BLOG | Le Cyber-score, la nouvelle mesure de la politique RSE 

26/10/2023

Par Adrien Agnel

Le nutri-score et l'éco-score sont des systèmes de notation bien connus qui jouent un rôle essentiel dans notre vie quotidienne en nous encourageant à adopter une attitude plus responsable et à améliorer nos habitudes de consommation. Ces systèmes nous aident à prendre des décisions éclairées sur les produits que nous achetons, que ce soit en termes de qualité nutritionnelle ou d'impact environnemental. Depuis le 1er octobre 2023, un nouvel acteur entre en scène, le Cyber-score. 

Cette nouvelle réglementation oblige désormais les plateformes en ligne destinées au grand public à réaliser un audit de cybersécurité et à présenter les résultats sous la forme d'un visuel désormais familier dans le but d'informer les consommateurs. 

L'enjeu est considérable, les entreprises doivent aujourd'hui, non seulement se conformer aux normes RSE, mais aussi garantir que leur sécurité numérique est à la hauteur des défis actuels. Au lieu de traiter ces deux concepts séparément, il est préférable de les faire converger afin de développer une approche efficace de la RSE. 

Une image contenant capture d’écran, texte, Police, logoDescription générée automatiquement

La convergence entre la cybersécurité et la RSE : une synergique commune. 

Avant toute chose, rappelons ce qui se cache derrière la notion de RSE

Ce concept encourage les entreprises à prendre en compte les impacts sociaux, environnementaux et économiques de leurs activités. Cela signifie qu’une entreprise doit, au-delà des bénéfices, se concentrer sur la contribution positive qu'elle peut apporter à l’environnement ainsi qu’à la protection des personnes. 

À première vue, il est difficile de discerner une quelconque convergence entre la notion de cybersécurité et la RSE. Ces éléments semblent même contradictoires, avec d’un côté les pirates et les attaques, et de l’autre, l'innovation, l'environnement et l'égalité pour une organisation plus responsable. Malgré cette apparente opposition, il existe des synergies communes entre la cybersécurité et la RSE. 

Pour étayer nos arguments, examinons quelques domaines qui démontrent les relations entre la RSE et la cybersécurité : 

Il est important de noter que les synergies communes présentées ci-dessus constituent les trois piliers de la RSE à savoir : le pilier environnemental, le pilier économique et le pilier sociétal.  

L’objectif est de rendre compréhensible et accessible une mesure, le cyber-score afin de promouvoir des choix vertueux. 

Une opportunité pour s’engager durablement dans le respect des piliers RSE : le cyber score aussi appelé Loi Lafon 

Les sections d’audits du cyber-score. 

La loi du 3 mars 2022 prévoit la mise en place d'une certification de cybersécurité des plateformes numériques destinées au grand public. Le cyber score devient une obligation à partir du 1er octobre 2023, toutefois le projet d’arrêté Ministériel prévoit un report au 1er janvier 2024. Similaire au nutri-score ou à l'étiquette énergétique, le cyber score a deux grands objectifs : informer sur le niveau de sécurité et encourager les consommateurs à choisir des fournisseurs et partenaires "responsables".  Même si les startups et les PME ne sont pas encore concernées, il est dans l'intérêt de leurs clients de commencer dès maintenant à mettre en place le cyber-score

Les opérateurs concernés par le champ d’application du cyber-score 

Bien que les contours du champ d'application de la loi Lafon ne soient pas encore clairement définis, cette obligation légale s'impose déjà à deux catégories d'opérateurs : 

- Les opérateurs de plateformes en ligne au sens de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique. Selon l’article L. 111-7 , il s’agit de toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ou la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service (moteurs de recherche, réseaux sociaux, etc.)  

      > Cela implique notamment les géants du web tels que Amazon, Google, Facebook, ou encore YouTube. 

- Les fournisseurs de service de communication au public en ligne au sens de l’article L. 32 du code des postes et des communications électroniques. Il s’agit d’entreprises qui fournissent les services permettant à leurs utilisateurs d’échanger des correspondances et sont soumis, à ce titre, au respect du secret de celles-ci.  

> Cela implique les services de visioconférence (de type Zoom) et les messageries (de type WhatsApp). 

