Vous connaissez sans doute le Nutri-Score : ce logo apposé sur de nombreux emballages alimentaires note les produits de la lettre A (vert foncé), pour les plus favorables nutritionnellement, à la lettre E (orange foncé) pour les moins favorables. Adopté en 2017, sur la base de travaux de Santé publique France, ce barème coloré est aujourd’hui partout, et permet de comparer facilement des produits en fonction de leur qualité nutritionnelle. Parce que le faire soi-même en comparant les valeurs nutritionnelles étiquetées au dos des produits n’est pas si simple, et parce que les applis qui le permettent, comme Yuka, Siga ou Open Food Facts, ne sont pas non plus utilisées par tous. En particulier par les jeunes, premiers exposés aux produits trop gras, trop sucrés ou trop salés.
Entre 2020 et 2021, suite à la crise du Covid qui a renvoyé des millions de Français sur leurs smartphones et ordinateurs, l’Assemblée nationale a planché sur une adaptation du Nutri-Score au monde numérique. Avec l’idée, cette fois, de protéger les utilisateurs, les enfants et les ados en particulier, des sites web mal sécurisés, ou des plateformes qui en veulent à leurs données, dans une période où les hackers sont sur les dents, même ceux du dimanche.
Adopté en mars 2022, le dispositif du Nutri-Score sera mis en place le 1er octobre 2023. La logique devrait donc être la même que celle du Nutri-Score, en notant cette fois-ci le niveau de sécurité informatique des sites Web. Objectif, selon le sénateur Laurent Lafont, initiateur de cet outil : « permettre rapidement à quelqu’un, pas spécialiste des questions de sécurité informatique, de comprendre s’il est plus ou moins risqué d’utiliser tel outil ou tel autre ». Ce nouveau barème concernera ainsi, dans moins d’un an, les 53 millions d’internautes français qui consomment des services en ligne grand public.
Quels sites seront concernés ?
Tous les sites web ne seront pas concernés par ce nouveau logo, a priori. Si les contours du Cyber-Score ne sont pas encore totalement définis, la loi qui entrera en vigueur dans un an devrait s’appliquer aux réseaux sociaux, aux grandes plateformes en ligne, aux messageries instantanées, aux moteurs de recherche et aux services de visioconférence ; des sites accueillant au moins 5 millions de visiteurs uniques par mois. Une façon d’épargner les « petits » opérateurs de plateformes, et les PME, en tout cas au départ.
En clair, seront d’abord concernées des entreprises sur lesquelles transitent des millions de données, comme Google, WhatsApp, Zoom, Skype, Bing, Messenger, Facebook, Instagram, LinkedIn, Twitch, Qwant, Tik Tok… Les services de e-commerce comme Amazon, FNAC / Darty, Boulanger, Vinted et eBay, ainsi que les sites des principaux médias en ligne (Le Monde, Le Parisien, Le Figaro, BFM TV, Libération, Huffington Post, Ouest France…) seront aussi soumis à cette note virtuelle.
A quoi ressemblera le Cyber-Score ?
Comme le Nutri-Score, son équivalent numérique devra permettre à tout un chacun d’évaluer, en un coup d’oeil, la sécurité de la plateforme visitée. Les sites web et réseaux sociaux concernés devront donc afficher, de manière lisible, claire et compréhensible, leur score en matière de cybersécurité. Le Cyber-Score devrait donc se baser sur le même visuel coloré que son modèle nutritionnel : vert foncé pour un site bien sécurisé, jaune pour un site moyennement sécurisé, rouge pour un site – passoire.
Concernant le système de notation du Cyber-Score, difficile de dire quels seront les critères précis qui permettront de construire l’indice utilisé pour chaque couleur : ceux-ci sont encore en cours d’élaboration au Parlement, avec le concours de la CNIL et de l’ANSSI (Agence nationale de la sécurité des systèmes d’information).
Bien que cette dernière sera très probablement chargée de la certification, il n’est pas non plus sûr à 100 % que le gouvernement ne choisira pas une auto-évaluation par les entreprises, avec un contrôle a posteriori ; un système plus facile à mettre en œuvre.
