COMPTOIR
  
register

Composé par ————— —— 15402 vues

Bientôt un CyberScore pour évaluer la sécurité des données numériques ?

On le sait, les entreprises sont majoritairement très friandes des informations de notre vie privée, un point que l'entrée en vigueur du RGPD en mai 2018 a déjà cherché à adresser en imposant l'usage de systèmes suffisamment sécurisés, mais d'autres se posent maintenant aussi la question sur la manière dont les données collectées sont hébergées par ces acteurs ou leurs partenaires, et le niveau de sécurité qui leur est appliqué. L'auteur du projet de loi est le président centriste de la commission de la Culture, Laurent Lafon, et son initiative intéresserait apparemment le gouvernement. De quoi s'agit-il ? L'objectif est de développer un nouvel étiquetage calqué sur le fameux NutriScore qui cherche depuis son introduction à vous alerter sur les valeurs nutritionnelles des produits alimentaires — pour l'anecdote, c'était une initiative française, reprise par bon nombre de pays européens et recommandée par l'OMS. Notez que le dispositif en question n'est pas obligatoire, et ne peut que faire l'objet d'une recommandation et d'une utilisation encadrée.

 

logo cyberscore

 

Un peu dans la même idée, le CyberScore proposé par l'individu susnommé veut informer les utilisateurs d'outils numériques sur le niveau de protection appliqué aux données privées collectées. Un sujet légitime face aux quantités d'informations siphonnée par les différents acteurs et dont la manière de stocker peut souvent interroger, alors que les fuites de données petites et grosses sont toujours des sujets d'actualité plus ou moins réguliers. Avec la hausse suivant le confinement de l'usage des outils numériques et rien n'indiquant que la tendance pourrait s'inverser, l'idée est de créer "un visuel clair et compréhensible" pour informer les utilisateurs et dont les indicateurs seraient fixés par arrêté, et le diagnostic requis effectué par des organismes désignés par l'Anssi. Un modèle qui intégrerait le code de la consommation et ajouterait une obligation de communication aux opérateurs sur la sécurisation des données hébergées chez eux ou même ailleurs.

 

Le champ d'application exact resterait encore à définir, mais les sénateurs ont déjà étendu celui-ci à "tous les services numériques", tandis que le gouvernement a déposé un amendement pour recentrer l'application du CyberScore aux principaux opérateurs dont les plateformes ont "au moins 5 millions de visiteurs uniques par mois" et supprime l'obligation du diagnostic par des organismes habilités. Autrement dit, les opérateurs pourront en réalité procéder à une autoévaluation de leur propre système de protection des données... Peut-on leur faire confiance ? Le projet n'est pas encore adopté, mais semble être en bon chemin et continue son parcours entre les deux chambres du Parlement. Voyez plutôt :

 

 

Des études auraient déjà montré l'efficacité du NutriScore vis-à-vis des consommateurs, la malbouffe existe toujours, mais se vendrait moins qu'un produit noté "A" ou 2B". On peut donc penser qu'un CyberScore pourrait également à terme avoir un impact positif sur la sécurité des données et favoriser les plateformes ayant de bonnes pratiques. Encore faudra-t-il que les opérateurs jouent bien le jeu, surtout considérant leur autoévaluation, et quid de la neutralité du CyberScore ? Limitée à la France seule, l'intérêt risque d'être assez nul, mais on peut très bien imaginer une prochaine initiative européenne comme pour le RGPD qui l'imposerait à toutes les entreprises, y compris située hors UE. Reste aussi à savoir quels seront exactement les critères retenus pour les différentes "notes" et leur description respective (suggestion : A = "Américaaaa", B = "BX", C = "Chine", D = "Da" ?). Bref, ne soyez pas surpris si vous voyez ce CyberScore s'afficher un beau jour dans un coin de la page (ou pire, sous la forme d'une pop-up). Non, ce ne sera pas (encore ?) pour noter la valeur intellectuelle du contenu affiché à l'écran tel que définie par le ministère de la Vérité, mais pour prévenir que l'exploitation de vos données personnelles se fera de manière sécurisée (ou pas), ouf !

Un poil avant ?

Test • GIGABYTE RTX 3090 Gaming OC

Un peu plus tard ...

De nouveaux blocs entrée de gamme chez Cougar, avec ses VTE-X2

Les 7 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !
par Jemporte, le Lundi 26 Octobre 2020 à 14h26  
par Un ragoteur de transit des Pays de la Loire le Dimanche 25 Octobre 2020 à 20h45
Je trouve ça une très bonne idée
Avec ça même Mme Michu saura à peut près à quoi s'en tenir
Parce que Mme Michu est incapable de penser par elle-même ? Et puis en fait ce n'est pas pour Mme Michu mais, dans l'air du temps, pour contrôler l'information, car qui distribue des visas à la tête du client sans vérification, contrôle aussi la fiabilité de l'auto-vérification au jugé.
En gros, ça les emmerderais que ça soit fait par vérification technique réelle.
par Jemporte, le Lundi 26 Octobre 2020 à 14h19  
par Un ragoteur de transit des Pays de la Loire le Dimanche 25 Octobre 2020 à 20h45
Comme les normes genre ISO9001 où les gens font semblant de faire ce qu'il faut pendant l'inspection, puis une fois le certificat délivré on oublie tout pendant 5 ans... si tu a d'autres idées de génie comme ça je suis preneur
Les normes ISO9001 c'est de la connerie en barres. Je parle pas de la taille des caractères manuscrits majuscules des notes entre la secrétaire et son boss.
Je parle d'obligations techniques. la conservation des données, les sites de transactions ont bien des obligations qui ne sont pas de principe mais matérielles (salles closes verrouillées à accès restreint, serveurs connectés diretctement ou pas, sauvegardes régulières sous scellé etc. et l'équipement matériel nouveau doit être inspecté. Il faudrait qu'ils le fassent exprès pour ne pas l'utiliser comme il faut, puisque tout est déjà en place et l'investissement a eu lieu.

