BLOG | Le Cyber-score, la nouvelle mesure de la politique RSE
26/10/2023
Le nutri-score et l'éco-score sont des systèmes de notation bien connus qui jouent un rôle essentiel dans notre vie quotidienne en nous encourageant à adopter une attitude plus responsable et à améliorer nos habitudes de consommation. Ces systèmes nous aident à prendre des décisions éclairées sur les produits que nous achetons, que ce soit en termes de qualité nutritionnelle ou d'impact environnemental. Depuis le 1er octobre 2023, un nouvel acteur entre en scène, le Cyber-score.
Cette nouvelle réglementation oblige désormais les plateformes en ligne destinées au grand public à réaliser un audit de cybersécurité et à présenter les résultats sous la forme d'un visuel désormais familier dans le but d'informer les consommateurs.
L'enjeu est considérable, les entreprises doivent aujourd'hui, non seulement se conformer aux normes RSE, mais aussi garantir que leur sécurité numérique est à la hauteur des défis actuels. Au lieu de traiter ces deux concepts séparément, il est préférable de les faire converger afin de développer une approche efficace de la RSE.
La convergence entre la cybersécurité et la RSE : une synergique commune.
Avant toute chose, rappelons ce qui se cache derrière la notion de RSE.
Ce concept encourage les entreprises à prendre en compte les impacts sociaux, environnementaux et économiques de leurs activités. Cela signifie qu’une entreprise doit, au-delà des bénéfices, se concentrer sur la contribution positive qu'elle peut apporter à l’environnement ainsi qu’à la protection des personnes.
À première vue, il est difficile de discerner une quelconque convergence entre la notion de cybersécurité et la RSE. Ces éléments semblent même contradictoires, avec d’un côté les pirates et les attaques, et de l’autre, l'innovation, l'environnement et l'égalité pour une organisation plus responsable. Malgré cette apparente opposition, il existe des synergies communes entre la cybersécurité et la RSE.
Pour étayer nos arguments, examinons quelques domaines qui démontrent les relations entre la RSE et la cybersécurité :
Il est important de noter que les synergies communes présentées ci-dessus constituent les trois piliers de la RSE à savoir : le pilier environnemental, le pilier économique et le pilier sociétal.
L’objectif est de rendre compréhensible et accessible une mesure, le cyber-score afin de promouvoir des choix vertueux.
Une opportunité pour s’engager durablement dans le respect des piliers RSE : le cyber score aussi appelé Loi Lafon
Les sections d’audits du cyber-score.
La loi du 3 mars 2022 prévoit la mise en place d'une certification de cybersécurité des plateformes numériques destinées au grand public. Le cyber score devient une obligation à partir du 1er octobre 2023, toutefois le projet d’arrêté Ministériel prévoit un report au 1er janvier 2024. Similaire au nutri-score ou à l'étiquette énergétique, le cyber score a deux grands objectifs : informer sur le niveau de sécurité et encourager les consommateurs à choisir des fournisseurs et partenaires "responsables". Même si les startups et les PME ne sont pas encore concernées, il est dans l'intérêt de leurs clients de commencer dès maintenant à mettre en place le cyber-score
Les opérateurs concernés par le champ d’application du cyber-score
Bien que les contours du champ d'application de la loi Lafon ne soient pas encore clairement définis, cette obligation légale s'impose déjà à deux catégories d'opérateurs :
- Les opérateurs de plateformes en ligne au sens de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique. Selon l’article L. 111-7 , il s’agit de toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ou la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service (moteurs de recherche, réseaux sociaux, etc.)
> Cela implique notamment les géants du web tels que Amazon, Google, Facebook, ou encore YouTube.
- Les fournisseurs de service de communication au public en ligne au sens de l’article L. 32 du code des postes et des communications électroniques. Il s’agit d’entreprises qui fournissent les services permettant à leurs utilisateurs d’échanger des correspondances et sont soumis, à ce titre, au respect du secret de celles-ci.
> Cela implique les services de visioconférence (de type Zoom) et les messageries (de type WhatsApp).
Les seuils de visiteurs des entreprises concernées fixés par le projet de décret
- 2024 : 25 millions de visiteurs uniques par mois en France
- 2025 : 15 millions de visiteurs uniques par mois en France
Les critères imposant l’obligation de l’obtention d’une certification de cybersécurité fixés par le projet d’arrêté
- Les audits doivent être réalisés par des prestataires d’audit de la sécurité des systèmes d’informations (PASSI) qualifiés par l’ANSSI
- La notation s’étend de A+ (meilleurs résultats) à F+ (note la plus faible)
Les critères de notation portent sur 9 catégories :
- Organisation et gouvernance,
- Protection des données,
- Connaissance et maîtrise du service numérique,
- Niveau d’externalisation,
- Niveau d’exposition sur internet,
- Dispositif de traitement des incidents de sécurité,
- Audits du service numérique étudié,
- Sensibilisation aux risques cyber et lutte anti-fraude,
- Développement sécurisé.
