Dans sa proposition de loi tout juste déposée, le sénateur Laurent Lafont (UC) compte s’inspirer du modèle des diagnostics de performance énergétique en vigueur dans le secteur immobilier.
La « PPL » veut étendre le régime des certifications développé par l’ANSSI aux plateformes numériques utilisées par le grand public afin de les rendre obligatoires. Des centres agréés seraient alors chargés de les délivrer, en respectant un protocole de test. Ce diagnostic de cybersécurité tiendrait compte d’ailleurs de plusieurs indicateurs, fixés par décret.
Une disposition permet aussi d’intégrer, parmi les critères de choix, l’existence de ce diagnostic de cybersécurité dans le cadre des marchés publics.
« La cybersécurité est un enjeu majeur de notre souveraineté numérique. S'en assurer nécessite notamment l'accès de chacun à une indication claire des risques encourus par l'utilisation d'une plateforme numérique. Tel est le sens de cette proposition de loi » conclut le sénateur centriste.
Commentaires (12)
#1
Ça parait être une bonne idée, à part le coût pour de l’audit pour les petites plate-formes ou est l’arnaque ?
#2
Vu qu’aujourd’hui notre vie tourne autour de ces plateformes (et c’est pas près de s’arrêter), ça me parait extrêmement sensé comme idée.
#3
Nulle part voyons…. Quel mauvais esprit…
Ce post est sponsorisé par la Fédération Nationale des Auditeurs en Sécurité
#4
ok
#5
Comme d’hab, les grandes plateformes américaines vont contourner le truc en 2 secondes et les petits sites français vont crouler sous les démarches administratives, les frais et la paperasse.
Le législateur français ne sait pas rédiger des lois étanches, y a toujours une fuite quelque part.
#6
Laurent Lafon
tIdée qui parait bonne.
#7
Y a pas d’arnaque. C’est seulement une doctrine suivie par tous les politiciens avides de contrôler la société. On peut la résumer ainsi:
“Pour garantir la sécurité, il faut respecter un règlement dicté par une administration.”
Ca marche pour la cybersécurité, mais aussi pour le terrorisme ou le covid-19.
#8
Idem, dans l’idée je suis à fond pour, mais ça lève différents points :
#9
Je n’en vois absolument pas l’intérêt… et la PPL est complètement vide, tout doit être fixé par décret (donc bien plus tard), impossible de se faire une idée de ce qu’il entend par là !
Le RGPD oblige déjà à mettre en œuvre une sécurisation dès lors qu’on héberge des données personnelles ou sensibles, au risque de payer cher la fuite de données. Et l’ANSSI a autre chose à faire que de certifier tout le monde, et ne réclame certainement pas cette prérogative !
#10
Comme souvent avec nos parlementaires, l’enfer est pavé de bonnes intentions. En l’occurrence, ce monsieur semble oublier que la sécurité informatique est un domaine en évolution perpétuelle, que des pratiques qui étaient considérées comme “sécurisées” à un moment peuvent ne plus l’être quelques semaines plus tard. Du coup, certification à mettre en place et à renouveler régulièrement…? Idem pour le décret, il devrait suivre l’évolution, ou on considérerait comme “sécurisée” un élément dont on sait que ce n’est pas le cas, parce-que le décret ne le liste pas encore…?
Bon, ça serait bon pour l’emploi, en plus c’est de l’emploi avec une haute valeur ajoutée, les personnes compétentes sur les sujets de sécurité sont assez rares. Si les audits ne sont pas sous-traités en Inde…
Mais c’est aussi une charge nouvelle et récurrente imposée aux opérateurs, qui n’en ont peut-être pas besoin… et encore une “prime à la taille”, vu que ça ne serait pas grand chose pour les gros, mais potentiellement énorme pour les petits.
#11
Ce qu’il faudrait deja, c’est un cahier des charges sur le niveau minimum de securite informatique attendu pour tout sites affilies au gouvernement ou depassant un certain nombre de visite par mois en France, avec une longue liste des choses a ne pas faire (coucou le stockage sur s3 en claire).
Que ces sites soit proteges et tester contre les attaques les plus communes servirait tout le monde!
#12
C’est tellement vague que ça ressemble plutôt à un vague appel pour prendre la parole sur le sujet au sénat - sensibiliser ses collègues, “touiller” les idées.
(Le problème étant qu’ils peuvent pas discuter en public d’un truc sans “procédure” bien cadrée, ils passent pas ce genre d’artifices).
Là, en l’état, ça revient à dire : “Je propose une loi pour faire quelque chose contre le piratage”. Chouette, mec…