Le Cyberscore, le Nutriscore des sites web pour la cybersécurité. Pourquoi pour qui ? Comment obtenir une note A ?

SOMMAIRE

1. Cyberscore  de quoi parle-t-on ?

2. Pourquoi le législateur a-t-il  voulu cette réglementation ?

3. Comprendre l’évaluation de la sécurité d’un site web

4. Les risques liés à une faible note de cyberscore

5. Les avantages d’un bon cyberscore

6. Quelle sont les mesures actives de sécurité à  mettre en oeuvre ?

7. L’intérêt du WAF (Web Application Firewall)

Cyberscore  de quoi parle-t-on ? 

Le législateur français a voulu, par la loi de mars 2022,  mettre en œuvre un Cyberscore sur le même modèle que le Nutriscore.

Le Cyberscore est donc un système d’évaluation de la sécurité des sites web/réseaux sociaux/ moteurs de recherche dont le décret/l’arrêté définissant les modalités doit être publié au 1ᵉʳ octobre 2023. Sa mise en œuvre est prévue à partir du 1ᵉʳ janvier  2024. 

Semblable au Nutriscore, qui évalue la qualité nutritionnelle des produits alimentaires, le Cyberscore attribuera une note aux sites web en fonction de leur niveau de sécurité. Le but de ce système est d’informer les utilisateurs, y compris ceux qui ne sont pas experts en cybersécurité, sur la sécurité des sites qu’ils visitent. 

Les sites concernés incluront les réseaux sociaux, les grandes plateformes en ligne, les services de messagerie instantanée, les moteurs de recherche et les services de visioconférence

Pourquoi le législateur a-t-il voulu cette réglementation ? 

La sécurité de vos données en ligne est une préoccupation majeure pour tout professionnel, et c’est là que le Cyberscore entre en jeu.  Le Cyberscore est un indice de sécurité pour les sites web qui évalue leur niveau de vulnérabilité aux cyberattaques  pour la bonne information du citoyen. Plus votre site web a un bon score, plus il est protégé contre les menaces en ligne et plus le citoyen a confiance dans le site d’un point de vue sécurité. 

Dans cet article, nous allons examiner :

• l’importance du Cyberscore pour les professionnels 
• les risques liés à une faible note de Cyberscore
• les pratiques de sécurité recommandées pour protéger votre site web

Nous discuterons également de l’intérêt du WAF (Web Application Firewall) pour améliorer votre score. Si vous êtes soucieux de la sécurité de votre site web, poursuivez la lecture pour en savoir plus sur le Cyberscore et comment l’améliorer.

Comprendre l’évaluation de la sécurité d’un site web

La Direction Générale des Entreprises (DGE) du ministère des Finances est en charge de l’élaboration du décret. Elle travaille avec L’ANSSI ( Agence Nationale de Sécurité des Systèmes d’Information) pour la partie concernant l’arrêté. La DGE  lors de sa consultation publique,  a publié en avril 2023 une mouture provisoire de l’arrêté à paraître qui donne une idée provisoire de ce que seront les modalités du Cyberscore.

Les sites concernés pourraient être soit ceux ayant plus de 25 millions de visiteurs uniques par mois, soit 10 sites en France ou 15 millions, soit 20 sites en France. Le seuil peut aussi concerner les sites avec ces seuils, mais en visiteurs totaux par mois, soit respectivement les 70 premiers sites ou les 130 premiers sites français. Le seuil pourrait aller à 5 millions de visiteurs par mois. Ces seuils sont en discussion. Ce qui est sûr, c’est qu’à terme le Cyberscore s’imposera comme le Nutriscore comme un gage de confiance.   

Le projet d’arrêté présente les critères majeurs permettant de définir la note finale, à savoir : 

• des mesures d’organisation et de gouvernance
• des mesures de protection des données. Sachant que l’exposition des données du service numérique à des législations à portées extraterritoriales ne permet pas de dépasser une note C
• La connaissance et la maîtrise du service numérique 
• Le niveau d’externalisation dont la localisation des infrastructures en Europe si on veut dépasser la note C
• Le niveau d’exposition sur internet, ce qui recouvre les mesures actives de sécurité.
• Traitement des incidents de sécurité
• Sensibilisation aux risques cyber et lutte antifraude
• des mesures de développements sécurisés

Il y a par ailleurs, la nécessité de procéder à des évaluations en utilisant des outils automatisés qui effectuent des tests de sécurité sur votre site. La nature précise, à savoir scan passif, actif, pentest ou bug bounty est évoquée sans plus de précisions pour le moment. 

Le rapport final fournit une note de sécurité et des recommandations pour améliorer la sécurité de votre site web.

L’audit sera mené probablement par les organisations qui ont été certifiées PASSI par l’ANSSI. Ce point reste à confirmer

La note obtenue est valable 2 ans. 