Et bien, ce serait pareil pour la partie programmation et organisation logicielle et matérielle du support et des connexions pour garantir la sécurité d'un site. Pas compliqué.
par Un ragoteur de transit des Pays de la Loire, le Dimanche 25 Octobre 2020 à 20h45  
Je trouve ça une très bonne idée
Avec ça même Mme Michu saura à peut près à quoi s'en tenir
par Jemporte le Vendredi 23 Octobre 2020 à 22h03
3615 ma vie
Comme les normes genre ISO9001 où les gens font semblant de faire ce qu'il faut pendant l'inspection, puis une fois le certificat délivré on oublie tout pendant 5 ans... si tu a d'autres idées de génie comme ça je suis preneur
par Jemporte, le Vendredi 23 Octobre 2020 à 22h03  
Ca me rappelle les sites de fake news Covid19, qui en fait mettait en fake news des infos on ne peut plus pertinentes, comme le port du masque et de préférence FFP2. Ils disaient port du masque chirurgical et FFP2 inutile et réservé aux soignants... après même avis contre la transmission du virus par air, une intox parait-il, puis la distance de 1m voire 0.5m suffisait et plus c'était de la fake news, puis les gargarismes, danger de transmission dans les bronches, alors que démontré efficace. Les visas de qualité de contenu, ça n'existe pas.

Mais si on veut faire des trucs utiles correctement, c'est pas une notation qu'il faut mais un véritable visa ou label pour avoir un visa et uniquement pour la sécurité des données, leur stockage, paiement en ligne. Du reste il y a des visas et certificats réputés en ce sens déjà.
J'ai peur qu'ils songent à ce que ces labels, si ce n'est pas du n'importe quoi, aillent imposer telle type de diplôme ou d'accréditation à tel employé, obligation d'avoir une kyrielle de ces postes agrées et des dépenses extravagantes protocolaires et administratives pour ces sites. Et qu'ensuite on songe à filtrer les sites sans agrément voire fliquer ceux qui oseraient ne se limiter qu'à ces sites.
Il y a pas mal de pays où ça fonctionne déjà à peu près comme ça, et je vois tout ce monde en France, admiratif de la "discipline" encadrée chinoise...
par fb10e15e96d8, le Vendredi 23 Octobre 2020 à 16h17  
Chouette, encore un comité Théodule pour engraisser une poignée de copains sur le dos du con-tribuable.
par Un médecin des ragots en Provence-Alpes-Côte d'Azur, le Vendredi 23 Octobre 2020 à 16h00  
Si c'est aussi fiable que le nutri-score
par Codeur, le Vendredi 23 Octobre 2020 à 12h31  
C'est une bonne idée d'avoir des labels de qualités mais il en existe déjà énormément avec pour chacun un type de site cible. Il y a des labels pour les sites d'information, de santé, d'e-commerce...

Pour les données personnelles il y a déjà la CNIL et j'ai du mal à voir comment on peut établir des nuances sur cette base : soit le site respecte les lois, soit il ne le fait pas. En matière de protection des données le simple respect de la loi est déjà un sacré gage de qualité.

Cette proposition ne l'a pas l'air bien efficace. Un tel label ne règlerait aucun problème. Interdire aux grandes plateformes de bloquer les applications clientes tierces serait bien plus productif en matière de vie privée. Aujourd'hui on peut à peut près se protéger des traceurs sur le web, mais sur les applications mobiles on est loin du compte. Le pire c'est que certains services web, comme les banques, obligent désormais à utiliser leur application pour accéder à leur plateforme et en profitent pour récupérer tout un tas d'informations qui ne les concernent en rien...

Le nutriscore est loin d'être parfait aussi puisqu'il ne fait que signaler les produits riches en calories (sucres et matières grasses). Les produits qui ont des apports significatifs en vitamines, minéraux et protéines ne sont pas mis en avant alors qu'ils sont bien meilleurs pour la santé que des produits peu caloriques qui en sont dépourvus. Ici on risque aussi de sanctionner des services qui par leur nature ou modèle économique sont d'avantage susceptibles de collecter des données que d'autres.

Si l'état faisait son travail, à savoir faire respecter la loi par des contrôles et des sanctions, les choses iraient bien mieux. Cette tendance à confier aux entreprises et aux particuliers le travail de police me soule lourdement.