Quels sont les critères de l’audit pour définir le cyberscore ?

Le cyberscore établit une note de la cybersécurité d’un site web (voir quelles entreprises sont concernées). Cette note sera définie après un audit réalisé par des prestataire qualifiés par l’ANSSI. Quels seront les critères pris en compte dans cet audit pour définir la note cyberscore ? On fait le point dans ce dossier.

Comme expliqué dans le texte de loi présentant le projet cyberscore, les points qui seront étudiés lors de l’audit cyberscore seront listés dans un décret à venir.

Un audit de cybersécurité

Nous savons néanmoins que cet audit de cybersécurité portera sur :

  • la sécurisation et la localisation des données hébergées directement ou par l’intermédiaire d’un tiers,
  • et sur leur propre sécurisation.

Des critères extérieurs aux données et à la sécurité

Cependant, d’autres informations pourraient être prises en compte, et notamment :

  • l’impact de lois étrangères sur la protection des données (notamment pour les sites et plateformes dépendants des USA ou de la Chine).
  • Le nombre de condamnations par la CNIL
  • Le nombre de failles de sécurité recensées
  • Certains critères importants issus du RGPD ou de la directive NIS notamment le privacy by default.

Quoi qu’il en soit, nous en saurons plus sur les critères précis que l’audit cyberscore prendra en compte dans les mois à venir.

La mise en place du cyberscore étant prévu pour octobre 2023.

Ressource : LOI n° 2022-309 du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public.