Les seuils de visiteurs des entreprises concernées fixés par le projet de décret 

- 2024 : 25 millions de visiteurs uniques par mois en France 
- 2025 : 15 millions de visiteurs uniques par mois en France 

Les critères imposant l’obligation de l’obtention d’une certification de cybersécurité fixés par le projet d’arrêté 

- Les audits doivent être réalisés par des prestataires d’audit de la sécurité des systèmes d’informations (PASSI) qualifiés par l’ANSSI 
- La notation s’étend de A+ (meilleurs résultats) à F+ (note la plus faible) 

Les critères de notation portent sur 9 catégories : 

- Organisation et gouvernance, 
- Protection des données, 
- Connaissance et maîtrise du service numérique, 
- Niveau d’externalisation,
- Niveau d’exposition sur internet,
- Dispositif de traitement des incidents de sécurité,
- Audits du service numérique étudié,
- Sensibilisation aux risques cyber et lutte anti-fraude, 
- Développement sécurisé. 

Le projet d’arrêté fixe la durée de validité d’un cyber score  

La durée de certification est de 12 mois et devra être renouvelée dans un délai de 3 mois suivant l’expiration du précédent audit, sous réserve que la plateforme demeure en situation de se conformer à l’obligation d’apposition d’un cyber score.  

Les sanctions financières en cas de manquement 

Les entreprises qui ne respecteraient pas la loi se verront attribuer une amende administrative de 75 000 € jusqu’à 375 000 € prononcées par la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF). 

L’usage d'outils de scoring tels que le cyber score pour quantifier les risques cyber d’une plateforme grand public constitue un avantage précieux pour promouvoir une transformation numérique durable. De ce fait, la cybersécurité devient un atout majeur dont on ne peut plus se passer. 

Soutenir une transformation numérique durable : la cybersécurité au cœur de la RSE 

Les entreprises sont constamment en train de se réinventer afin de réduire leurs coûts de fonctionnement et ainsi favoriser leur croissance. Elles sont poussées à repenser leur organisation et leurs processus pour un futur plus simple, plus efficace et plus durable.  

De nos jours, de plus en plus d'entreprises adoptent l'utilisation d'objets connectés leur permettant un gain de productivité et une meilleure gestion des chaînes de production. La France ne fait pas exception à la règle. En janvier 2022 une étude de l’Ademe et l’Arcep évalue le nombre d’objets connectés à 244 millions en France. L’adoption est cependant loin d’être totale en France. A titre de comparaison à l’échelle mondiale, on ne dénombre pas moins de 13 milliards d’appareils connectés. Cette tendance est en constante augmentation et elle est loin d'être terminée. Les experts estiment que ce chiffre atteindra 25,4 milliards d’ici 2030 avec l’essor de l’intelligence artificielle et des nouveaux réseaux ultra connectés 5G. 

Le monde de l’informatique et ses objets connectés ont pris leur envol, mais qu’en est-il du monde industriel, le monde des machines ? Nous parlons OT (Technologie opérationnelle), il s’agit de tout élément qui se rapporte aux composants matériels et aux briques logicielles, qui contrôlent les équipements. 

Ces machines ont un impact énorme. Une meilleure maîtrise de leur production permettrait de réduire les coûts, l’impact carbone et de diminuer les pénibilités causées par le travail. Nous ne sommes qu’au début d’une optimisation industrielle. Le boum de ces technologies combinées avec de nouvelles méthodes de travail laisse augurer qu’une révolution est en marche.  

Selon l'étude de Gartner dévoilées lors de son symposium IT/Xpo 2022, l'innovation, la mise à l'échelle, l'optimisation et la durabilité sont les principaux thèmes sur lesquels les entreprises se concentrent en 2023.  

Que se cache-t-il derrière ces thèmes : 

- La mise à l’échelle 
Ces tendances technologiques augmentent le rythme de distribution des services/produits et ce de manière ultra connectée. Le cloud est au centre de ce thème avec ses services : SaaS, PaaS et IaaS avec la recherche d’un monde plus souverain. 

