Hexatrust dévoile sa position sur la question du Cyberscore
Hexatrust estime que les textes publiés à ce sujet manquent d’ambition pour répondre complètement à son double-objectif, qui est de représenter un repère de confiance pour les Français dans leur usage d’internet tout en améliorant la sécurité globale de leur navigation web, notamment au regard des possibilités techniques offertes par les acteurs souverains du numérique sur ce sujet.
Le 25 avril 2023, Hexatrust a émis un document qui revient sur sa position par rapport à la question du Cyberscore, défini par la loi du 3 mars 2022. Inspiré du Nutriscore, il s’agit d’un outil de notation permettant aux internautes d’évaluer leur cybersécurité lorsqu’ils naviguent sur des sites ou des réseaux sociaux. Si Hexatrust salue cette loi instituant une certification de cybersécurité des plateformes numériques, il déplore néanmoins le manque d’ambition des décrets liés à ce texte et que le double-objectif du Cyberscore ne soit pas atteint, à savoir représenter un repère de confiance pour les Français dans leur usage d’internet tout en améliorant la sécurité globale de leur navigation web, notamment au regard des possibilités techniques offertes par les acteurs souverains du numérique sur ce sujet.
Grâce aux contributions de ses adhérents, Hexatrust identifie trois axes de réflexion pour ce nouvel outil et émet quelques suggestions pour en améliorer le fonctionnement.
Le Cyberscore doit être un repère de confiance pour les Français
Tout comme le Nutriscore constitue un repère de confiance pour les Français en ce qui concerne leur alimentation, le Cyberscore doit en être de même dans le domaine de la cybersécurité. Le projet de décret actuel fixe pour 2024 le seuil de visiteurs uniques par mois à 25 millions, puis à 15 millions pour 2025. Ce seuil est beaucoup trop élevé, ce qui a pour effet de restreindre l’application du Cyberscore à quelques plateformes, alors qu’il serait intéressant que des plateformes moins visitées puissent être concernées par cette notation. Aussi, Hexatrust demande à « prévoir dès à présent dans le décret l’évolution des seuils et l’extension des critères d’application des années à venir » afin que plus de plateformes puissent être concernées par son application. Il propose aussi « qu’un seuil lié au chiffre d’affaires soit intégré dans les critères d’applicabilité ».
Le Cyberscore doit être un outil effectif de la cybersécurité
La note attribuée par le Cyberscore, allant de A à F, doit être le reflet effectif du niveau de sécurité de la plateforme. Or, le décret actuel prévoit que l’audit permettant de fixer cette notation soit déclaratif et ouvert, ce qui pourraient inciter certaines plateformes à ne pas indiquer publiquement leur position sur certains critères. Hexatrust suggère que « l’auditeur puisse demander toute preuve nécessaire à la validation d’un des critères » et que la note de F soit attribuée par défaut à toute plateforme ne souhaitant pas dépasser l’audit déclaratif. Il demande que « toute plateforme qui le souhaite (…) puisse librement être auditée et afficher son cyberscore » mais aussi à ce que « les critères soient régulièrement mis à jour en fonction de l’évolution des vulnérabilités constatées par les autorités ».
Le Cyberscore doit être un outil supplémentaire dans la protection des données
Les internautes se préoccupent de plus en plus de leur cybersécurité et c’est pourquoi il est désormais demandé un niveau d’exemplarité élevé à la plupart des sites. Hexatrust estime que le décret ne met pas assez en avant les éléments relatifs à la protection des données dans ses critères. C’est pourquoi il « propose que la bonne mise en place de l’ensemble des critères permettant de jauger de la protection des données, notamment sur le plan du RGPD et sur l’extra-territorialité des droits, devienne nécessaire pour obtenir toute note supérieure à la note minimale de F ». Insister sur ce critère permettrait de valoriser les plateformes européennes (qui ont plus de contraintes réglementaires que leurs concurrents) et de faire en sorte que les plateformes extraterritoriales non conformes au RGPD ne puissent pas obtenir une très bonne notation malgré un très bon niveau de sécurité des données personnelles.