Le député de la Vendée et membre de la Commission des Lois Philippe Latombe a accordé une interview à Digitemis. Il revient sur la genèse de la loi du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques, qui a été adoptée par le Parlement le 3 mars dernier. Cette loi oblige les plateformes numériques à faire auditer leur cybersécurité par un prestataire certifié ANSSI et surtout à afficher le résultat de l’audit, qualifié de cyberscore, aux consommateurs à l’aide d’une notation et d’un code couleur, comme c’est déjà le cas pour le nutriscore. Avec pour ambition de renforcer la cybersécurité des sites web et des données personnelles des citoyens français.
Philippe Latombe (député de la Vendée): « Le cyberscore augmentera la sécurisation des sites web et des données personnelles »
Cyberscore : les questions posées à Philippe Latombe, député de la Vendée
6. Quels enseignements peut-on tirer de la situation en Ukraine et du contexte actuel de cyberguerre ?
1. Qu’est-ce que le cyberscore ?
Philippe Latombe : « Le cyberscore est l’équivalent pour le web du nutriscore, ce score qui s’affiche sur les emballages alimentaires avec les lettres colorées classées de A à E. L’idée du cyberscore est d’acculturer l’internaute à la protection de sa vie en ligne. Actuellement, lorsque l’on consulte un site web, rien ne signale qu’il est sécurisé ou non, que les informations sont correctement chiffrées ou protégées. Rien n’indique également si les données sont stockées et traitées en France ou à l’étranger.
Un site web dont le cyberscore est A signifiera qu’il accorde une grande importance à la protection des données de ses clients, qu’il est très respectueux du RGPD et qu’il est transparent au sujet de la localisation des données traitées. Le cyberscore mettra aussi en lumière les sites qui protègent peu ou prou les données personnelles des internautes : par exemple, le site de vente en ligne chinois Wish – accusé d’avoir des produits contrefaits par ailleurs – traite et réutilise les données collectées en Chine pour en faire d’autres usages. Son cyberscore sera donc très mauvais et variera entre D ou E, voire pire en fonction de la grille d’évaluation qui sera créée. L’intérêt du cyberscore réside dans le fait qu’il est porté à la connaissance des internautes. »
2. Quel est l’objectif du cyberscore ?
Philippe Latombe : « L’objectif du cyberscore est de permettre à nos concitoyens de disposer d’une information sur le niveau de sécurité d’un site web ou de l’application numérique dont ils ont besoin et qu’ils utilisent. Par conséquent, le cyberscore est un moyen de renforcer la cybersécurité des sites et des données personnelles. Et donc de lutter contre les cyberattaques. Le cyberscore peut indiquer aux consommateurs qu’un site web est bien protégé, qu’il offre des protections cyber optimales, qu’il minimise le risque de pertes de données de ses utilisateurs.
Nous avons intégré la localisation des données dans la loi : c’est un amendement non désiré par le gouvernement mais que l’Assemblée Nationale puis le Sénat ont adopté dans les mêmes termes. Le principe de la localisation permet à nos concitoyens de connaître le lieu de stockage et de traitement des informations. Par exemple, on sait que Facebook ne traite pas ses données en Europe mais aux États-Unis. Donc, à l’avenir, Facebook devra l’indiquer clairement. Le cyberscore n’est pas un moyen de lutte mais d’information. L’idée est de créer de la transparence pour que Facebook comme l’ensemble des autres sites web soient transparents sur la localisation des données collectées et traitées. »
3. Quelles motivations ont poussé le Parlement à adopter cette loi ?
Philippe Latombe : « Aujourd’hui, on se rend compte que nos concitoyens ne sont pas forcément habitués à faire attention lorsqu’ils sont en ligne. Et ça se retourne contre eux et contre leurs intérêts. Par exemple, de nombreux citoyens français sont encore victimes de campagnes de phishing au motif d’apporter une aide financière à une personne en difficulté et qui les sollicite par email. Et ils transfèrent des sommes d’argent parfois importantes à des pirates malintentionnés.
Le problème, dans les cas de phishing, c’est que leurs données personnelles déposées sur les sites web (numéro de téléphone, identité, adresse email…), sont susceptibles d’être réutilisées à mauvais escient par les pirates. Dans ce contexte, le cyberscore est une mesure d’incitation pour nos concitoyens à redoubler d’attention. »
4. Quels seront les critères d’évaluation du cyberscore ?
Philippe Latombe : « La proposition de loi ayant été adoptée récemment, les critères d’évaluation du cyberscore seront fixés à la fin de l’année 2022 pour une application de la loi en octobre 2023. Cela vaut notamment pour l’éventail des sanctions, le montant des amendes – qui pourrait s’élever à 375 000 € pour les sites web réfractaires au cyberscore – et la désignation des organismes publics habilités à contrôler et à sanctionner les sites web (CNIL, ANSSI et/ou ARCOM).
