Consultation sur une certification et un cyberscore des plateformes grand public

La loi du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public crée un « cyberscore » afin que les internautes puissent connaître la sécurisation de leurs données sur les sites et réseaux sociaux qu’ils fréquentent, à l’image du Nutriscore pour les produits alimentaires.

Le projet de décret soumis à consultation publique fixe les seuils permettant de définir les services effectivement visés par l’article premier de la loi du 3 mars 2022. L’arrêté soumis à consultation publique détermine les modalités de réalisation et d’affichage du cyberscore. Cet arrêté précise également le délai d’entrée en vigueur de cette obligation.

Les réponses à la consultation publique seront analysées par des équipes de la Direction générale des Entreprises, de l’agence nationale de la sécurité des systèmes d’informations et la direction générale de la concurrence, de la consommation et de la répression des fraudes.

La définition des règles d’hygiène a guidé l’élaboration du référentiel pour le cyberscore. Les points de contrôle visent à vérifier que les fondamentaux pour la conception et le MCO/MCS de sites Web (HTTPS, authentification, etc.) sont bien mis en œuvre. On peut considérer qu’il s’agit essentiellement de se prémunir contre la menace cybercriminelle de masse, qui diffuse un malware de manière automatique, sans cibler spécifiquement une entité, ni faire appel à des accès prépositionnés. L’alerte CERT-FR sur l’exploitation massive des vulnérabilités VMWare en offre un exemple récent. Si les correctifs sont appliqués et/ou si les accès d’administrateurs sont au moins filtrés, l’attaque automatique n’aboutit pas. En d’autres termes, si l’opérateur applique soigneusement ces bonnes pratiques, le citoyen et ses données sont protégés.

Répondre à la consultation

Pour répondre à la consultation publique, vous pouvez envoyer vos réponses aux six questions ci-dessous avant le 15 avril 2023 à 23h59 par mail à

dpru2.dge[ @ ]finances.gouv.fr

Questions

1. Quelles observations générales ce projet de décret appelle-t-il de votre part ?
2. Les différentes métriques et méthodes de définition des seuils d’applicabilité appellent-elles des observations de votre part ? Le cas échéant, quelles alternatives vous sembleraient plus adaptées ?
3. Les niveaux de seuils proposés vous semblent-ils proportionnés au regard des objectifs poursuivis par la loi ?
4. Quelles observations générales ce projet d’arrêté appelle-t-il de votre part ?
5. Les critères d’audits proposés vous semblent-ils proportionnés au regard des objectifs poursuivis par la loi ?
6. Le cadre d’audit proposé vous semble-il proportionné au regard des objectifs poursuivis par la loi ?

Les réponses seront considérées comme publiques et pourront être mises en ligne sur le site de la Direction générale des Entreprises, à l’exception des éléments dont la confidentialité sera explicitement demandée. Les réponses peuvent utilement être appuyées par des documents ou études complémentaires qui resteront confidentiels.