Les risques liés à une faible note de cyberscore

Une faible note de cyberscore signifie que votre site web est vulnérable aux cyberattaques. Cela peut entraîner des conséquences graves, telles que des pertes financières, des fuites de données sensibles et une réputation ternie. Par exemple, une violation de données peut non seulement coûter cher à votre entreprise, mais également nuire à la confiance de vos clients envers votre entreprise.

Les avantages d’un bon cyberscore

Une bonne note au  Cyberscore peut aider : 

• À renforcer la confiance des clients envers votre entreprise. Les clients sont plus susceptibles de faire confiance à une entreprise dont le site web est sécurisé. 
• À améliorer le référencement de votre site web. Les moteurs de recherche valorisent les sites web sécurisés.

En fin de compte, un bon niveau de Cyberscore peut devenir un argument de différenciation concurrentielle. En effet, si l’on fait un parallèle, lorsque vous allez au supermarché entre 3 produits : l’un sans Nutricore, l’autre avec un Nutriscore E et un avec un Nutriscore A, lequel choisissez-vous ?   

Enfin, il y a aussi l’argument financier lié aux pertes. En investissant dans la sécurité de votre site web et en améliorant votre score de Cyberscore, vous pouvez réduire considérablement le risque de violations de données et économiser de l’argent à long terme.

Une étude menée par Accenture a révélé que le coût moyen d’une cyberattaque pour une entreprise est de 13 millions de dollars, ce qui souligne l’importance de protéger les données sensibles des clients.

Selon une étude de l’Université de Stanford, les violations de données coûtent en moyenne 3,9 millions de dollars aux entreprises. 

Une étude menée par IBM a révélé que le coût moyen d’une violation de données était de 3,86 millions de dollars, mais que la perte de confiance des clients était la conséquence la plus coûteuse à long terme.

Comment obtenir un A au cyberscore ?

Le cyberscore est un excellent moyen afin d’évaluer la sécurité de votre site web, mais comment pouvez-vous obtenir la meilleure note possible ? 

Comme le précise l’arrêté provisoire cité plus haut, l’obtention de la meilleure note est liée à :

• • Des mesures d’organisation et de gouvernance dont le fournisseur doit être de droit européen, maîtrise des risques, assurance permettant de couvrir les risques numériques, certifications de sécurité (ISO ou ANSSI)
  • Des mesures de protection des données dont pas de revente des données numériques pour avoir la note A+, si les données sont exposées à des législations extra-territoriales la note ne peut dépasser C, mesures assurant une conformité à l’EDPB pour dépasser une note de C.
  • La connaissance et la maîtrise du service numérique dont une cartographie des informations, des partenaires, dossier d’architecture, niveau de maintien en condition opérationnelle, cloisonnement réseau
  • Le niveau d’externalisation dont la localisation des infrastructures en Europe , des sous-traitants en Europe, externalisation de certains sous-systèmes et/ou interfaces sensibles si on veut dépasser la note C
  • Le niveau d’exposition sur internet. Ce qui signifie ici les mesures actives de sécurité. Elles sont détaillées dans le paragraphe suivant
  • Traitement des incidents de sécurité dont sauvegarde, détection et réponse à  incidents , plan de continuité, stratégie de gestion de crise 
  • Sensibilisation aux risques cyber et lutte antifraude pour les employés, les administrateurs et les usagers, avertissements aux usagers.
  • Des mesures de développement sécurisées

Quelles sont les mesures actives de sécurité à  mettre en œuvre ? 

La première étape est de comprendre les principaux risques de sécurité auxquels votre site web est exposé. 

Les hackers ont de nombreuses méthodes pour accéder à votre site web, notamment les attaques par déni de service (DOS ou DDOS le deuxième D pour distribuer), force brute, les injections SQL, les attaques XSS, et bien d’autres encore.

Il est donc important d’identifier les vulnérabilités potentielles de votre site web pour les corriger :

• En faisant un scan de votre site et connaître les failles des logiciels installés et donc faire les mises à jour qui en découlent. Ce point est dans l’arrêté et permet d’atteindre la note C voir B s’ils sont réguliers.
• Au niveau du code du site via des outils d’analyse de code ( Saast /IAST/ Dast) pour limiter les failles sur le site en production
• Une politique de mises à jour de sécurité régulières
• Former vos équipes aux développements sécurisés pour avoir la note A+

Ensuite, il est important de former vos propres employés aux bonnes pratiques de sécurité, telles que :

• La création de mots de passe robustes
• La sensibilisation à l’hameçonnage

Il est aussi important d’évaluer la sécurité de votre site en continu 

Il existe de nombreux outils pour évaluer la sécurité de votre site web, tels que les scanners de vulnérabilités, les tests d’intrusion, les bugs bounty. L’utilisation de ces outils vous permettra d’identifier les failles de sécurité potentielles de votre site web et de les corriger avant qu’elles ne soient exploitées par des cybercriminels.

Enfin, il est essentiel de mettre en place une stratégie de sécurité efficace pour votre site web en production.

Les pratiques de sécurité actives recommandées pour protéger votre site web.

