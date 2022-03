Le CyberScore : une fausse bonne idée ?

mars 2022 par Bertrand Servary, PDG de NetExplorer

Le 3 mars 2022, l’État a annoncé le vote d’une certification de cybersécurité des plateformes numériques destinées au grand public : le CyberScore, prévu pour entrer en application le 1er octobre 2023. D’après les informations connues à ce jour, l’objectif serait d’apporter aux internautes un moyen rapide pour connaître la sécurisation de leurs données sur les sites et réseaux sociaux fréquentés. Bertrand Servary, PDG de NetExplorer, décrypte la loi et les limites de ce dispositif pour les internautes.

CyberScore et RGPD, quelle différence ?

D’après le texte de loi, le CyberScore reposera sur trois piliers :

• Un système de notation basé sur la sécurisation des données, leur localisation et la juridiction applicable,

• Une liste exhaustive des plateformes, fixées par décret, qui seront évaluées,

• Un système de notation identique au NutriScore pour une lecture facile par les internautes.

“Les failles de sécurité et les affaires de vol de données personnelles sur internet sont de plus en plus fréquentes.” [extrait loi/282626*]

Dans un monde très digitalisé et dans le contexte économique actuel, force est de constater que la problématique du vol de données est devenue omniprésente et quotidienne pour l’ensemble de la population. Le sujet de la sécurisation des données est de plus en plus complexe à appréhender pour les internautes, qui n’ont pas de référentiel auquel se fier. D’où l’intérêt d’apporter une indication sur la sécurité des données comme le propose le CyberScore.

Cependant, le texte parle de notation sur la protection des données. N’est-ce pas le but du RGPD ?

Pour moi, il y a dans ce texte une vraie confusion entre cybersécurité, protection des données et exploitation, d’après les informations que nous connaissons aujourd’hui. Est-ce que le CyberScore, tel qu’il est construit, sera capable de répondre à la question principale : mes données personnelles sont-elles en sécurité lorsque j’utilise cette application ?

Plus de confusion pour les internautes ?

“Un décret listera les plateformes, réseaux sociaux et sites de visioconférence concernés” [extrait loi/282626*]

D’après l’extrait de loi, la liste à venir semble notamment cerner les “gros” acteurs du numérique - sous-entendu les GAFAM. En réalité, ce sont ces solutions qui garantissent au mieux la cybersécurité : ils en ont les moyens techniques et financiers ! Notons tout de même que dans le cas des GAFAM, l’enjeu n’est pas la sécurité des données mais bel et bien l’exploitation des données que l’on stocke sur leurs services.

La question est donc : pourquoi ne pas auditer tous les acteurs du numérique ?

Le risque de vol des données personnelles est présent dès lors qu’elles sont inscrites sur un service en ligne. En n’étendant pas le CyberScore à l’ensemble des acteurs, on n’assure pas à l’internaute la sécurité de ses données, au contraire, on risque même d’augmenter la confusion !

Imaginons que vous utilisiez un réseau social grand public (pour ne pas citer de nom) et que vous constatiez que le service est noté C. Il est facile alors de se tourner vers une autre application - qui ne sera elle pas notée - en imaginant que celle-ci est plus sécurisée, car elle est développée en France ou que l’hébergement de ses données reste en Europe.

Rien ne vous assure qu’elle soit meilleure ou pire, car n’étant pas notée, vous n’aurez pas l’information ! La comparaison ne pourra donc pas être réalisée… et vous ne pourrez pas choisir en connaissance de cause.

En établissant une liste limitée d’acteurs évalués, l’internaute ne peut pas comparer en connaissance de cause les différents services qui lui sont proposés. À ce moment-là, comment peut-il s’orienter vers une application qui conviendra à son attente en termes de sécurité ?

Aller plus loin dans l’intention

La loi crée un "CyberScore" afin que “les internautes puissent connaître la sécurisation de leurs données sur les sites et réseaux sociaux qu’ils fréquentent” [extrait loi/282626*]

Pour informer réellement et efficacement sur la sécurisation des données, le CyberScore doit selon moi aller plus loin dans ses objectifs. Premièrement, il devrait indiquer concrètement à quoi correspondent les notes attribuées, en signalant clairement à l’utilisateur le risque qu’il encourt. Est-ce que ses données sont sécurisées ? Comment seront-elles exploitées ? Quels sont les risques encourus ? Il est essentiel d’amener de la transparence et de la compréhension sur le système de notation.

Deuxièmement, il pourrait aller plus loin que la simple protection des données. Le CyberScore devrait être un mix entre protection (RGPD) et sécurité des données : le score global serait alors vraiment synonyme de sécurité pour l’utilisateur.

Enfin, il faut élargir le périmètre de notation du CyberScore à l’ensemble des acteurs du numérique si l’on veut qu’il soit fiable et exhaustif. Toute personne ou entreprise qui traite et/ou stocke des données personnelles devrait s’engager à être conforme et à être évaluée sur le CyberScore.

D’autre part, il est regrettable que ce système reste dans la sphère du public, puisque c’est dans le privé qu’existent les plus grandes - et dangereuses - failles de sécurité (rappelons-nous les fuites de données récentes dans des hôpitaux…).En étendant le CyberScore à l’ensemble des services en ligne, les DSI pourraient aussi avoir une meilleure visibilité sur les risques encourus pour leur organisation.