Le projet d’arrêté fixe la durée de validité d’un cyber score
La durée de certification est de 12 mois et devra être renouvelée dans un délai de 3 mois suivant l’expiration du précédent audit, sous réserve que la plateforme demeure en situation de se conformer à l’obligation d’apposition d’un cyber score.
Les sanctions financières en cas de manquement
Les entreprises qui ne respecteraient pas la loi se verront attribuer une amende administrative de 75 000 € jusqu’à 375 000 € prononcées par la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF).
L’usage d'outils de scoring tels que le cyber score pour quantifier les risques cyber d’une plateforme grand public constitue un avantage précieux pour promouvoir une transformation numérique durable. De ce fait, la cybersécurité devient un atout majeur dont on ne peut plus se passer.
Soutenir une transformation numérique durable : la cybersécurité au cœur de la RSE
Les entreprises sont constamment en train de se réinventer afin de réduire leurs coûts de fonctionnement et ainsi favoriser leur croissance. Elles sont poussées à repenser leur organisation et leurs processus pour un futur plus simple, plus efficace et plus durable.
De nos jours, de plus en plus d'entreprises adoptent l'utilisation d'objets connectés leur permettant un gain de productivité et une meilleure gestion des chaînes de production. La France ne fait pas exception à la règle. En janvier 2022 une étude de l’Ademe et l’Arcep évalue le nombre d’objets connectés à 244 millions en France. L’adoption est cependant loin d’être totale en France. A titre de comparaison à l’échelle mondiale, on ne dénombre pas moins de 13 milliards d’appareils connectés. Cette tendance est en constante augmentation et elle est loin d'être terminée. Les experts estiment que ce chiffre atteindra 25,4 milliards d’ici 2030 avec l’essor de l’intelligence artificielle et des nouveaux réseaux ultra connectés 5G.
Le monde de l’informatique et ses objets connectés ont pris leur envol, mais qu’en est-il du monde industriel, le monde des machines ? Nous parlons OT (Technologie opérationnelle), il s’agit de tout élément qui se rapporte aux composants matériels et aux briques logicielles, qui contrôlent les équipements.
Ces machines ont un impact énorme. Une meilleure maîtrise de leur production permettrait de réduire les coûts, l’impact carbone et de diminuer les pénibilités causées par le travail. Nous ne sommes qu’au début d’une optimisation industrielle. Le boum de ces technologies combinées avec de nouvelles méthodes de travail laisse augurer qu’une révolution est en marche.
Selon l'étude de Gartner dévoilées lors de son symposium IT/Xpo 2022, l'innovation, la mise à l'échelle, l'optimisation et la durabilité sont les principaux thèmes sur lesquels les entreprises se concentrent en 2023.
Que se cache-t-il derrière ces thèmes :
- La mise à l’échelle
Ces tendances technologiques augmentent le rythme de distribution des services/produits et ce de manière ultra connectée. Le cloud est au centre de ce thème avec ses services : SaaS, PaaS et IaaS avec la recherche d’un monde plus souverain.
- L’innovation
Elle est au cœur de l’évolution commerciale stratégique et relationnelle visant à exploiter les nouveaux marchés virtuels : l’IA adaptative, le métaverse, les super-applications.
X (anciennement Twitter) ne serait-t-il pas la future super-application de demain annoncée par Elon Musk… ?
- L’optimisation
Elle permet d’assurer une plus grande fiabilité pour la prise de décision grâce à une capacité d’observation.
- Les technologies durables
- Il s’agit d’un ensemble d’outils permettant la traçabilité, l'analytique, les logiciels de gestion des émissions et l'IA permettant de créer une plus grande résilience opérationnelle.
Sur le papier, tout semble rose, cependant, il est crucial de ne pas négliger les risques liés à l'utilisation de concepts encore mal maîtrisés et de plus en plus connectés. Cela augmente considérablement la surface d'attaque. Par conséquent, il est essentiel de prendre en compte l'impact de ce type d'attaques, comme le démontrent les exemples suivants. Aussi, il ne faut pas se laisser aveugler par un optimisme excessif.
La liste des cyberattaques ci-dessus est loin d’être exhaustive. Le réseau national de mutualisation informatique et numérique du secteur public Déclic a cartographié toutes les cyberattaques ayant touché des collectivités et établissements publics depuis 2019 en France.
Ces recherches sont basées sur différentes déclarations trouvées sur internet (OSINT)