L’obligation de CYBER SCORE s’intègre à la RSE
Dès le 1er octobre 2023, le cyberscore sera obligatoire. A l’image du nutriscore ou de l’étiquette énergétique, l’étiquette cyber a un triple objectif : informer sur le niveau de sécurité, favoriser l’achat auprès de fournisseurs et partenaires “responsables” et lier la cybersécurité à la RSE avec la responsabilité numérique des entreprises (RNE).
Afin de lutter contre les différentes menaces ou failles et de se retrouver face à une dégradation des relations et actifs de l’entreprise, la loi du 3 mars 2022 instaure la mise en place d’un cyber score.
Elle sera applicable dans un premier temps à tous les grands opérateurs du numérique tels que les plateformes en ligne, logiciels de visioconférences, systèmes de messagerie…. Un décret viendra préciser les seuils, le périmètre et la durée de validité du cyber score.
Bien que non concernées pour l’instant par le cyber score, les startups et les PME ont tout intérêt à se lancer d’ores et déjà, dans la mise en place de démarches numériques responsables et de les communiquer afin d’être valorisées par leur cyber score.
Pourquoi les startups et PME ont-elles intérêts à s’emparer du cyber score ?
L’objectif du cyber score est de délivrer un niveau d’information sur les solutions utilisées, c’est à dire de favoriser les achats auprès des entreprises utilisant des solutions sécurisées et appliquant des démarches responsables. Il place la responsabilité numérique au cœur de la stratégie pour en faire un levier de déploiement et valorisation des actifs de l’entreprise. Par exemple, le texte rend le critère cyber du prestataire comme un élément de choix des acheteurs pour exclure les risques économiques, environnementaux, sociaux ou de réputations liés à la défaillance cyber d’un prestataire.
De par l’utilisation d’outils informatiques simples par rapport aux grandes entreprises, les start-ups et PME peuvent tirer rapidement leur épingle du jeu face aux grandes plateformes et aux grandes entreprises engluées dans la gestion d’une multitude de solutions et souvent piégées par leurs données collectées et éparpillées dans différents lieux.
En affichant, un bon score en s’engageant préventivement dans cette démarche, les petites entreprises peuvent à la fois séduire des structures de tailles raisonnables et les particuliers à une échelle de proximité.
Quels sont les critères de l’étiquette cyber ?
L’audit pour déterminer le niveau sera géré par l’Anssi qui délivrera des agréments à des prestataires experts.
Plusieurs indicateurs permettent de déterminer le cyber score :
- La nature technique telle que la mise en place de chiffrement de bout en bout.
- La nature de comportementale de l’acteur et sa réputation. “Le nombre de condamnations par une autorité chargée de la protection des données à caractère personnel ou le nombre de failles logicielles mises à jour” figurent dans les éléments précisés par le législateur.
- La nature juridique,” comme l’existence d’une loi à portée extraterritoriale menaçant la protection des données à caractère personnel des utilisateurs” figure comme critère.
En quoi le cyber score va t’il intégrer la responsabilité sociétale de l’entreprise ?
La mise en place de cet outil traduisant la confiance et la responsabilité de l’entreprise envers les tiers, devrait permettre d’afficher à la fois, le niveau de maturité sur la préservation des données et des ressources numériques et physiques. Il va également compléter l’évaluation des performances financières et sociales tout en créant une dynamique de valeurs positives.
La protection numérique et la sécurité des données à travers l’étiquette cyber va compléter l’étiquette environnementale, l’étiquette sociale et économique pour s’intégrer dans le référentiel RSE. La protection des données va s’inscrire naturellement comme un axe supplémentaire de la politique RSE.
Derrière l’étiquette, se cache la réalité des pratiques de l’entreprise. Un cyber score faible écartera l’entreprise des écosystèmes et des affaires et attirera rapidement les cybercriminels.