Cyberscore : oui, mais...
Le Sénat et l'Assemblée nationale ont adopté en première lecture la proposition de loi instituant un cyberscore pour évaluer la sécurité des sites web et services en ligne (visio-conférence, messageries instantanées...). Informer le consommateur "grand public" sur la sécurité des services numériques qu'il utilise grâce à un dispositif simple et lisible procède d'une intention louable. Plusieurs questions doivent cependant être posées en vue de l'examen du texte en seconde lecture et, s'il est adopté, du décret d'application qui suivra.
1) Le périmètre des acteurs concernés. Il s'agira non seulement des sites web proprement dit mais aussi des services de visio-conférence ou de messagerie instantanée au-delà d'un certain seuil de visiteurs (5 millions de visiteurs par mois). Un centaine de plateformes serait ainsi concernée. Un amendement propose de renvoyer au décret d'application la fixation du seuil. Gageons que celui-ci fera l'objet d'un intense lobbying...
2) La méthode : auto-évaluation ou audit ? Alors qu'il s'agissait au départ que d'une auto-évaluation, forcément peu efficace, un amendement adopté stipule qu'un audit réalisé par un prestataire d'audit (PASSI) qualifié par l'ANSSI sera nécessaire. Reste que pour être efficace compte tenu du caractère mouvant des menaces et des vulnérabilités, cette évaluation n'a de sens que si elle se fait en continu.
3) Le caractère contraignant ou non du dispositif. Dans la proposition transmise au Sénat pour la seconde lecture, celui-ci est obligatoire pour les acteurs au-delà d'un certain seuil de visiteurs mensuels. C'est effectivement le seul moyen de lancer le dispositif et de lui permettre d'atteindre rapidement une taille critique. Le "name and fame" ne suffit malheureusement pas...
4) Les critères d'évaluation. Ce point a été renvoyé au futur décret d'application mais il est absolument essentiel : l'évaluation de la sécurité "technique" du site et des données de l'utilisateur ne peut suffire. Le critère de localisation, même s'il n'est pas simple à définir (lieu du stockage ? du traitement ? Quid de la nationalité de l'hébergeur ?), est indispensable pour des raisons évidentes de sécurité juridique. Or il a été retiré de la proposition. Le Gouvernement y était d'ailleurs hostile.
Recommandé par LinkedIn
5) La lisibilité du dispositif. Il faut que le "score" soit visible. Il s'agirait en revanche d'éviter qu'il ne perturbe l'expérience utilisateur en se sur-ajoutant aux pop-up RGPD..
6) Dernier point, et non des moindres : le cyberscore a une optique BtoC. Reste à imaginer un dispositif de ce type dans une approche BtoC pour permettre aux acheteurs de services ou de solutions numériques, notamment publics, d'évaluer la sécurité des services achetés. Seul un indicateur de ce type permettra d'orienter la commande publique vers des offres européennes dans le cadre d'un "Buy European Act". C'est ce que propose la recommandation n°20 du livre blanc de l'Agora FIC en vue de la PFUE. Oui, sécurité et souveraineté numériques peuvent aller de pair !
DSSI chez Région Normandie
3 ansPour résoudre la problématique du point 2 (le test en continu), il faudrait associer un pentest comme base de départ, avec une obligation d'ouvrir un bug-bounty correctement rémunéré dès que les vulnérabilité découvertes par le pentest ont été comblées (max 3 mois après)
Merci Guillaume et on pourrait déjà le rajouter sur l’ensemble des applications fournis sur le catalogue UGAP (et autres) pour aider les services publiques à choisir des applications avec un minima … ;) on évitera certaines catastrophes qui touchent nos quotidiens de citoyen
Expert forestier - Manager de transition à impact Direction générale | opérations | projets | transition écologique | temps partagé
3 ansCyberscore comme nutriscore, c’est un peu la quadrature du cercle. Difficile de faire simple sans tomber dans le simplisme, d’être lisible sans être réducteur. Dans les deux cas, aucun label ne remplacera jamais l’esprit critique et les connaissances permettant de se forger un jugement par soi-même ; plutôt que, une fois de plus, laisser l’Etat réfléchir à notre place. Comme si c’était son rôle ; comme si c’était notre intérêt - et notre dignité. Mais bon, je m’égare sans doute...