Cybersécurité : les acheteurs publics auront-ils leur "cyberscore" ?
Publié par Clément Bohic le - mis à jour à
Quelle forme et quels destinataires pour le "cyberscore" qu'a esquissé le Sénat ? Le gouvernement s'oppose notamment à son exploitation sur les marchés publics.
La sensibilisation des acheteurs publics sur les questions de cybersécurité passe-t-elle par une modification de la réglementation ? Le gouvernement en doute. Il s'est d'ailleurs récemment prononcé en défaveur d'une mesure dans ce sens. C'était lors de l'examen, au Sénat, d'une proposition de loi dont Laurent Lafon (Union centriste, Val-de-Marne) est à l'origine.
Le texte initial, déposé le 15 juillet dernier, comprenait deux articles.
Le premier consistait à ajouter un alinéa au Code de la consommation. Objectif : obliger les opérateurs de plates-formes numériques à fournir un "diagnostic de cybersécurité" concernant les données hébergées par eux-mêmes ou par leurs prestataires. Les indicateurs devaient être définis par décret, tout comme la liste des organismes habilités à effectuer ces diagnostics.
L'article 2 visait à intégrer, dans le Code de la commande publique, les "impératifs de cybersécurité".
Les dépositaires évoquaient alors l'idée d'une présentation sur le modèle du diagnostic de performance énergétique, destiné à décrire l'impact environnemental des logements. Ils suggéraient de prendre pour base les CSPN (certificats de sécurité de premier niveau) que délivre l'ANSSI. Et de les rendre obligatoires, avec un protocole plus léger.
L'esquisse d'un cyberscore...
Le 13 octobre, la commission des affaires économiques avait adopté un amendement de réécriture, déposé la veille. Avec lui, il ne s'agissait plus d'insérer un simple alinéa dans le Code de la consommation, mais un article. Destiné notamment à :
- Étendre le dispositif à tous les fournisseurs de services de communication au public dont l'activité en France "dépasse un ou plusieurs seuils définis par décrit". Autrement dit, aller au-delà de la seule notion de "plateformes en ligne". Et inclure ainsi, entre autres, les logiciels de visioconférence, pris pour exemple lors de l'exposé du texte initial.
- Fixer les indicateurs et la durée de validité des diagnostics par arrêté, afin que celui-ci puisse être modifié facilement.
- Confier à l'ANSSI la désignation des organismes habilités, plutôt que de s'appuyer sur un décret.
- Accompagner éventuellement les diagnostics "d'une présentation ou d'une expression [...] au moyen de graphiques ou de symboles". Par exemple un "logo de type Nutri-Score", avait expliqué la rapporteure.
... pour les consommateurs
Le 22 octobre, lors de l'examen en séance publique, les sénateurs ont adopté quatre amendements. Le gouvernement était à l'origine de deux d'entre eux, respectivement destinés à :
- Supprimer l'article 2
Motif : en portant sur l'ensemble des marchés quel que soit leur objet, ledit article contrevient au principe fondamental d'égalité devant la commande publique. Ce qui pourrait se concevoir pour le critère du développement durable ne peut s'appliquer pour la cybersécurité, qui ne peut porter que sur les achats de prestations informatiques, estime le gouvernement. Et de préciser : " L'état actuel du droit offre déjà tous les outils nécessaires à la prise en compte de la cybersécurité dans les marchés informatiques ". Il en veut pour preuve l'article R. 2151-7 du Code de la commande publique. Celui-ci permet la prise en compte de la valeur technique d'une offre dans le choix des critères d'attribution. - D'une part, recentrer le texte sur les "opérateurs de plateformes en ligne", et plus précisément celles qui enregistrent au moins 5 millions de visiteurs uniques par mois. De l'autre, supprimer l'obligation de recourir à des organismes habilités. Ce qui ouvre la voie à des autoévaluations et à un système de contrôle a posteriori par la DGCCRF. Laurent Lafon et. al. ont émis des réserves sur ce point, appelant à des moyens "renforcés". Ainsi qu'à la définition d'indicateurs "suffisamment ambitieux et pertinents".
Le gouvernement s'en est remis à la sagesse du Sénat pour le troisième amendement, qui a rétabli la notion de "fournisseurs de services de communication". Il a en revanche donné un avis défavorable sur le quatrième. Lequel a deux objectifs. D'un côté, rendre obligatoire la présentation du diagnostic sous la forme d'un "système d'information coloriel". De l'autre, lui donner de la visibilité en imposant son affichage sur les pages d'authentification aux services concernés.
Le texte est désormais dans les mains de l'Assemblée nationale. Et plus précisément de sa commission des affaires économiques.
Article originellement publié sur Silicon, média appartenant, comme Décision Achats, au groupe NetMedia