Hexatrust estime que les textes publiés à ce sujet manquent d’ambition pour répondre complètement à son double-objectif, qui est de représenter un repère de confiance pour les Français dans leur usage d’internet tout en améliorant la sécurité globale de leur navigation web, notamment au regard des possibilités techniques offertes par les acteurs souverains du numérique sur ce sujet.

Le 25 avril 2023, Hexatrust a émis un document qui revient sur sa position par rapport à la question du Cyberscore, défini par la loi du 3 mars 2022. Inspiré du Nutriscore, il s’agit d’un outil de notation permettant aux internautes d’évaluer leur cybersécurité lorsqu’ils naviguent sur des sites ou des réseaux sociaux. Si Hexatrust salue cette loi instituant une certification de cybersécurité des plateformes numériques, il déplore néanmoins le manque d’ambition des décrets liés à ce texte et que le double-objectif du Cyberscore ne soit pas atteint, à savoir représenter un repère de confiance pour les Français dans leur usage d’internet tout en améliorant la sécurité globale de leur navigation web, notamment au regard des possibilités techniques offertes par les acteurs souverains du numérique sur ce sujet.

Grâce aux contributions de ses adhérents, Hexatrust identifie trois axes de réflexion pour ce nouvel outil et émet quelques suggestions pour en améliorer le fonctionnement.

Le Cyberscore doit être un repère de confiance pour les Français 

Tout comme le Nutriscore constitue un repère de confiance pour les Français en ce qui concerne leur alimentation, le Cyberscore doit en être de même dans le domaine de la cybersécurité. Le projet de décret actuel fixe pour 2024 le seuil de visiteurs uniques par mois à 25 millions, puis à 15 millions pour 2025. Ce seuil est beaucoup trop élevé, ce qui a pour effet de restreindre l’application du Cyberscore à quelques plateformes, alors qu’il serait intéressant que des plateformes moins visitées puissent être concernées par cette notation. Aussi, Hexatrust demande à « prévoir dès à présent dans le décret l’évolution des seuils et l’extension des critères d’application des années à venir » afin que plus de plateformes puissent être concernées par son application. Il propose aussi « qu’un seuil lié au chiffre d’affaires soit intégré dans les critères d’applicabilité ».

 Le Cyberscore doit être un outil effectif de la cybersécurité 

La note attribuée par le Cyberscore, allant de A à F, doit être le reflet effectif du niveau de sécurité de la plateforme. Or, le décret actuel prévoit que l’audit permettant de fixer cette notation soit déclaratif et ouvert, ce qui pourraient inciter certaines plateformes à ne pas indiquer publiquement leur position sur certains critères. Hexatrust suggère que « l’auditeur puisse demander toute preuve nécessaire à la validation d’un des critères » et que la note de F soit attribuée par défaut à toute plateforme ne souhaitant pas dépasser l’audit déclaratif. Il demande que « toute plateforme qui le souhaite (…) puisse librement être auditée et afficher son cyberscore » mais aussi à ce que « les critères soient régulièrement mis à jour en fonction de l’évolution des vulnérabilités constatées par les autorités ».