Un CyberScore pour identifier les risques en ligne : interview du sénateur Laurent Lafon

Un CyberScore pour identifier les risques en ligne : interview du sénateur Laurent Lafon

*****

Avatar de l'auteur
Marc Rees

Publié dans

Droit

23/10/2020 8 minutes
27

Un CyberScore pour identifier les risques en ligne : interview du sénateur Laurent Lafon

Laurent Lafon a fait adopter hier sa proposition de loi relative au CyberScore. Le sénateur UDI, président de la commission de la Culture revient dans nos colonnes sur la raison d’être de ce mécanisme inspiré du Nutri-Score ou du DPE, orienté cybersécurité, visant les grandes plateformes dépassant un seuil de connexion.

Comment résumer le principe du Cyberscore en quelques mots et avant tout, d’où vous est venue cette idée ?

L’idée m’est venue pendant le confinement puisque nous nous sommes les uns et les autres mis à utiliser des plateformes que nous ne connaissions pas quelques semaines auparavant. Moi, j’ai été frappé par le discours des autorités publiques qui mettaient en garde contre certaines plateformes, alors que, malgré ces alertes, elles étaient les plus utilisées.

Il y avait un décalage entre d’un côté ce discours d’alerte et de prévention et de l’autre, la réalité des faits qui montraient bien que les notions de cybersécurité n’étaient pas prises en compte dans l’accès aux plateformes par les utilisateurs.

Dans le même temps, les Français nous disent que la question de la cybersécurité est une vraie problématique dont ils ont compris une bonne partie des enjeux.

Je me suis dit qu’il y avait un vide entre cette réalité et ces préoccupations, consécutif à un problème d’information.

Quand on utilise un outil numérique, on n’a pas connaissance du risque qu’il présente en terme de cybersécurité. Il fallait donc, à l’image de ce qu’il peut exister sur le plan alimentaire avec le Nutri-Score ou sur le plan immobilier avec le DPE, avoir une information synthétique, visuelle et accessible immédiatement à tous les usagers, quel que soit leur degré de connaissance et portant sur des risques qu'ils prendront à utiliser et livrer des données sur une plateforme.

Quels seront les critères pertinents et surtout comment les objectiver ?


La proposition de loi ne définit pas les critères. Elle les renvoie à un arrêté. Nous avons d’ores et déjà commencé à travailler avec le gouvernement sur cette problématique.

Ce qui est important dans le processus législatif, c’est qu’on est entré en interaction avec le gouvernement. Parfois, le gouvernement nous dit que cela ne l’intéresse pas. Dans le cas présent, ce n’est pas le cas. On a une vraie écoute de Cédric O et son équipe. Ce projet les intéresse. Ils veulent travailler avec nous pour que cette « PPL » aboutisse.

On veut mettre l’ANSSI dans le cœur du système. Elle est très intéressée par la démarche. Ce n’est donc pas aux parlementaires de définir ces critères, mais d’abord à l’Agence.

On peut néanmoins en imaginer plusieurs types, par exemple l’accès par des tiers à des données privées, le chiffrement de bout en bout des conversations privées, la soumission à des législations de pays autres que la France, et je pense en particulier au Cloud Act, la soumission à des puissances étrangères sur lesquelles la France pourrait avoir des doutes. On peut imaginer aussi tenir compte du nombre de condamnations ou de failles identifiées par la CNIL.

L’objectif n’est pas de créer une usine à gaz ou un diagnostic long à monter, mais d’identifier quatre ou cinq critères qui permettent assez facilement d’identifier le risque encouru. Il va falloir jauger où on met le curseur avec un double objectif : la fiabilité et le pragmatisme.

La proposition de loi adoptée à l’unanimité repose néanmoins sur un système d’autoévaluation, non des scores délivrés par une autorité indépendante, comme imaginé initialement. Pourquoi ce choix ? Le regrettez-vous ?

Cela fait partie des éléments du dialogue avec le gouvernement. Nous étions, c’est vrai, plutôt sur une évaluation préalable par une autorité indépendante. Le gouvernement nous a dit que si on allait dans cette direction, cela sera difficile à mettre en œuvre compte tenu du nombre d’outils qui pourraient rentrer dans cette évaluation.

