Au Sénat, la proposition de loi « pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public » a été adoptée sans modification en commission. Elle sera examinée en seconde lecture lors de la séance du 24 février.
En novembre dernier, la proposition de loi était adoptée par les députés par 49 voix contre 1. Dans le cœur du texte, les plateformes dépassant un seuil qui sera fixé par décret et les logiciels de visioconférence devront réaliser « un audit de cybersécurité ».
Mieux, les résultats de ces travaux devront être présentés au consommateur, tant pour les informations relatives à la sécurisation, que celles relatives à la localisation des données hébergées. Cet audit devra être réalisé par un prestataire qualifié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Dans le détail, un arrêté, pris après avis de la CNIL, fixera « les critères qui sont pris en compte par l’audit » et les modalités de sa présentation. Pour éviter que ce document soit noyé dans un jargon incompréhensible, la proposition de loi prévient que le résultat de l’audit sera présenté « au consommateur de façon lisible, claire et compréhensible », accompagné d’une présentation « au moyen d’un système d’information coloriel ».
Un cyberscore à l'image du Nutri-Score
Derrière cette expression, on trouve le futur cyberscore. Le sénateur (UDI) Laurent Lafon, président de la commission de la Culture et auteur de la proposition, nous avait fait part de ses motivations :
« Quand on utilise un outil numérique, on n’a pas connaissance du risque qu’il présente en termes de cybersécurité. Il fallait donc, à l’image de ce qu’il peut exister sur le plan alimentaire avec le Nutri-Score ou sur le plan immobilier avec le DPE, avoir une information synthétique, visuelle et accessible immédiatement à tous les usagers, quel que soit leur degré de connaissance et portant sur des risques qu'ils prendront à utiliser et livrer des données sur une plateforme ».
C’est avec un amendement déposé par Philippe Latombe que le diagnostic de sécurité a été étendu, ajoutant au critère de la sécurisation, celui de la localisation.
Prenant appui sur l’invalidation du Privacy Shield en juillet 2020 par la Cour de Justice de l’Union européenne, « les transferts de données personnelles hors de l’Espace Économique Européen ne peuvent être effectués que si des garanties appropriées sont mises en place, et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives ».
Pour le député MoDem, le cyberscore pourrait ainsi être un levier « au service de notre souveraineté numérique », sujet sur lequel le parlementaire a consacré un épais rapport.
« Nous avons besoin de redévelopper des activités économiques en Europe. Pour cela, la localisation est un bon moyen d’avoir des data centers, et non des filières numériques, en Europe qui permettent de contrebalancer des solutions de type cloud américain », témoignait l’élu dans nos colonnes.
Adoption conforme en commission au Sénat
Au Sénat, le texte a été adopté sans modification par la commission des affaires économiques, saisie au fond. La sénatrice (UC) et rapporteure Anne-Catherine Loisier relève que si le RGPD protège les personnes physiques, il « n’impose cependant pas d’informer sur le niveau de cybersécurité des solutions proposées par un prestataire de solutions numériques ».
Et celle-ci de constater qu’ « aujourd’hui, aucune disposition ne garantit l’information du consommateur quant à la sécurité informatique de la solution numérique qu’il utilise ».
S’agissant des indicateurs pris en compte, elle dessine plusieurs pistes : prendre en compte le régime juridique applicable en matière de protection des données, mais aussi l’usage du chiffrement de bout en bout pour les services de communication ou encore « le nombre de condamnations par une autorité chargée de la protection des données à caractère personnel », voire « le nombre de failles mises à jour ».
Et selon la parlementaire centriste, « l’existence d’une loi à portée extraterritoriale pourrait aussi être prise en compte ».
Pour justifier l’adoption « conforme » (donc sans toucher une virgule au texte adopté par les députés), la commission souligne que son objectif « est d’avoir un dispositif qui, dans un premier temps, s’applique seulement aux plus grands acteurs et intègre les logiciels de visioconférence, dont l’utilisation s’est généralisée depuis le début de la crise sanitaire ».
Elle se satisfait de l’adoption d’un seuil de déclenchement pour la mise en route de l’audit de cybersécurité. « Il s’agit de trouver un équilibre entre réglementation et innovation et de ne pas pénaliser les TPE, les PME et les start-ups innovantes en matière de services en ligne ».
Quel critère de localisation ?
Et s’agissant du critère de localisation, elle précise toutefois que « la localisation ne peut pas être le seul critère utilisé pour apprécier les standards de sécurité de l’hébergement des données ».
Ainsi, « il y a des données qui sont hébergées de façon sécurisée en dehors de l’Union européenne, c’est pourquoi la Commission européenne peut par exemple prendre des décisions d’adéquation attestant que le niveau de protection des données dans un pays tiers est au moins équivalent à celui permis par le droit de l’Union ».
Or, « des données peuvent être stockées sur des serveurs et dans des centres de données situés dans l’Union européenne, mais hébergées par des logiciels de cloud américain ». Elle promet en conséquence une grande vigilance sur l’arrêté chargé de définir le spectre de l’audit de cybersécurité.
L’article 3 de la proposition a fixé, pour mémoire, le délai d’entrée en vigueur de la future loi au 1er octobre 2023. « Si ce délai semble lointain, la mise en place d’un audit de cybersécurité est inédite et technique. La définition du périmètre d’application et celle du contenu de l’audit de cybersécurité seront respectivement précisées par décret et par arrêté ministériel ».
Commentaires (7)
#1
Le nombre de faille mise à jour ? Avoir un grand nombre de failles mise à jour si c est en interne ou dans le cadre d un buf bounty ne devrait pas avoir d impact négatif sur le score j espere. C est plutôt un signe de bonne santé.
Le nombre de faille n est pas un indicateur pertinent. La façon de les traiter oui par contre.
#2
En effet c’est une très mauvaise idée. Ça va juste décourager le découverte de faille et encourager leur obfuscation quand elles sont découvertes.
#3
C’est gentil de faciliter la tâche des cybercriminels !
Et puis :
“des logiciels de cloud américain”
C’est quoi? Genre, Linux ? Windows? Apache? IIS? JBOSS?
NextCloud?
#3.1
A mon humbre avis, c’est plutôt qu’héberger ses données chez MS 365 ou AWS sur des DC en France puisse être considérer différemment qu’héberger chez Scaleway ou OVH en France.
Cela permettrait de protéger d’une manière ou d’une autre contre toute requête à un juge (US?) l’accès aux données en dehors du cadre légal EU.
#4
Ben je dirais par exemple OpenStack, d’origine américaine (la fondation qui le gère est de droit USA et ses géniteurs sont la NASA et Rackspace Hosting, tous deux américains) qui est utilisé par OVHCloud et Scaleways.
Sinon dans ta liste, Nextcloud est allemand. Linux c’est un peu difficile à évaluer (tout dépend de la distrib, GNU est d’origine US mais dans le logiciel libre les contributions viennent de toute part). JBoss c’est Red Hat qui est derrière, et la fondation Apache est elle aussi de droit USA.
(quant à Windows et IIS, pas besoin de préciser je pense
)
#5
Ça dépend comment c’est fait. C’est surtout très difficile et chronophage à mettre en œuvre objectivement.
Quels critères appliquer? Comment contrôler qu’ils sont effectifs? Suivi des méthodologies iso 27k? Mesure de la dette technique? Pondération du délai de réaction pour une vulnérabilité en utilisant son cvss ?
Importance dans le score final composite du cyberscore?
ça fait pas mal de questions
#6
L’E551 n’est pas très bon pour les dents.