Le texte adopté en mars 2022, qui modifie le code de la consommation, prévoit un décret qui listera les plateformes, réseaux sociaux et sites de visioconférence concernés ; et un arrêté précisera les critères pris en compte par l’audit de sécurité.
Que risqueront les mauvais élèves ?
Les sites, services et plateformes en ligne qui resteront trop longtemps dans le rouge risquent de devoir régler une amende assez salée. Elle a été fixée à 75 000 euros pour une personne physique, et à 375 000 euros pour une personne morale.
Sur quels critères se basera le barème ?
En attendant l’arrêté ministériel qui précisera tout cela, il est toutefois possible de dresser la liste de quelques critères qui sont, selon l’ANSSI et la CNIL, déterminants pour évaluer la sécurité informatique d’une plateforme en ligne ; et sa capacité à empêcher une action de piratage, de déni de service ou de vol de données :
- Une architecture matérielle et logicielle, et une infrastructure d’hébergement, qui respectent le principe de « défense en profondeur » ; notamment via l’utilisation d’un pare-feu web et d’outils de détection des vulnérabilités ;
- Le chiffrement des données lors de leurs transports ; notamment en utilisant les protocoles TLS et HTTPS ;
- La limitation des risques d’attaque de type « Man-In-The-Middle » dus à des accès non sécurisés générés par les utilisateurs ou par un attaquant, grâce au HSTS (HTTP Strict Transport Security) ; un mécanisme de politique de sécurité proposé pour HTTP, permettant à un serveur web de déclarer à un agent utilisateur (comme un navigateur web) qu’il doit interagir avec lui en utilisant une connexion sécurisée (comme HTTPS) ;
- La protection contre les vulnérabilités XSS (Cross-Site Scripting), qui consistent en l’injection de données dans une page web pour récupérer des « secrets » émis ou reçus par les utilisateurs (sessions, coordonnées, mots de passe, informations bancaires, etc.), ou pour effectuer des actions en leur nom ; notamment en utilisant une CSP (Content Security Policy), un mécanisme qui permet de restreindre l’origine du contenu dans une page web à certains sites autorisés ;
- L’absence de stockage d’informations sensibles dans les bases de données (hors ligne) localStorage et sessionStorage, ainsi que dans les cookies ;
- Un bon cloisonnement des sessions au moyen de noms de domaine distincts ;
- L’utilisation de techniques de cloisonnement de code JavaScript, notamment des sandbox ;
- Une limitation d’accès aux outils et interfaces d’administration aux seules personnes habilitées ;
- La vérification régulière du site / service web, afin de déceler toute anomalie éventuelle.
A noter que la notation, qui devrait être « mise à jour » tous les 18 mois, ne concernera pas seulement la sécurité de l’outil : la localisation des données, autrement dit, l’endroit où elles sont hébergées, fera aussi partie du diagnostic de cybersécurité des plateformes. Mais puisque de nombreux sites, réseaux sociaux et plateformes en ligne sont américains, il devrait surtout s’agir d’un critère symbolique, plus que d’un vrai critère. « Il s’agit surtout ici d’envoyer un message politique fort, sur le fait que ce qu’il faudrait, c’est parvenir à la constitution d’un cloud souverain », estime Thomas Kerjean, CEO de Mailinblack.
Pourquoi créer un Cyber-Score, finalement ?
La création d’un Cyber-Score est donc, répétons-le, destinée à informer les internautes sur le niveau de sécurité de leurs données, de manière compréhensible ; qu’ils s’y connaissent ou non en informatique. Non seulement il s’agit d’une façon de répondre aux exigences du RGPD, mais aussi de répondre aux attentes des internautes eux-mêmes, qui « ont besoin d’une information claire et lisible » en la matière, selon le sénateur Laurent Lafon.
Le concept de « cyber-rating » n’est pas nouveau. Des agences spécialisées, comme les américains BitSight, SecurityScorecard et UpGuard, ou le français Cyrating, permettent déjà aux créateurs de plateformes et de services web de quantifier le niveau de sécurisation de leurs sites. Ils analysent la robustesse du chiffrement TLS du site web, la réputation des adresses IP publiques de l’entreprise (à travers les plaintes pour spam, les listes noires de FAI…), les DNS, ou encore la présence de données de l’organisation sur le dark web. Mais ces services sont payants, et facultatifs – alors que le RGPD impose d’utiliser des « systèmes d’information suffisamment sécurisés », et d’informer clairement les utilisateurs. En outre, les algorithmes utilisés sont différents selon les organismes de notation, et il faut donc leur faire confiance quant à la qualité des informations collectées, et donc de l’évaluation finale du niveau de cybersécurité réalisée.