On a entendu ce discours. On est donc plutôt sur une autoévaluation, avec la remarque forte émise par la rapporteure ou moi-même, sur le fait qu’il fallait un contrôle de la part des services de l’État, en l’occurrence la DGCCRF. Un contrôle effectif sur ces autoévaluations qui suppose une direction disposant de moyens en conséquence.

Que risque une plateforme qui se met 5 étoiles là où elle n’en méritait que 2 ?

C’est comme tout système d’information mensonger. Il faut des contrôles par les services de l’État, mais aussi des services de consommation.

Après c’est aux risques et périls de l‘entreprise qui volontairement aura trompé l’utilisateur par une information de ce type. Je ne suis pas sûr qu’à moyen terme une structure qui cacherait l’information serait gagnante.

Il y aurait donc des contrôles, mais pas d’amende ?

Il faut regarder : cela dépendra du dispositif définitif à l'issue de la navette parlementaire. En l'état actuel des travaux, le CyberScore entre dans le champ d'application de l'article L.131-4 du code de la consommation, qui prévoit une amende de 375 000 euros prononcée par la DGCCRF.

Même si les critères ne sont pas encore définis, a-t-on déjà une idée du coût d’une telle auto-évaluation ?

C’est une des préoccupations du gouvernement, pour être très honnête encore. Pour revenir à votre question sur l’évaluation par une autorité ou l'autoévaluation, l’idée était de ne pas pénaliser les petits acteurs qui pourraient trouver que le coût ne pénalise leur rentabilité ou la mise sur le marché de leur produit.

Si le nombre de critères est assez faible et s’ils sont faciles d’appréhension, cela participera au fait qu’on ne sera pas sur des démarches coûteuses.

Quid du nombre d’entreprises concernées ?

Le champ des entreprises concernées est le deuxième point de dialogue avec l’État, le premier étant les critères. Le gouvernement avait préparé un amendement que nous avons sous-amendé, Cédric O reconnaissant lui-même que la version gouvernementale était trop restrictive et ne concernait pas assez d’entreprises, nous demandant aussi de réfléchir pour faire en sorte qu’on mesure bien, dans notre version, le nombre et la typologie des outils concernés.

La définition des outils soumis au CyberScore fait partie du travail dans les semaines à venir. Dans notre esprit, il faut que ce soit dans une assez large diffusion. Je pense que le gouvernement est aussi sur cette ligne-là, mais il voudrait s’assurer que dans la définition juridique, on mesure bien tout ce qui sera ou ne sera pas inclus. C’est ce  travail de précision qui va être mis en œuvre.

Le texte parle des « fournisseurs de service de communication au public en ligne ». Des acteurs comme Zoom et les autres solutions de visioconférences entrent-elles dans le champ ?

Très clairement, ils sont concernés, d’où notre sous-amendement.

Et les moteurs de recherche ?

Aussi.

Le RGPD prévoit déjà la possibilité pour les sites de délivrer des informations sur les traitements de données personnelles sous forme d’icônes normalisées. N’était-ce pas suffisant ?

Non. Nous, on n’est pas sur le « peut » mais sur le « doit ». À partir du moment où on le met en « possibilité », on voit que cela n’entre pas de manière systématique.

Votre texte vise non les données à caractère personnel, mais toutes les « données ». Pourquoi ?

Absolument. Ce CyberScore n’a d’efficacité que s’il est d’un usage assez répandu. Pour cela, on est donc sur des définitions les plus étendues possible.

Y-a-t-il des précédents en Europe ou dans le Monde ?

Pas à ma connaissance, mais je dois vous avouer qu’on n’a pas fait un travail de bench marking pour savoir si cela existait ailleurs. Je n’en ai pas entendu parler dans les discussions qu’on a eues notamment avec l’ANSSI ou le gouvernement.

Envisagez-vous de notifier le texte à la Commission européenne ?

Bien sûr, cela sera au gouvernement de faire le lien. On a bien précisé que notre démarche n’était pas du tout contraire ou opposée à ce que pouvait faire l’Union européenne, qui a elle-même ses propres démarches. On sait que les processus de l’UE sont parfois un peu longs, puisque se mettre d’accord à 27 est plus compliqué que seul et donc qu’en attendant un accord, cela ne doit pas empêcher la France d’avancer.

