News

Qu’est-ce que le Cyber-Score, l’équivalent web du Nutri-Score ?

By 8 Mins Read

Qu’est-ce que le Cyber-Score, l’équivalent web du Nutri-Score ?


Vous connaissez peut-être le Nutri-Score : ce label est apposé sur de nombreux grades d’emballages alimentaires, la lettre A (vert foncé) représentant le plus riche en nutriments et la lettre E (orange foncé) représentant le moins désirable. Adoptée en 2017 et issue des travaux du Ministère de la Santé Publique, cette échelle de couleurs est désormais omniprésente, permettant une comparaison aisée des produits en fonction de leur qualité nutritionnelle. Parce que ce n’est pas si simple de le faire soi-même en comparant la valeur nutritionnelle au dos du produit, et parce que les applications qui le permettent, comme Yuka, Siga ou Open Food Facts, ne sont pas utilisées par tout le monde. Surtout les jeunes, les premiers produits avec lesquels ils entrent en contact sont trop gras, trop sucrés ou trop salés.

Entre 2020 et 2021, l’Assemblée nationale s’est engagée à adapter le Nutri-Score au monde numérique après que la crise du corona a ramené des millions de Français aux smartphones et aux ordinateurs. Cette fois, l’idée est de protéger les utilisateurs, en particulier les enfants et les adolescents, des sites ou plateformes mal sécurisés qui volent leurs données, même un dimanche lorsque les pirates sont actifs.

Le système Nutri-Score a été adopté en mars 2022 et sera mis en place le 1er octobre 2023. La logique devrait donc être la même que celle du Nutri-Score, cette fois en faisant attention au niveau de sécurité informatique du site web. Selon le parrain de l’outil, le sénateur Laurent Lafont, l’objectif est de « faire comprendre rapidement aux personnes non expertes en matière de sécurité informatique que l’utilisation de tel ou tel outil est plus ou moins risqué ». Cette nouvelle échelle atteindra donc, dans moins d’un an, les 53 millions d’internautes français qui utilisent les services en ligne grand public.

Quels sites sont concernés ?

Tous les sites ne seront pas concernés par ce nouveau logo a priori. Si les contours du Cyber-Score ne sont pas parfaitement définis, la loi qui entrera en vigueur dans un an devrait s’appliquer aux réseaux sociaux, aux grandes plateformes en ligne, à la messagerie instantanée, aux moteurs de recherche et aux services de visioconférence. Sites avec au moins 5 millions de visiteurs uniques par mois. Un moyen de protéger les opérateurs de plateformes « plus petits » et les PME, du moins dans un premier temps.

Évidemment, les entreprises avec des millions de données transitant seront concernées en premier, comme Google, WhatsApp, Zoom, Skype, Bing, Messenger, Facebook, Instagram, LinkedIn, Twitch, Qwant, Tik Tok… -commerce comme Amazon, FNAC / Darty, Boulanger, Vinted et eBay, ainsi que les sites des principaux médias en ligne (Le Monde, Le Parisien, Le Figaro, BFM TV, Libération, Huffington Post, Ouest France…) seront également présentés à cette Remarques sur le site.

A quoi ressemblera Cyber-Score ?

Comme le Nutri-Score, son équivalent numérique doit permettre à chacun d’évaluer en un coup d’œil la sécurité des plateformes qu’il visite. Par conséquent, les sites Web et les réseaux sociaux concernés doivent afficher leurs scores de cybersécurité de manière lisible, claire et compréhensible. Par conséquent, Cyber-Score devrait être basé sur la même vision des couleurs que son modèle nutritionnel : vert foncé pour les sites bien sûrs, jaune pour les sites moyennement sûrs et rouge pour les sites de filtrage.

Concernant le système de cotation Cyber-Score, il est difficile de dire quels critères exacts servent à construire les indices utilisés pour chaque couleur : ils sont encore en cours d’élaboration par le Parlement (Agence nationale de la sécurité des systèmes d’information), avec le concours de la CNIL et de l’ANSSI.

Bien que ce dernier soit susceptible d’être responsable de la certification, il n’est pas sûr à 100 % que le gouvernement ne choisira pas l’auto-évaluation des entreprises et le contrôle post-événementiel, un système plus facile à mettre en œuvre. Le texte modifiant la loi consommation, adopté en mars 2022, prévoit un décret qui listera les plateformes, réseaux sociaux et sites de visioconférence concernés ; et un arrêté qui précisera les critères pris en compte par les audits de sécurité.

Quels sont les risques des mauvais élèves ?

Les sites, services et plateformes en ligne qui perdent de l’argent depuis longtemps peuvent devoir payer des amendes assez élevées. 75 000 euros pour les personnes physiques et 375 000 euros pour les personnes morales.

Sur quels critères le barème sera-t-il basé ?