- L’innovation 
Elle est au cœur de l’évolution commerciale stratégique et relationnelle visant à exploiter les nouveaux marchés virtuels : l’IA adaptative, le métaverse, les super-applications.  

X (anciennement Twitter) ne serait-t-il pas la future super-application de demain annoncée par Elon Musk… ? 

- L’optimisation 
Elle permet d’assurer une plus grande fiabilité pour la prise de décision grâce à une capacité d’observation. 

- Les technologies durables 

- Il s’agit d’un ensemble d’outils permettant la traçabilité, l'analytique, les logiciels de gestion des émissions et l'IA permettant de créer une plus grande résilience opérationnelle. 

Sur le papier, tout semble rose, cependant, il est crucial de ne pas négliger les risques liés à l'utilisation de concepts encore mal maîtrisés et de plus en plus connectés. Cela augmente considérablement la surface d'attaque. Par conséquent, il est essentiel de prendre en compte l'impact de ce type d'attaques, comme le démontrent les exemples suivants. Aussi, il ne faut pas se laisser aveugler par un optimisme excessif. 

tableau des cyberattaques sur les organismes publics

La liste des cyberattaques ci-dessus est loin d’être exhaustive. Le réseau national de mutualisation informatique et numérique du secteur public Déclic a cartographié toutes les cyberattaques ayant touché des collectivités et établissements publics depuis 2019 en France.  

Ces recherches sont basées sur différentes déclarations trouvées sur internet (OSINT)   

Une image contenant carte, capture d’écran, diagramme, cercleDescription générée automatiquement

Source : https://umap.openstreetmap.fr/fr/map/attaques-cybersecurite-aupres-dorganismes-publics_821557#6/46.868/-1.791

Selon le rapport annuel sur les cybermenaces de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), les chiffres sont éloquents : les collectivités territoriales représentent 23% des ransomwares traités ou signalés à l’ANSSI en 2022, les plaçant en deuxième position derrière les TPE, PME et ETI (40%) mais devant les établissements publics de santé (10%). 

Emmanuel Vivé, président de Déclic, met en garde en soulignant que pour éviter de devenir une cible, les collectivités doivent au moins garantir la mise à jour des postes de travail, l'utilisation d'un antivirus et la sauvegarde externalisée. 

La concentration de points sur la carte est un signal d'alarme qui met en évidence la fréquence des cyberattaques. Les chiffres alarmants, incluant cinq régions, neuf départements, 31 agglomérations ou communautés de communes, 78 mairies, ainsi que 36 hôpitaux, cliniques ou sapeurs-pompiers, tous ayant été ciblés depuis 2019, témoignent de la vulnérabilité des collectivités territoriales et des établissements hospitaliers. 

Conclusion : Comment réussir sa transformation digitale de manière pérenne 

De nos jours, la cybersécurité garantit la protection des données, la confiance des parties prenantes et la réussite de la transition vers une économie numérique sécurisée. 

L'intégration de la cybersécurité dans les projets offre aux entreprises la possibilité d'améliorer la confiance de leurs clients, de diminuer les dépenses associées aux incidents de sécurité, tout en favorisant l'innovation et la croissance grâce à la création d'un environnement sécurisé pour les technologies actuelles et à venir. 

Pour effectuer une transformation numérique durable, les experts conseillent de :
- Sensibiliser et former les collaborateurs Évaluer les risques afin de les réduire au maximum les cybers attaques 
- Adopter les politiques et les normes de cybersécurité strictes
- Contrôler la bonne gestion des accès 
- Surveiller de manière continue les systèmes d’information afin d’éviter une intrusion
- Sécuriser ses données confidentielles pour éviter leurs fuites
- Contrôler la sécurité des produits à l’aide d’audit (pentest, audits de sécurité)
- Collaborer avec des experts 

En suivant ces étapes, vous faciliterez votre transition vers un environnement numérique plus sûr et plus résilient. 

Cette décision stratégique renforce la sécurité de votre organisation tout en vous plaçant dans une position favorable pour saisir de nouvelles opportunités dans une ère numérique en constante évolution. 

Sources : 

RSE : 

Cyberscore : 

Transformation numérique : 

  • Par Adrien Agnel

    Pôle CyberSécurité

    Consultant Sécurité

    Suivre