Parfois le fait qu’un pays avance permet d’accélérer les processus européens. C’est aussi dans cet esprit-là que nous nous plaçons.

27

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Comment résumer le principe du Cyberscore en quelques mots et avant tout, d’où vous est venue cette idée ?

Quels seront les critères pertinents et surtout comment les objectiver ?

La proposition de loi adoptée à l’unanimité repose néanmoins sur un système d’autoévaluation, non des scores délivrés par une autorité indépendante, comme imaginé initialement. Pourquoi ce choix ? Le regrettez-vous ?

Que risque une plateforme qui se met 5 étoiles là où elle n’en méritait que 2 ?

Il y aurait donc des contrôles, mais pas d’amende ?

Même si les critères ne sont pas encore définis, a-t-on déjà une idée du coût d’une telle auto-évaluation ?

Quid du nombre d’entreprises concernées ?

Le texte parle des « fournisseurs de service de communication au public en ligne ». Des acteurs comme Zoom et les autres solutions de visioconférences entrent-elles dans le champ ?

Et les moteurs de recherche ?

Le RGPD prévoit déjà la possibilité pour les sites de délivrer des informations sur les traitements de données personnelles sous forme d’icônes normalisées. N’était-ce pas suffisant ?

Votre texte vise non les données à caractère personnel, mais toutes les « données ». Pourquoi ?

Y-a-t-il des précédents en Europe ou dans le Monde ?

Envisagez-vous de notifier le texte à la Commission européenne ?

Commentaires (27)


Très très circonspect sur ce machin. Autoévaluation, contrôle pas bien défini, pas d’amendes prévues, pas d’études de l’existant (coucou tosdr.org), franchement ça ne donne pas confiance pour la suite.


“Y-a-t-il des précédents en Europe ou dans le Monde ?
Pas à ma connaissance, mais je dois vous avouer qu’on n’a pas fait un travail de bench marking pour savoir si cela existait ailleurs. “



Alors chapeau pour la candeur et l’honnêteté de la réponse, il aurait pu botter en touche, mais sur le fond c’est hallucinant en terme de maturité, de manque de curiosité (de suffisance ?) de monter un tel truc, jusqu’à la proposition de loi, sans même chercher à savoir s’il y a un état de l’art.


Ça part d’une bonne intention mais bon… À partir du moment où ça devient de l’auto-évaluation sans sanctions derrière, je ne vois pas comment ça tournerai à autre chose qu’un label bidon.



Et ouais, le “on n’a pas fait un travail de bench marking pour savoir si cela existait ailleurs. “, ça ma scié. À mon avis, on est sur une énième loi d’affichage de plus, juste pour que le sénateur puisse dire “regardez-moi je lutte pour réguler les réseaux sociaux”. Une perte de temps…


Sur le fond la démarche est honorable, sur la forme… Mais ça fait plaisir de voir qu’un député s’intéresse au sujet.


Idiocraty


Si loi il y a, nulle doute que les GAFAM seront à la pointe du lobbying pour justifier de la solidité de leur sécurité et du bon respect théorique du RGPD …
Par contre, ton petit service libre et décentralisé, qui ne mène pas d’audit de sécurité, de bugbounty, et ne dispose pas d’un vrai DPO sera catégorisé E.



#VraiMauvaiseIdée
#GAFAM #privacy #rgpd


@Chichillus @nah la même ici, c’est consternant de bêtise que de ne pas faire d’état de l’art même minimal. Le projet de loi me paraît proche parent de tosdr (https://tosdr.org/) et web of trust (https://www.mywot.com/fr), ça lui aurait pris 20min grand max de faire une recherche pour avoir ces quelques existants…



Non. Nous, on n’est pas sur le « peut » mais sur le « doit ». À partir du moment où on le met en « possibilité », on voit que cela n’entre pas de manière systématique.




S’il n’y a aucune sanction derrière, le “doit” devient automatiquement “peut”…


Fausse bonne idée, comme quoi il n’y pas que du bon qui est ressorti du confinement.