En attendant l’arrêté ministériel détaillant tout cela, pourrait être établie une liste de critères qui, selon l’ANSSI et la CNIL, sont déterminants pour apprécier la sécurité informatique d’une plateforme en ligne ; et sa capacité à prévenir le piratage, le déni de service ou le vol de données :

  • une architecture matérielle et logicielle respectant le principe de « défense en profondeur », ainsi qu’une infrastructure d’hébergement ; notamment par l’utilisation de pare-feux réseaux et d’outils de détection de vulnérabilités ;
  • Chiffrement des données lors de leur transmission, notamment par l’utilisation des protocoles TLS et HTTPS ;
  • Grâce au HSTS (HTTP Strict Transport Security), le risque d’attaques de type « man-in-the-middle » dues à des accès non sécurisés générés par des utilisateurs ou des attaquants est limité ; le mécanisme de politique de sécurité HTTP proposé permet aux serveurs web d’envoyer des agents utilisateurs ( tels que les navigateurs Web) ) déclare qu’il doit utiliser une connexion sécurisée (telle que HTTPS) pour interagir avec lui ;
  • Protection contre les vulnérabilités XSS (cross-site scripting), y compris l’injection de données dans les pages Web pour récupérer des « secrets » (sessions, contacts, mots de passe, coordonnées bancaires, etc.) politique de sécurité), un mécanisme qui restreint la source du contenu Web à certains les sites autorisés ;
  • Aucune information sensible n’est stockée dans les bases de données et cookies localStorage et sessionStorage (hors ligne) ;
  • Belle segmentation des sessions par différents noms de domaine ;
  • Utiliser des techniques de partitionnement de code JavaScript, y compris le sandboxing ;
  • Restreindre l’accès aux outils et interfaces d’administration au personnel autorisé uniquement ;
  • Vérifiez régulièrement le site Web/service Web pour détecter d’éventuelles anomalies.

A noter que la notation, qui devrait être « mise à jour » tous les 18 mois, ne porte pas seulement sur la sécurité des outils : la localisation des données, autrement dit, où elles sont hébergées, fera également partie du diagnostic de cybersécurité de la plateforme. Mais comme de nombreux sites Web, réseaux sociaux et plateformes en ligne sont américains, il devrait d’abord s’agir d’une norme symbolique, pas d’une vraie. Thomas Kerjean, PDG de Mailinblack, estime : « L’enjeu le plus important ici est d’envoyer un message politique fort, car ce qu’il faut, c’est la constitution d’un cloud souverain ».

Enfin pourquoi Cyber-Score a-t-il été créé ?

Par conséquent, nous réitérons que Cyber-Score a été créé dans le but d’informer les internautes de manière compréhensible sur la sécurité de leurs données, qu’ils soient avertis en informatique ou non. Le sénateur Laurent Lafon a déclaré que c’était un moyen non seulement de répondre aux exigences du RGPD, mais aussi de répondre aux attentes des internautes eux-mêmes, qui « ont besoin d’informations claires et lisibles en la matière ».

Le concept de « web ratings » n’est pas nouveau. Des organismes professionnels tels que BitSight, SecurityScorecard et UpGuard aux États-Unis ou Cyrating en France permettent déjà aux créateurs de plateformes et de services Web de quantifier le niveau de sécurité de leurs sites Web. Ils analysent la robustesse du chiffrement TLS d’un site Web, la réputation de l’adresse IP publique d’une entreprise (via les plaintes pour spam, les listes noires des FAI, etc.), le DNS ou encore la présence de données de l’organisation sur le dark web. Mais ces services sont payants et facultatifs – alors que le RGPD impose l’utilisation de « systèmes d’information suffisamment sécurisés » et que les utilisateurs en sont clairement informés. De plus, les algorithmes utilisés varient selon les agences de notation, il faut donc leur faire confiance en termes de qualité des informations collectées et d’évaluation finale du niveau de cybersécurité.

Au lieu de cela, Cyber-Score sera obligatoire et ses opérations exposeront des détails sans être opaques sur les critères d’analyse. L’idée est donc d’inciter les joueurs à adopter de meilleures pratiques en leur imposant ce système, et de permettre aux internautes de se référer à l’échelle « officielle », sûre, sécurisée et ouverte. De plus, c’est aussi un système gratuit pour les entreprises, qui devrait être un important outil de communication externe pour les entreprises et qui doit être promu.

Si imposer le Cyber-Score aux sites, services et plateformes en ligne pour les inciter à adopter de meilleures pratiques en matière de cybersécurité a de l’importance, c’est surtout parce que ce qu’ils font actuellement laisse parfois envie… en période de cyberattaques fréquentes L’heure est à la hausse et met en danger les données des internautes avec un usage numérique croissant. Selon le Baromètre de la Cybersécurité des Entreprises 2022 publié par le CESIN (Club des Experts de l’Information et de la Sécurité Numérique), 54% des entreprises françaises ont subi au moins une attaque informatique. De son côté, l’ANSSI a qualifié les failles de son « Computer Threat Landscape 2021 » de « faible sécurité des données » et « conduisant à des violations à grande échelle ». Enfin, selon l’Identity Theft Resource Center, les violations de données publiques se sont multipliées depuis 2020, et il n’y a pas que les PME, les banques ou les hôpitaux : elles touchent même les géants du web.

Enfin, une analyse intéressante de Thomas Kerjean, PDG de Mailinblack chez Usbek & Rica : Selon lui, créer…

Related Posts

Write A Comment