La loi du 3 mars 2022 crée une certification de cybersécurité qui s'appliquera aux grandes plateformes numériques, aux réseaux sociaux, aux messageries instantanées et aux sites de visioconférence les plus utilisés, et qui entrera en vigueur le 1er octobre prochain. A partir de cette date, tout internaute qui se rendra sur une plateforme numérique verra s'afficher un « cyberscore » à l'image du « nutriscore » que l'on trouve sur les emballages des produits alimentaires. Allant de A+ à F, l'internaute saura si le site sur lequel il se connecte est assez sécurisé pour réduire le risque des cyberattaques et le vol de ses données personnelles.

Il s'agit d'informer les internautes sur les risques de voir leurs données revendues ou piratées quand ils se connectent. C'est pour cela que les critères pour obtenir ce « cyberscore » sont importants dans leur définition. Or la consultation publique lancée par le ministère de l'Économie pour présenter ces critères est surprenante à deux titres. Le premier est la précipitation avec laquelle Bercy veut en finir avec le sujet, puisque la consultation à peine ouverte doit déjà être terminée le 15 avril prochain, comme si cette consultation était faite « a minima ». Le second relève de la nature même des critères qui sont proposés, dont certains ne paraissent rien avoir à faire avec les cyberattaques et le piratage de données.

Protectionnisme numérique

Parmi les critères proposés pour obtenir le « cyberscore », figurent des notions qui touchent plus à des questions de souveraineté voire de protectionnisme numérique qu'à la cybercriminalité. En effet, le critère de l'« exposition des données du service numérique à des législations à portées extraterritoriales (fournisseurs du service et partenaires tiers) » n'a rien à voir avec le risque d'être la cible de cyberattaques. Ce critère vise en réalité tous les fournisseurs de contenu américains ou hébergés par des plateformes américaines, tels les clouds d'Amazon ou de Google, pour ne citer que les plus importants. Cela signifie qu'un site comme Doctolib, qui repose sur le cloud AWS, n'obtiendrait au mieux que le « cyberscore » D bien loin du A+ censé garantir un risque minimal, alors que son utilisation avait vivement été encouragée par les autorités au moment de la campagne de vaccination contre Covid.

Le critère visant à la « localisation des infrastructures d'hébergement du service numérique en UE » va à l'encontre de la possibilité de disposer de service cloud dans des endroits différents, gage de sécurité, à l'instar de ce qu'a fait l'Ukraine pour limiter les dégâts des cyberattaques russes en dupliquant le stockage de ses données. Quant au fait que « les sous-traitants en matière d'administration et de supervision du service numérique sont de nationalité UE », cela reviendrait à dire que personne d'autre que des Européens dans le monde ne pourrait garantir la sécurité informatique.

Les services étrangers désavantagés

Ces trois critères montrent que les plateformes et services étrangers, et particulièrement américains, seront désavantagés car ils ne pourront pas prétendre, par définition, au meilleur score A+. La question reste de savoir par quel autre service, tout aussi performant, ils pourraient être remplacés. Le problème, c'est qu'il n'y en a pas ou pas assez pour répondre à l'importance des flux de données. Alors que la gestion des données de manière efficace sert à la compétitivité de nos entreprises, la France s'apprête à mettre en œuvre un « cyberscore » dévoyé de son objectif de lutte contre la cybercriminalité pour des raisons de souveraineté nationale mais sans disposer de solution alternative. L'internaute français devra s'habituer à utiliser des sites dont le « cyberscore » sera bloqué à D, ce qui risque de poser la question de la crédibilité de ce « cyberscore ».