Aussi utile que le nutriscore ? Avec des aliments qui sont A et 15 grs de matière grasse au 100grs et quasiment aucun D ou E ?


Bonjour à tous,



Le bureau parlementaire du sénateur m’a contacté ce jour. Finalement, il y a bien sanction prévue en l’état actuel du texte, sachant que la mesure finale est évidemment tributaire des débats à venir (Assemblée nationale et éventuellement commission mixte paritaire).
L’actualité a été mise à jour avec le complément de réponse.
En vous souhaitant un bon w e à tous,



spidermoon a dit:


Aussi utile que le nutriscore ? Avec des aliments qui sont A et 15 grs de matière grasse au 100grs et quasiment aucun D ou E ?




Ah si, le sucre et le sel sont E. Parce qu’ils contiennent trop de sucre et de sel… :transpi:
(Oui, j’ai déjà vu ce nutriscore sur des boîtes de sucre/sel :transpi: )


Bah oui, le sucre et le sel sont plus mauvais pour la santé que certaines graisses.


Franchement pourquoi interviewer cet abruti à propos de cette usine à gaz ?


a quoi cela peut bien servir ? Quel interet ?



on va encore se taper un gros logo qui va cacher la moitie de l’ecran qui reste apres les cookies ? Et le blacklisting des IPs FR va continuer ?



L’objectif n’est pas de créer une usine à gaz




Il fait bien de le préciser, car cela y ressemble.
S’inspirer du Nutriscore ou du DPE… Que dire ? Vu que ces trucs ne fonctionnent pas.
Le DPE, on fait faire le diagnostic par 3 sociétés différentes, on aura 3 notes différentes. Il y a l’obligation de le fournir, mais c’est juste à titre d’information, ce n’est pas du tout contraignant.
Le nutriscore, la belle affaire aussi… Quelqu’un qui a envie d’acheter des chocolats, un du saucisson, il verra que c’est E (ou pas d’ailleurs), il l’achètera quand même. Mais on s’est donné bonne conscience en mettant un logo en couleur, donc l’honneur est sauf. Et on va faire pareil ici. Et puis je vois d’ici Google ou Facebook afficher un joli E rouge ! Ils vont accepter de mettre en avant leur “soumission à des puissances étrangères” ou leur “nombre de condamnations par la CNIL” bien gentiment :mdr:



Et sinon, puisque le nutriscore est une source d’inspiration, on a des chiffres, un bilan à ce sujet ? La consommation de produits en E a baissé, celle des A a augmenté ? Ou bien c’est un nouveau “pas un succès” à la Stop Covid ?



Mihashi a dit:


Bah oui, le sucre et le sel sont plus mauvais pour la santé que certaines graisses.




Mais comment tu peux dire qu’un boîte de sucre contient trop de sucre et la noter E à cause de ca (et pareil avec le sel)? C’est parfaitement débile…


ça va dans la même logique que pour les allergènes. Tu achètes un paquet d’amandes et on te note que le paquet contient des amandes comme allergène. Est-ce débile ? Disons qu’il ne faut jamais prendre le client/consommateur pour plus intelligent qu’il ne l’est :transpi:


Alors pour le coup on va pouvoir effectivement le classer dans les fausses bonnes idées. Mais pas que sur le plant technique.



Autoévaluation
Autant pisser dans un violon (tiens ça rime). Il y a fort a parier que personne n’ira se taper lui même sur les doigts. Réduire la voilure des tests du fait de nombreux sites renie la posture du départ. C’est bête.



Soit on teste tout soit on fait rien. Il ne peut pas y avoir de demi mesure sur ce sujet. Le plus drôle étant qu’il existe des moteurs d’audit sécurité. Il ne faut pas piocher bien loin pour en trouver… … …



Benchmark
Il y a bien des choses qui existent dans ce sens. Ce sont les solutions antivirales qui ont des “agents” qui couinent si on tombe sur un truc assez vilain. Sans compter les moteurs de recherche qui “sink-ent” les éléments d’une recherche. Donc; bon; voila. Les annuaires de ces deux types de produit numérique est maintenu plus ou moins finement suivant qui.



