Les utilisateurs voient leur protection renforcée, sous l’impulsion de l’Union européenne. L’idée est de rendre le Web plus responsable, mais certains états comme la France ne sont pas en reste en instaurant de nouvelles mesures comme avec la loi cyberscore.
Présentation de la loi cyberscore
Le piratage est une menace constante sur les utilisateurs. Conscient des enjeux de la sécurité informatique, la loi cyberscore va entrer en vigueur à la date du 1er octobre 2023. Vous avez probablement entendu parler du Nutri-Score, permettant d’évaluer la qualité des produits alimentaires. La nouvelle loi informatique se base sur le même principe, mais en s’attardant sur la sécurisation des réseaux sociaux et des sites Internet. La nouvelle réforme est alors perçue comme une certification de cybersécurité.
La loi cyberscore prévoit d’informer les internautes sur la sécurité globale d’un site Internet en cours de visite. Une nécessité pour le gouvernement devant l’augmentation constante du vol de données personnelles et des tentatives d’hameçonnage. Pour preuve, les différents exploits des pirates informatiques au cours de ces dernières années. En 2021, un hacker réussit à pirater le célèbre réseau social LinkedIn pour publier les données de 700 millions d’utilisateurs. L’année suivante, un autre pirate informatique dérobe 476 millions de numéros de téléphone en provenance de l’application WhatsApp.
Face à ce constat, l’État français a décidé de réagir en instaurant un bouclier numérique se composant d’un ensemble de mesures dans le but de protéger les internautes.
Une obligation légale à respecter
Le cyberscore n’est plus une option, mais bel et bien une obligation légale. Sans être un spécialiste, l’internaute dispose de toutes les informations pour s’assurer de la fiabilité d’un site Internet. Cela concerne à la fois le niveau de sécurité global du site en question, mais également sur la protection des données personnelles. À cet effet, il est impératif que la plateforme communique sur la façon dont les données informatiques sont collectées et stockées. En quelque sorte, c’est un complément des différentes obligations relatives aux RGPD.
C’est une transformation digitale qui bouleverse le paysage du Web. L’inspiration du Nutri-Score est palpable avec une identification immédiate grâce à un visuel coloré et la présence d’une note variant de A à E. A correspond à la note maximale et signifie que le site Internet est correctement sécurisé. À l’inverse, une plateforme avec la lettre E est alors perçue comme une passoire. Les codes couleur sont également les mêmes que pour le Nutri-Score, du vert au rouge. Face à cette nouvelle mesure, les sites Internet sont dans l’obligation d’afficher leur cyberscore.
Tout commence par la réalisation d’un audit de sécurité avec une validité de 18 mois. Lorsque le délai arrive à son terme, un nouvel audit devra être réalisé afin d’actualiser les informations. Pour éviter d’être en défaut vis-à-vis de la législation, Weodeo accompagne les professionnels dans la transformation digitale. Il s’agit de prendre en considération les nouvelles mesures législatives pour que les entreprises puissent afficher le cyberscore, sans la moindre difficulté.
Quels sont les sites concernés par la loi cyberscore ?
Pour de nombreux propriétaires de sites Internet, la mesure apparaît comme contraignante. Cependant, elle n’est pas obligatoire et tout dépend d’un ensemble de paramètres. De ce fait, si vous accueillez moins de 5 millions de visiteurs uniques par mois, vous n’êtes pas dans l’obligation d’afficher le cyberscore. Cependant, de nombreux acteurs sont concernés, à commencer par les moteurs de recherche comme Google. Même cas de figure pour les réseaux sociaux avec en tête de liste Facebook, YouTube, LinkedIn, Twitter ou encore Instagram.
Dans la même lignée, vous retrouvez les plus grands sites du commerce en ligne
comme Amazon, Vinted, LeBonCoin, la Fnac et Darty. Sans oublier les principaux médias en ligne ainsi que les systèmes de vidéo comme Skype ou Zoom. Étant donné le contexte, les TPE et les PME sont pour le moment épargnées. Néanmoins, le dispositif pourrait être étendu par la suite en fonction des résultats obtenus. Pour éviter toute confusion, un décret sera mis en place afin de déterminer les sites Internet, les plateformes et les réseaux sociaux concernés.
Quels sont les critères utilisés pour définir le cyberscore ?
Comme expliqué brièvement dans les paragraphes précédents, l’entreprise devra instaurer un audit de sécurité. Pour autant, impossible de réaliser l’opération en interne, mais il faudra impérativement s’orienter vers des prestataires certifiés par l’ANSSI. L’analyse s’attarde essentiellement sur la manière dont les données sont sécurisées et hébergées. Des précisions complémentaires seront apportées par un arrêt ministériel, même si les critères retenus par la CNIL et l’ANSSI ont déjà été dévoilés.
Tout d’abord, la qualité de l’infrastructure sera passée au crible, aussi bien sur le plan logiciel que matériel. Ensuite, l’analyse porte sur la fiabilité des outils de détection des vulnérabilités et le pare-feu. Sans oublier le chiffrement des données lorsqu’elles sont utilisées à travers les protocoles HTTPS et TLS. Puis l’audit porte sur la protection globale contre les attaques Cross-Site-Scripting se basant sur l’injection d’un code depuis la page Internet d’un site Web en vue de récupérer des données sensibles concernant les utilisateurs. Cela peut viser des informations sur la donnée de session, sur un mot de passe ou sur les coordonnées.
Pour limiter les risques de piratage, il est primordial que le site Internet ne stocke aucune donnée sensible dans les fameux fichiers cookies, mais d’une manière plus globale en évitant le stockage local. Pour le moment, difficile d’évaluer l’efficacité de la mesure ayant pour objectif d’informer le grand public. Mais c’est un premier pas en avant pour renforcer la sécurité des sites Web pour limiter le piratage informatique.
Les réseaux, les plateformes et les sites concernés sont prévenus. La loi cyberscore prévoit des sanctions particulièrement lourdes en cas de manquement. À partir du moment où l’affichage du cyberscore n’est pas présent sur le site Internet en question, la Direction générale de la concurrence, de la consommation et de la répression des fraudes peut ordonner une amende pouvant atteindre 375 000 €.
Comment réagir face à la loi cyberscore en tant que professionnel ?
Actuellement, vous n’êtes peut-être pas encore concerné par le cyberscore. Cependant, il est tout de même primordial d’intégrer la notion de sécurité informatique au sein de votre entreprise. Chaque jour, de nombreuses menaces planent sur les infrastructures pouvant engendrer le vol ou la perte de données sensibles. Le premier garde-fou consiste à former correctement vos salariés.
Dans ce sens, Weodeo propose une formation à la cybersécurité. Elle présente l’avantage d’être disponible en ligne et directement depuis le lieu de travail. Kaspersky est un partenaire spécialisé dans la sécurité informatique et la formation a été pensée pour que chaque collaborateur puisse mieux saisir les enjeux et reconnaître une menace potentielle. De plus, le parcours ne dure que 10 à 20 minutes chaque semaine.
Si vous avez besoin d’un audit informatique complet sur votre infrastructure ou sur les solutions les plus efficientes par rapport à votre besoin, prenez tout de suite contact avec Weodeo. Vous trouverez un spécialiste de l’infogérance capable de vous accompagner avec des solutions concrètes. Tous les aspects du projet seront bien évidemment pris en considération dans le domaine de la maintenance, de la cybersécurité, des services hébergés et du cloud.
