationale et le sénat viennent de remettre ca mais cette fois-ci sur la cybersécurité. Bienvenue au cyber-score
Cyber Score la cybersécurité à la francaise
Déposé par le sénateur Laurent Lafon le 15 juillet 2020, la proposition de loi a été adopté en première lecture le 26 novembre 2021 par l’Assemblée nationale.
Le texte modifie le code de la consommation pour imposer de nouvelles obligations en matière de cybersécurité aux grandes plateformes numériques, aux messageries et aux sites de visioconférences les plus utilisés. Le But du jeu est de rassurer les utilisateurs sur la protection de leur données via un système clair et facile à comprendre pour le communs des mortels. Mais quand on y réfléchit bien ça pose de nombreuses questions.
Mais la où le texte visé large , le gouvernement est venu y mettre son grain de sable. En premier lieu seul les sites ou services en ligne qui ont plus de 5 millions de visiteurs uniques par mois seraient dans l’obligation de s’y conformer !!!
Et soyons honnête même si on rêve tous d’arriver à de tel niveau de fréquentation ça ne représente que des très grosses entreprises.
Ils ont aussi supprimés l’habilitation de l’Anssi pour que les opérateurs puissent eux même s’évaluer.
Il n’y a plus qu’a attendre que le texte de loi soit définitivement voter pour en connaitre la teneur finale.
Qui sera en charge de l’évaluation du cyber score et sur quel critères?
L’évaluation du cyber score se fera par un audit interne ou via des prestataires certifiés par l’Anssi. Le marché serait alors on peut dire colossale, si la limite des 5 millions de visiteurs uniques saute. Néanmoins si la plupart des audits sont fait en interne il faudra aussi qu’un organisme valide leur audit et pour le moment c’est le flou total.
Les critères d’évaluation de la cybersécurité de la plateforme seront précisés ultérieurement par arrêté ministérielle.Les deux grands axes sont déjà acquis :
- la sécurité des données
- la localisation de stockage
Cyber score un vrai plus pour la cybersécurité?
Dans le meilleur des monde, le cyber score est intention louable. Mais au vu des informations actuelles il est peu crédible.
On le sait dans le monde de la cybersécurité un système fiable à un instant T peut le lendemain être la cible d’une nouvelle faille de sécurité qui va remettre en question son intégrité. Donc quid de la durée de validité d’un cyber score?
De plus si l’évaluation est faite en interne, vu le niveau actuel de la plupart des SI en cybersécurité cela risque d’être assez marrant à voir. Un chmod 777 sur un répertoire, ben quoi ca marche pas de souci …
Nettement plus inquiétant serait l’indication d’une note faible au cyber score. Autant dire aux pirates de la terre entière :
« Salut à vous amis pirate notre cybersécurité est vraiement pas top, allez y c’est open bar »
Autant dire que toutes ces entreprises seraient des cibles de choix.
Finalement on en pense quoi du cyber score?
Dans le principe c’est une bonne idée, car de prime abord elle va obliger les sociétés à se sensibiliser à leur cybersécurité. L’utilisateur aussi aura une meilleure idée d’où il met les pieds surtout s’il paye en plus un abonnement au service.
Nous verrons donc bien avec l adoption final du texte ce qui nous attend. La mise en oeuvre est prévu pour le premier octobre 2023. On risque donc d’avoir du travail.