A l’inverse, Cyber-Score sera obligatoire, et son fonctionnement sera détaillé publiquement, sans opacité sur les critères analysés. Ainsi, l’idée est d’inciter les acteurs à adopter de meilleures pratiques en leur imposant ce dispositif, et de permettre aux internautes de se référer à un barème « officiel », sûr, fiable et public. En outre, pour les entreprises, il s’agit aussi d’un système gratuit, qui devrait constituer pour elles un outil de communication externe non négligeable, à mettre en avant.
S’il est important d’imposer le Cyber-Score aux sites, services et plateformes en ligne afin de les inciter à adopter de meilleures pratiques en matière de cybersécurité, c’est avant tout parce que ce qu’elles font actuellement laisse parfois à désirer… Dans une période où les cyberattaques sont en recrudescence, et mettent en péril les données d’internautes aux usages numériques de plus en plus nombreux. Selon le baromètre 2022 sur la cybersécurité des entreprises du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), ce sont 54 % des entreprises françaises qui ont subi au moins une attaque informatique. De son côté, l’ANSSI décrit dans son « panorama de la menace informatique en 2021 », une « faible sécurisation des données » et des failles qui « entraînent des leaks massifs ». Enfin, selon l’Identity Theft Resource Center, les violations de données rendues publiques se multiplient depuis 2020, et ne concernent pas que les PME, les banques ou les hôpitaux : elles touchent même les géants du Web.
Enfin, l’analyse de Thomas Kerjean, CEO de Mailinblack dans Usbek & Rica, est intéressante : selon lui, la création d’un indice comme le Cyber-Score devrait aussi permettre de « poser un premier jalon dans la démocratisation » de la cybersécurité, et faire émerger « une prise de conscience collective » de « l’impact cognitif » des GAFAM sur nos esprits : « comme pour le Nutri-score ou l’application mobile Yuka dans l’alimentaire, le but est de faire prendre conscience à un maximum de gens des conséquences liées à un comportement de consommation, de les aider à identifier ce qui peut être nocif (ou non) en matière de numérique. Avec ce score, les utilisateurs finaux des plateformes auront une idée plus juste de la quantité de données qu’ils donnent, et de la façon dont celles-ci sont utilisées. »
Le Cyber-Score pourrait, en particulier, alerter les parents « qui constatent déjà les effets délétères de certaines plateformes » sur leurs enfants. » Il faut en faire un vrai indicateur du quotidien, pour qu’un parent qui voit son enfant sur un site présentant un score rouge se dise ‘je dois faire quelque chose' », estime Thomas Kerjean, pour qui YouTube et Facebook devraient apparaître en rouge écarlate, et Amazon en jaune.
Reste, enfin, un questionnement, et non des moindres : ce barème coloré ne risque-t-il pas, finalement, d’inciter les hackers à cibler les entreprises avec une faible note ?
Comment vérifier la sécurité d’un site web sans le Cyber-Score ?
D’ici à octobre 2023, sachez qu’il existe quelques méthodes simples pour vérifier la sécurité d’un site web. En voici quelques unes :
- Vérifier que le protocole HTTPS est utilisé : dans l’URL, sur la barre de navigation, il ne doit pas manquer le « S » à la fin ;
- Copier-coller l’adresse URL dans les vérificateurs de sécurité Google Safe-Browsing, PhishTank (spécialisé dans la lutte contre le phishing) et Norton SafeWeb (site et add-on de navigateur qui évalue notamment la sécurité des sites web) ;
- Vous assurer que le service que vous souhaitez utiliser ne figure pas dans la liste de ceux qui ont été piratés ou qui ont fait l’objet de fuites de données, notamment suite à des vulnérabilités problématiques ; une liste que l’on peut consulter sur le site « Have I been pwned ». (Psst : Facebook, Twitter, Snapchat et LinkedIn sont dans cette liste ; ou encore Canva et Bitly).