Certes ce n’est pas exactement pareil mais cela reprend le principe du tagging/annuaire. On sait qu’il y a quelque chose de pas joli à un endroit on fait en sorte que la masse n’y aille pas. Les moteurs de recherchent sont en première ligne bien entendu, suivi des solutions anti virus.



Marquer les sites
Cela permet effectivement de marquer les plus nazes avec un score mais n’empêche pas d’y aller. Cependant je vois cela comme un outil très particulier de contrôle de la communication.



Dans ce qui est exprimé on trouve que l’état ferait des contrôles. Mais certainement pas de tout.



Du coups il serait bien pratique de contrôler untel et d’oublier un autre. Comme le site d’un parti politique qui serait gênant ou d’un lanceur d’alerte. Jeter un soupçon (surtout jamais trop) de discrédit et le tour est joué. On ne sort pas des schémas classiques.



Patch a dit:


Mais comment tu peux dire qu’un boîte de sucre contient trop de sucre et la noter E à cause de ca (et pareil avec le sel)? C’est parfaitement débile…




Alors oui il ne t’avait pas bien compris. Mais d’un autre coté quand on sait que tu n’as n’y besoin d’acheter du sucre ou du sel car tous les autres aliments naturels que tu peux consommer en contiennent suffisamment et que ce qui sort d’une boite en carton en contient bien trop. Ça expliquerait la note. Et comme il faut la mettre partout…



Maintenant que cela soit dans le domaine alimentaire ou numérique il serait bon de ne pas seulement faire un score collé sur les boites mais surtout d’éduquer. Et cela passe par la casse “école”. Ha mince on a un lobby laitier… sucrier… et …


Ce truc ressemble plus à du “cyber(security)-washing” de la part des politiques que pour plateformes numériques.



Il existe déjà tout un tas de référentiels comme l’ISO 27001 ou la Cloud Controls Matrix pour avoir une idée du niveau de maturité en sécurité d’une structure.


Les trucs obligatoires (avec amende) comme le RGPD sont systématiquement violés par les boites françaises, sans aucune conséquence pour elles, et on crée un dispositif fondé sur le volontariat, en espérant que ça marche ?



(reply:1833015:Paul Muad’Dib)
(reply:1833027:Stéphane Bortzmeyer)




Un score basé un respect d’une norme n’est pas si idiot à condition d’assumer d’avoir des scores en moyenne en dessous de Z.


Comme dit dans un commentaire précédent: l’autoevaluation c’est nawak!



1)Il n y aura aucun site qui se donnera une note pouvant nuire à son image



2)la sécurité nécessite de solides connaissances actualisé s. C’est un métier, on ne s’improvise pas auditeur.



Loeff a dit:


ça va dans la même logique que pour les allergènes. Tu achètes un paquet d’amandes et on te note que le paquet contient des amandes comme allergène. Est-ce débile ? Disons qu’il ne faut jamais prendre le client/consommateur pour plus intelligent qu’il ne l’est :transpi:




Ah celle-là jamais vu. Faut dire que je prends toujours mes fruits secs en vracs, donc pas d’inscription spécifique :transpi:



Loeff a dit:


ça va dans la même logique que pour les allergènes. Tu achètes un paquet d’amandes et on te note que le paquet contient des amandes comme allergène. Est-ce débile ? Disons qu’il ne faut jamais prendre le client/consommateur pour plus intelligent qu’il ne l’est :transpi:




Pas plus qu’un lot de tétines avec sur l’emballage :“A tenir hors de portée des enfants”. Cela m’avait bien fait marrer



Jarodd a dit:


Le nutriscore, la belle affaire aussi… Quelqu’un qui a envie d’acheter des chocolats, un du saucisson, il verra que c’est E (ou pas d’ailleurs), il l’achètera quand même.




Peut-être qu’il pourra choisir entre un saucisson D et un E et prendre le moins pire pour lui.



Ensuite quelqu’un qui mange mal, qui veux changer mais qui n’y connait rien, c’est pas idiot de lui expliquer qu’un paquet de sucre c’est E, alors qu’un paquet de pâte c’est A :glasses: