Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Un sénateur veut une « certification de cybersécurité des plateformes numériques destinée au grand public »

Un sénateur veut une « certification de cybersécurité des plateformes numériques destinée au grand public »

Le 09 septembre 2020 à 08h45

Dans sa proposition de loi tout juste déposée, le sénateur Laurent Lafont (UC) compte s’inspirer du modèle des diagnostics de performance énergétique en vigueur dans le secteur immobilier.

La « PPL » veut étendre le régime des certifications développé par l’ANSSI aux plateformes numériques utilisées par le grand public afin de les rendre obligatoires. Des centres agréés seraient alors chargés de les délivrer, en respectant un protocole de test. Ce diagnostic de cybersécurité tiendrait compte d’ailleurs de plusieurs indicateurs, fixés par décret.

Une disposition permet aussi d’intégrer, parmi les critères de choix, l’existence de ce diagnostic de cybersécurité dans le cadre des marchés publics.

« La cybersécurité est un enjeu majeur de notre souveraineté numérique. S'en assurer nécessite notamment l'accès de chacun à une indication claire des risques encourus par l'utilisation d'une plateforme numérique. Tel est le sens de cette proposition de loi » conclut le sénateur centriste.

Le 09 septembre 2020 à 08h45

Commentaires (12)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Ça parait être une bonne idée, à part le coût pour de l’audit pour les petites plate-formes ou est l’arnaque ?

votre avatar

Vu qu’aujourd’hui notre vie tourne autour de ces plateformes (et c’est pas près de s’arrêter), ça me parait extrêmement sensé comme idée.

votre avatar

(reply:1823561:Crazy Diver)


Nulle part voyons…. Quel mauvais esprit…



Ce post est sponsorisé par la Fédération Nationale des Auditeurs en Sécurité

votre avatar

ok

votre avatar

Comme d’hab, les grandes plateformes américaines vont contourner le truc en 2 secondes et les petits sites français vont crouler sous les démarches administratives, les frais et la paperasse.



Le législateur français ne sait pas rédiger des lois étanches, y a toujours une fuite quelque part.

votre avatar

Laurent Lafont
:cap:



Idée qui parait bonne.

votre avatar

(quote:1823561:Crazy Diver)
Ça parait être une bonne idée, à part le coût pour de l’audit pour les petites plate-formes ou est l’arnaque ?


Y a pas d’arnaque. C’est seulement une doctrine suivie par tous les politiciens avides de contrôler la société. On peut la résumer ainsi:



“Pour garantir la sécurité, il faut respecter un règlement dicté par une administration.”



Ca marche pour la cybersécurité, mais aussi pour le terrorisme ou le covid-19.

votre avatar

Idem, dans l’idée je suis à fond pour, mais ça lève différents points :




  • si c’est comme les diagnostiques de performance énergétique, est-ce que les utilisateurs vont les regarder ? j’ai vu beaucoup de gens cliquer sur continuer quand leur navigateur leur dit qu’ils se connectent à un site non sécurisé ou que le site contient des malwares…

  • un des atouts de l’informatique et de l’internet c’est d’être accessible à tous de manière égale, que ce soit en tant que consommateur ou producteur. Là on aura un label qui de base te fera comprendre que tu n’est pas un producteur “pro” à moins de déléguer ton informatique à quelques “gros” acteurs et donc encore un coup contre la neutralité du net

  • d’un autre côté j’ai tellement vu de développeurs web avec aucune notion de sécurité que j’aurais envi de leur interdire de se servir d’un ordinateur, donc là clairement ça peut leur ouvrir un peu les yeux, ça participe à la professionnalisation de ce domaine, au même titre que pour faire un pont il faut que les plans aient été certifiés par un architecte et pas n’importe quel clampin venu

  • comment les associations, personnes privées (ou plus largement un petit business qui se lance) font leurs sites sans avoir à payer (avec de l’argent qu’ils n’ont probablement pas) un audit de certification ?

votre avatar

Je n’en vois absolument pas l’intérêt… et la PPL est complètement vide, tout doit être fixé par décret (donc bien plus tard), impossible de se faire une idée de ce qu’il entend par là !



Le RGPD oblige déjà à mettre en œuvre une sécurisation dès lors qu’on héberge des données personnelles ou sensibles, au risque de payer cher la fuite de données. Et l’ANSSI a autre chose à faire que de certifier tout le monde, et ne réclame certainement pas cette prérogative !

votre avatar

Comme souvent avec nos parlementaires, l’enfer est pavé de bonnes intentions. En l’occurrence, ce monsieur semble oublier que la sécurité informatique est un domaine en évolution perpétuelle, que des pratiques qui étaient considérées comme “sécurisées” à un moment peuvent ne plus l’être quelques semaines plus tard. Du coup, certification à mettre en place et à renouveler régulièrement…? Idem pour le décret, il devrait suivre l’évolution, ou on considérerait comme “sécurisée” un élément dont on sait que ce n’est pas le cas, parce-que le décret ne le liste pas encore…?
Bon, ça serait bon pour l’emploi, en plus c’est de l’emploi avec une haute valeur ajoutée, les personnes compétentes sur les sujets de sécurité sont assez rares. Si les audits ne sont pas sous-traités en Inde…



Mais c’est aussi une charge nouvelle et récurrente imposée aux opérateurs, qui n’en ont peut-être pas besoin… et encore une “prime à la taille”, vu que ça ne serait pas grand chose pour les gros, mais potentiellement énorme pour les petits.

votre avatar

Ce qu’il faudrait deja, c’est un cahier des charges sur le niveau minimum de securite informatique attendu pour tout sites affilies au gouvernement ou depassant un certain nombre de visite par mois en France, avec une longue liste des choses a ne pas faire (coucou le stockage sur s3 en claire).



Que ces sites soit proteges et tester contre les attaques les plus communes servirait tout le monde!

votre avatar

C’est tellement vague que ça ressemble plutôt à un vague appel pour prendre la parole sur le sujet au sénat - sensibiliser ses collègues, “touiller” les idées.



(Le problème étant qu’ils peuvent pas discuter en public d’un truc sans “procédure” bien cadrée, ils passent pas ce genre d’artifices).



Là, en l’état, ça revient à dire : “Je propose une loi pour faire quelque chose contre le piratage”. Chouette, mec…

Un sénateur veut une « certification de cybersécurité des plateformes numériques destinée au grand public »

Fermer