La loi introduisant le cyber-score a été adoptée en première lecture à l’Assemblée Nationale le 26 novembre 2021.
Elle est prévue pour entrer en vigueur le 1er octobre 2023. Mais d’ici là, il y a un peu de travail. En effet, le cyber-score sera attribué après qu’un audit ait été réalisé par un prestataire accrédité par l’ANSSI. Il va donc falloir que le protocole de test soit défini et que l’ANSSI sélectionne les prestataires habilité à réaliser ces audits.
Le principe du cyber-score est simple et s’appuie sur une notation visuelle inspirée du nutri-score.
Le cyber-score sera utilisé pour évaluer les plateformes numériques, les services de messagerie et de visioconférence les plus utilisés par les français. Il ne s’appliquera donc pas à tous les services numériques ou sites web. Uniquement à ceux rassemblant le plus grand nombre d’utilisateurs. Du moins dans un premier temps, mais on peut imaginer que les choses évoluent selon le niveau d’acceptation et de popularité du dispositif.
L’objet de l’évaluation réalisée dans le cadre du cyber-score porte sur le niveau de sécurité du service analysé ainsi que sur la localisation des données hébergées.
Ces éléments font notamment écho aux exigences du RGPD. Mais attention, la seule analyse de la localisation des données n’est pas suffisante. Comme nous l’avons constaté avec l’invalidation du Privacy Shield et l’arrêt Schrems II, héberger ses données en Europe mais dans des datacenters de filiales de groupes américains expose également au risque de non conformité. Le cyber-score prendra-t-il en compte ces éléments dans son évaluation ? Il reste encore un peu de temps pour préciser les choses d’ici à octobre 2023 !