Un cyberscore pour les sites de +25 millions d'utilisateurs mensuels

Le cyberscore se construit sur le même modèle que le nutriscore avec une notation allant de A à F et un code couleur allant du vert au rouge.

Il vise à noté la sécurité d'un site internet. A = très sécurisé à E = Pas sécurisé.

Le 3 mars 2022 a été votée la loi n°2022-309 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinées au grand public.

Cette loi modifie le code de la consommation en y ajoutant une obligation en matière de cybersécurité.

Ce texte concerne les grandes plateformes numériques, les messageries instantanées et les sites de visioconférences les plus utilisés.

Le cyberscore devra résulter d’un audit de cybersécurité réalisé par une entreprise qualifiée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

L’évaluation portera sur la sécurisation des données hébergées, directement ou par l’intermédiaire d’un tiers ainsi que sur la sécurité des plateformes concernées.

Une consultation a été menée par la Direction Générale des Entreprises pour permettre d’établir les indicateurs qui seront pris en compte dans l’évaluation de la cybersécurité des plateformes.

La FEVAD (Fédération du e-commerce et de la vente à distance) a contribué à cette consultation qui a pris fin le 15 avril 2023.

Elle énonce les critères d’évaluation qui sont aujourd’hui envisagés : l’organisation et la gouvernance, la protection des données, le niveau d’externalisation, la sensibilisation aux risques cyber et à la lutte anti-fraude.

D’après les discussions, l’audit aurait une durée de validité de 12 mois avec un cyberscore qui devra être affiché dans les 3 mois après la désignation.

La date d’entrée en application sera très probablement repoussée au 1er janvier 2024, afin de laisser le temps nécessaire à sa mise en place effective.

Les enjeux autour de ce texte étant nombreux : définition du périmètre d’application, des seuils, des critères et des indicateurs de notation.

Le décret projette de se baser sur le critère de fréquentation des sites et prévoit de fixer le seuil à 25 millions de visiteurs par mois en France pour l’année 2024.

Ce seuil sera ensuite revu à la baisse en 2025 pour atteindre les 15 millions de visiteurs par mois et toucher plus d’acteurs.

L’état présage donc surement d’étendre ce dispositif à plus grande échelle à l’avenir.

Il faudra néanmoins attendre la publication de l’arrêté ministériel qui déterminera officiellement les seuils au-delà desquels les acteurs économiques seront concernés par ce dispositif.

Les cyberattaques se font de plus en plus nombreuses, et certains CMS comme Wordpress sont la cible privilégié des hackers.

Les sites conçus via des CMS sont souvent les premières victimes de cyberattaque pour une raison très simple, ce sont les plus répandus et ils présentent de nombreuses failles de sécurités connus des hackers.

Les failles de sécurités résident principalement dans les plug-ins qui permettent d’ajouter des fonctionnalités aux sites.

Une vigilance permanente est donc de mise lorsque votre site internet a été construit à l’aide d’un CMS, notamment en matière de mise à jour de vos plug-ins.

Si vous ne souhaitez pas vous exposer aux failles de sécurité des CMS, vous pouvez opter pour une solution de développement beaucoup plus sécurisé.

Symfony est le framework le plus sécurisé du marché. Cette technologie intègre plusieurs mécanismes de sécurité permettant de se prémunir des cyberattaques les plus fréquentes (injection SQL, XSS et DDoS).

Les gestion des formulaires est très sécurisée et Symfony possède un système de contrôle d’accès robuste qui permet de gérer les autorisations et les rôles des utilisateurs de manière granulaire.

Avoir un hébergement sécurisé est primordiale pour la sûreté de vos données.

Il existe plusieurs solutions d’hébergement : hébergement serveur dédié, serveurs virtuels privés (VPS), hébergement dans le cloud…

Le cyberscore prévoit de prendre également en compte la localisation des données stockées. En effet, la localisation des serveurs sera déterminante pour le régime juridique applicable.

Il faudra donc comprendre que le stockage des données sur des serveurs situées au sein de l’Union Européenne sera probablement considéré comme plus sécurisé car relevant du règlement général sur la protection des données (RGPD).

➔ La mise en place du cyberscore vise à fournir aux consommateurs des informations sur la sécurité informatique des solutions numériques qu’ils utilisent.

➔ Le cyberscore a été voté le 1er mars 2023 et il sera mis en œuvre à partir du 1er octobre 2023 (avec un décalage envisagé au 1er janvier 2024).

➔ Il ne concernera que les grandes plateformes numériques : 25 millions de visiteurs par mois en 2024 puis 15 millions de visiteurs par mois en 2025.

➔Le cyberscore sera valable 12 mois et devra résulter d’un audit de cybersécurité mené par un prestataire qualifiée par l’ANSSI.

➔Le délai d’affichage sera de 3 mois après désignation de la plateforme.

L’explosion des cyberattaques et les dispositions prises par l’état en matière de cybersécurité appuient davantage l’importance de posséder un site internet sécurisé.

Si vous voulez vous prémunir des cyberattaques il faudra opter pour une solution web sûre et performante.

C’est le cas du framework symfony. Il présente aujourd’hui tous les atouts pour la création d’un site professionnel sécurisé, performant et adaptatif.

Si vous avez un projet de création de site web ou de refonte, vous pouvez faire appel à notre agence web symfony.

Contactez-nous et parlez-nous de votre projet !

Sources : 
-Mise en place d’un cyberscore pour les grandes plateformes [fevad.com]
- Cyberscore : de quoi parle-t-on ?  [fevad.com]
-LOI n° 2022-309 du 3 mars 2022 pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public (1)[legifrance.gouv.fr]
-Proposition de loi pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public [senat.fr]