Ce futur décret sera le fruit d’un travail complémentaire entre le gouvernement, le secrétariat d’État au numérique, la CNIL et l’ANSSI. Il nous permettra d’allier flexibilité et rapidité afin de répondre efficacement aux changements induits par cet univers mouvant qu’est Internet, comme par exemple avec l’apparition du métavers. Nous laisserons le temps nécessaire aux sites web pour qu’ils se conforment au décret et qu’ils se fassent auditer. Le futur décret règlera ce qui est de l’ordre du RGPD et ce qui ne l’est pas. Ce cyberscore est un gage de sécurité et d’application du RGPD. Si une plateforme n’applique pas le cyberscore, cela indiquera qu’elle ne respecte pas le RGPD. »
5. Le cyberscore ne sera-t-il pas un moyen de stigmatiser des plateformes pour en faire une cible plus facile des pirates ?
Philippe Latombe : « C’est ce que l’on peut appeler le deuxième effet kiss cool. Si un site web est faible sur le plan de la cybersécurité, il est susceptible d’être la proie de pirates et la cible de cyberattaques. Il faut donc que cette information soit publique et que le propriétaire de ce site web prenne conscience de la nécessité de renforcer sa cybersécurité. Les consommateurs doivent être informés, à charge pour les propriétaires de se conformer à la loi. Le cyberscore doit inciter les éditeurs web à sécuriser tous leurs produits.
Concrètement, nous imposerons à Google et aux différents moteurs de recherche l’affichage du cyberscore dans les résultats de recherche, qui sera visible sous la forme d’une lettre et d’un code couleur comme c’est le cas pour le nutriscore. Les grands acteurs du marché disposent des moyens techniques et financiers pour se conformer rapidement à la loi. Ce ne sera donc pas un souci pour eux. Cette nouvelle législation sera vraiment intéressante pour les plateformes françaises – de commerce en ligne notamment – qui appliquent scrupuleusement le RGPD, qui opèrent sur le territoire national mais qui se voient concurrencées par certaines plateformes chinoises (comme Shein ou Wish), celles-là même qui vendent des produits bas de gamme et ne sécurisent pas les données de leurs consommateurs. »
6. Quels enseignements peut-on tirer de la situation en Ukraine et du contexte actuel de cyberguerre ?
Philippe Latombe : « Les pays du monde entier sont attentifs à ce qui se passe dans le domaine cyber. Les cyberbattaques qui touchent certains pays risquent de se reproduire en Europe. On a bien vu que la guerre cyber avait précédé la guerre physique. La crise ukrainienne a montré ce qu’un nombre de spécialistes avaient déjà dit, à savoir que la guerre moderne est d’abord cyber. Avec le cyber, on peut parfois faire beaucoup plus de dégâts qu’avec des tanks. Des groupes de hackers freelance opérant en Russie sont certainement instrumentalisés par le pouvoir russe dans le but de réaliser des cyberattaques contre les pays européens qui soutiennent l’Ukraine, comme ce fut le cas récemment contre un parc éolien en Allemagne.
Aujourd’hui, une vraie menace plane sur les réseaux bancaires et sur les transactions financières. Le pouvoir russe souhaite nous montrer qu’il est capable de nous sanctionner à son tour. Les ANSSI et CNIL européennes, les services de renseignement et de sécurité spécialisés dans le cyber communiquent énormément entre elles, c’est l’une des clés de leur efficacité (les gouvernements ne sont pas les spécialistes). L’ANSSI intervient rapidement pour résoudre chaque cyberattaque et pour informer les citoyens français. Dans ce contexte et du fait de la présidence française de l’Union européenne, notre pays a un rôle de chef d’orchestre à jouer. »
7. Quel est le niveau de protection de la France face aux cyberattaques ?
Philippe Latombe : « Certes, aucun système n’est infaillible et on ne peut pas dire s’il est réellement protégé à 100%. Mais les grands groupes français et les Opérateurs d’Importance Vitale (OIV) sont déjà sensibilisés à la cybersécurité et ont développé des protections. Il y a du mieux dans les hôpitaux français puisque, du fait des attaques qui les ont touchées au début de la crise du Covid 19, ils ont dû renforcer leur sécurité. Je suis plus inquiet pour la cybersécurité des PME, des ETI et des collectivités territoriales en France car elles accusent beaucoup de retard dans ce domaine et sont très sensibles aux attaques. Par exemple, si une mairie devait perdre ses données, ce sont des données d’état civil, de cadastres, des données de la vie quotidienne des administrés qui seraient perdues. Ce qui serait très problématique. »
Je partage
Derniers articles
Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur
Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !
Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client
Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?