Cyberscore : la France prend-elle vraiment au sérieux la menace numérique ?
Dans une loi votée le 3 mars 2022, le législateur français a décidé d’imposer aux grandes plateformes numériques d’auditer leur niveau de sécurité numérique et d’en publier les résultats à destination des consommateurs sous la forme d’un cyberscore.
Cette initiative, qui entrera en vigueur le 1er avril 2024, fait écho au nutriscore, conçu pour évaluer les aliments et boissons disponibles dans le commerce en fonction de leurs bienfaits pour la santé. Le cyberscore vise à répondre aux enjeux des cyberattaques, véritable fléau devenu aujourd’hui une forme de délinquance généralisée, dont les internautes sont les premiers victimes. En 2022, les entreprises en France ont été touchées par 385 000 cyberattaques réussies, leur coûtant environ 2 milliards.
Selon les critères d’audit énoncés dans la nouvelle loi, qui incluent les meilleures pratiques en matière de gouvernance, de protection des données et de gestion des incidents, l’objectif principal de cet outil est de se protéger contre la menace massive de la cybercriminalité.
À l’heure où les cybercriminels utilisent des méthodes toujours plus sophistiquées, difficile de ne pas être déçu que les exigences soient si limitées. Le cyber-risque doit être reconnu pour ce qu’il signifie réellement. Des exigences telles que le chiffrement de bout en bout des systèmes de messagerie, ou un critère lié au nombre de fois qu’une entreprise a été sanctionnée par une autorité de protection des données, auraient été de meilleures mesures de l’engagement d’une plateforme à protéger les données de ses utilisateurs.
Pourquoi exclure les PME et les pouvoirs publics du cyberscore ?
La loi limite ces nouvelles exigences aux plateformes, réseaux et messageries comptant plus de 25 millions d’utilisateurs mensuels en France. Cela limite sa portée aux principaux médias sociaux tels que Facebook, Instagram et TikTok, aux plateformes de transactions telles qu’Amazon, Uber et Airbnb, aux solutions de vidéoconférence telles que Teams et Zoom et aux services de messagerie instantanée tels que WhatsApp, Signal et Messenger.
Étonnamment, la loi ne s’applique pas aux petites et moyennes entreprises. Le coût d’un audit est certes élevé, mais les cybermenaces pèsent autant sur ces entreprises que sur les plus grandes. En 2022, 40 % de toutes les attaques par ransomware ont touché des PME, selon l’Agence nationale de la cybersécurité (ANSSI). Et il n’est pas certain que les géants technologiques chinois et américains se plieront facilement à ces nouvelles exigences propres à la France.
Ampleur de l’impact : la France seule contre la cybercriminalité, ou l’Europe en renfort ?
Il aurait peut-être été préférable que cette initiative soit proposée par l’Union européenne, mieux placée pour imposer des règles sur un marché de 450 millions de consommateurs.
Il convient de noter que le cyberscore ne s’applique pas non plus aux agences gouvernementales, bien qu’elles soient des proies privilégiées pour les cybercriminels. Leur relation avec les citoyens ne relève pas du droit de la consommation, mais dans l’intérêt de la transparence démocratique, une image claire de l’état de la cybersécurité des services numériques de nos gouvernements aurait été la bienvenue. Et surtout lorsque ces agences poussent activement à la digitalisation de leurs services.
Le cyberscore est une excellente idée. Toutefois, il aurait été plus pertinent s’il avait été mis en œuvre dans toute l’Union européenne, avec des critères plus stricts et une portée plus large. Cela aurait fait comprendre à tous que la cybercriminalité constitue un défi majeur dans la lutte pour la protection des consommateurs et des citoyens.