Le gouvernement a annoncé, début mars, la mise en place d’une certification de cybersécurité des plateformes numériques destinées au grand public. Prévu pour le 1er octobre 2023, le CyberScore a pour objectif d’apporter aux internautes un moyen rapide de connaître la sécurisation de leurs données sur les sites et réseaux sociaux fréquentés. Bertrand Servary, PDG de NetExplorer, décrypte pour Alliancy les opportunités et limites d’un tel dispositif.

Alliancy. Quelle est la mission de NetExplorer ?

Notre mission consiste à sécuriser les fichiers des entreprises pour toutes les opérations de partage documentaire ou de stockage et de collaboration. Nous disposons de la certification ISO 27001 pour la sécurité des données et d’autres autorisations liées au stockage de données de santé, notamment pour les hôpitaux et les établissements français du sang. 

En quoi consiste le Cyberscore et pourquoi est-il faillible selon vous ?

L’idée initiale derrière le CyberScore est d’apporter une notation sur les services en ligne pour refléter leurs efforts en matière de cybersécurité et éventuellement alerter le consommateur de possibles failles. Il permet de déterminer si un acteur est à la hauteur des enjeux de sécurité ou non.

Le premier écueil que nous relevons est le fait de confondre cybersécurité et protection des données personnelles. Si les Gafam ont des pratiques d’utilisation des données peu transparentes, nous ne pouvons en revanche pas leur reprocher de prendre des risques. La probabilité que ces acteurs présentent des failles de sécurité reste faible, étant donné les moyens qu’ils engagent en la matière. 

Tout ce qui relève des questions de confidentialité et de réutilisation des données à des fins publicitaires demeure déjà couvert par le RGPD. De la même manière, toutes les solutions numériques devraient être passées au crible du CyberScore, pas seulement les acteurs clés du secteur.

Imaginez qu’un utilisateur évite un acteur mal noté, mais qui préfère ensuite se tourner vers une autre solution ne faisant pas partie du scoring ? Comme le Nutriscore qui a progressivement été imposé aux producteurs alimentaires, le CyberScore devrait à son tour être généralisé.

Vous dites « C’est déjà le rôle du RGPD », mais il ne s’avère pas en réalité toujours respecté et nous n’avons pas prévu les ressources nécessaires pour vérifier la conformité de toutes les plateformes ?

Oui, il est vrai qu’ajouter un nouveau dispositif alors que les anciens ne sont pas respectés ne va sûrement pas améliorer la situation. Il faudrait déjà s’assurer que cela soit le cas avec le RGPD. Pour ce qui est du CyberScore, les partenaires auditeurs devraient être accrédités par l’Anssi. La réalité est que les audits délivrent une simple image à un instant T et cela affecte la transparence du CyberScore. 

Le législatif a un rôle important, mais tout dépend des objectifs visés. Par exemple, bien plus qu’un CyberScore, je verrais également une règle pour obliger les établissements publics à héberger leurs données chez des fournisseurs européens et français. 

Maintenant, le CyberScore reste une bonne solution pour mettre en avant les enjeux et les limites de certaines plateformes. Je suis encore surpris de voir des personnes tomber des nues lorsqu’ils apprennent que Google utilise nos emails pour du ciblage publicitaire. Mais cela demeure relativement logique si l’on considère que Gmail est un service gratuit. Le CyberScore n’est pas là pour interdire d’utiliser tel ou tel service, mais il a le mérite d’offrir aux utilisateurs un choix en toute connaissance de cause.

Margrethe Vestager a annoncé récemment qu’elle souhaitait faire payer une redevance aux grandes plateformes pour assurer leur propre contrôle, comme l’a fait la BCE auprès des banques… Puisque les audits coûtent cher, est-ce que cette solution vous semble intéressante ?

Faire en sorte que les grandes plateformes paient leurs impôts en Europe permettrait déjà de dégager des fonds. Si nous parvenons à une réelle imposition et un vrai respect du RGPD en France, nous pourrons alors nous assurer que personne ne détourne le CyberScore. Sans cela, nous avons simplement affaire à une surcouche législative, une fois de plus.

À lire aussi : Guerre en Ukraine : quelles conséquences cyber pour les entreprises françaises ?

Multiplier les leviers normatifs ne contribue-t-il pas au manque de cohérence ?

Nous avons toujours l’impression que l’Europe est en mode “action/réaction”, avec des décisions prises à la va-vite, sans harmonie globale. La mise en place d’un label “Cloud de confiance” promettait à ce sujet une réelle maîtrise de nos données mais le projet n’est pas encore abouti à ce jour. Il faudrait harmoniser toutes les mesures existantes.

Lors des discussions sur l’élaboration du CyberScore, j’ai entendu un député faire référence au fait qu’on puisse alerter le consommateur sur des hôpitaux qui auraient été touchés par des ransomware. Mais le CyberScore n’a pas été conçu pour cela.

Il faudrait que ce dispositif vise davantage le conseil aux entreprises sur le choix d’un fournisseur d’hébergement, car trop souvent elles n’ont pas toutes les ressources nécessaires pour vérifier toutes les spécificités juridiques en jeu. Concrètement, cela permettrait de faciliter la vie des petites et moyennes entreprises.

Et encore une fois, il faut différencier dans cette approche la sécurité de la souveraineté et admettre que les Gafam offrent pour l’heure de bonnes offres de cloud en termes de prix et de sécurité. En revanche, beaucoup ne comprennent pas que les services proposés ne sont pas tous sécurisés de la même manière. Je reste toujours surpris d’entendre de la part de professionnels de santé qui viennent nous voir que la certification HDS (Hébergeur de Données de Santé) s’applique à toutes les applications de Google, y compris Google Drive.

Qu’en est-il du besoin de souveraineté ?

Pour l’hébergement, la souveraineté consiste pour une société de droit européen à disposer des data center sur le sol européen. Cette notion de localisation de la donnée n’était pas inclus dans le CyberScore mais elle a été ajoutée – c’est un bon point !

L’Europe est profondément ouverte mais coopère avec des partenaires commerciaux aux systèmes fermés. Nous devons rééquilibrer les pouvoirs, offrir un modèle de libre-échange à condition qu’un minimum de règles soit respecté. Pour faire jeu égal, il faut renforcer notre identité et nos valeurs, sans forcément tomber dans le protectionnisme. 

Le CyberScore a un intérêt positif pour mieux informer mais il faudrait qu’il soit étendu à tous les services qui traitent des données personnelles. C’est une bouteille à la mer pour l’instant mais nous verrons ce qu’il en est au moment de sa mise en place, prévue autour d’octobre 2023.