Retard à l’allumage pour le cyberscore. Comme relevé par L’Usine digitale, les textes d’application encadrant la mise en place du cyberscore n’ont toujours pas été publiés au Journal officiel. Ce qui est pour le moins gênant, puisque le cyberscore est censé être devenu obligatoire au 1er octobre 2023.
Promulguée en mars 2022, la loi sur le cyberscore vise à proposer, comme pour le nutriscore de l’industrie agroalimentaire, un indicateur coloré permettant d’indiquer le niveau de sécurisation des données allant de A à E. Poussé par le sénateur Laurent Lafon (UDI), ce cyberscore doit être basé sur un audit d’un prestataire qualifié par l’Anssi, permettant aux internautes de connaître le niveau de sécurité de leurs données sur les sites et réseaux sociaux utilisés.
Projets de texte
Une bonne idée, même si ce genre d’initiative a une portée forcément limitée. Et qui n’est visiblement pas si facile à mettre en oeuvre. Il y a bien eu, remarque la Fevad, un syndicat professionnel rassemblant des entreprises du e-commerce, une consultation menée au printemps 2023 par le ministère de l’économie sur la mise en place du cyberscore. Mais depuis, silence radio.
Bercy a bien publié les deux projets de texte (arrêté et décret), qui n’ont toutefois pas été suivis d’une publication en bonne et due forme au Journal officiel. L’administration française était visiblement consciente du retard pris. Le projet d’arrêté prévoit ainsi une entrée en vigueur du cyberscore au 1er janvier 2024.
Jauge à 15 millions de visiteurs uniques
Ce texte signale également que les audits doivent être réalisés par des prestataires d’audit de la sécurité des systèmes d’informations (Passi) qualifiés par l’Anssi. A l’époque, les pouvoirs publics tablaient sur un audit se basant uniquement sur des informations ouvertes, “librement accessibles et de manière non intrusive par le prestataire”.
Ils avaient également fixé à 12 mois la durée de validité du cyberscore.
Quant au projet de décret, il proposait de rendre obligatoire la mise en place d’un cyberscore pour les sites comptant plus de 25 millions de visiteurs uniques depuis le territoire français par mois en 2024, avant d’abaisser cette jauge à 15 millions de visiteurs uniques ensuite.