Il existe de nombreuses pratiques de sécurité recommandées pour protéger votre site web, on retrouve la plupart dans le projet d’arrêté  :

• Maîtriser son nom de domaine : pas de délégation de celui pour dépasser la note D
• Utilisation de sous-domaines pour des sous-systèmes spécifiques (paiement, administration, mail, etc.)
• Gestion de l’identification/authentification de l’utilisateur du service avec utilisation de mots de passe robustes et les changer régulièrement.
• Mettre en place un pare-feu pour bloquer les attaques par force brute
• Disposer d’un dispositif contre  les attaques de type DDOS réseau ou applicatives.
• Utiliser un certificat SSL pour chiffrer les données transitant entre le navigateur de l’utilisateur et le serveur web.
• Disposer d’un pare-feu applicatif contre les attaques applicatives connues (TOP 10 OWASP, CVEs) et inconnues (failles zero-day)  
• Installer des mises à jour de sécurité régulières pour votre système d’exploitation, vos applications et vos plug-ins.
• Gestion de l’identification/authentification des administrateurs techniques et fonctionnels du service
• Gestion de l’administration technique du service numérique étudié
• Sécurisation de la messagerie – Utilisation d’un protocole de sécurité (DKIM/DMARC/SPF) dans la gestion de la messagerie

En suivant ces pratiques de sécurité recommandées, vous pouvez améliorer votre score de cybersécurité, protéger votre site web contre les cybermenaces et obtenir un  Cyberscore A ou B.

Pour obtenir le niveau A+ il faut impérativement ne pas revendre les données des utilisateurs/les données techniques ni les partager avec des tiers et avoir des développements sécurisés

L’intérêt du WAF (Web Application Firewall)

Une étude réalisée par Wavestone en 2020  sur 1028 sites/applications web indique que :

• 100% des sites web sont vulnérables aux failles applicatives
• 50% des sites web exposés sur internet au moins ont une faille grave 

En moyenne 1% du trafic sont des attaques, cela pouvant varier de 0,1%  à 30%. Autant dire que les attaques applicatives sont le quotidien des sites web.

Le Web Application Firewall (WAF) est une solution efficace pour protéger votre site web contre ces attaques. Dans cette section, nous allons définir ce qu’est un WAF, expliquer comment il peut aider à améliorer votre Cyberscore et mettre en évidence les avantages du WAF pour protéger votre site web.

Comment le WAF améliore la sécurité de votre site web ?

Un WAF est un type de pare-feu qui examine le trafic web entrant et sortant de votre site web et bloque tout trafic malveillant ou suspect. Le trafic peut être en clair (20% du trafic) ou chiffré (80% du trafic) selon Google.  

Le WAF utilise des règles de sécurité pour identifier les attaques courantes telles que les injections SQL, les attaques de type cross-site scripting (XSS) et les attaques de déni de service (DDoS) s’il est en Saas. Le WAF permet également de filtrer les requêtes entrantes pour s’assurer que les données reçues sont valides et sécurisées.

En utilisant un WAF, vous pouvez améliorer la sécurité de votre site web en bloquant les attaques avant qu’elles ne puissent causer des dommages. Cela peut vous aider à éviter les pertes de données, les temps d’arrêt et les coûts de récupération associés aux attaques réussies. En outre, l’utilisation d’un WAF de nationalité européenne vous aide à éviter les amendes et les sanctions liées à la non-conformité aux normes de sécurité sur les données personnelles telles que la conformité au RGPD.

Les fonctionnalités clés du WAF pour protéger votre site web

Le WAF offre plusieurs fonctionnalités clés pour protéger votre site web contre les attaques. 

• Tout d’abord, il détecte et bloque les attaques de couche 7, qui ciblent les applications web elles-mêmes. Cela inclut les attaques de type injection SQL et les attaques de type XSS. 
• Deuxièmement, le WAF en mode Saas  protège contre les attaques de couche 3 et 4, qui ciblent le réseau sous-jacent. Cela inclut  principalement les attaques DDoS, qui peuvent submerger votre site web avec un trafic inutile et entraîner des temps d’arrêt coûteux.
• Le WAF offre des fonctionnalités de protection contre les bots, qui peuvent être utilisés pour spammer votre site web avec des commentaires ou pour voler des informations sensibles. 
• Enfin, le WAF peut offrir une protection contre les attaques zero-day, qui sont des attaques qui exploitent des vulnérabilités inconnues dans votre site web. Les règles de sécurité préétablies peuvent être mises à jour régulièrement pour protéger contre les dernières menaces.

Pourquoi le WAF est un investissement essentiel pour votre entreprise ?

Investir dans un WAF peut sembler coûteux, mais cela peut en réalité vous faire économiser de l’argent à long terme. En effet, les attaques de cybercriminels peuvent causer des pertes financières importantes pour votre entreprise, allant de la perte de données sensibles à l’indisponibilité de votre site web.

Le WAF permet de détecter et de bloquer les attaques avant qu’elles ne pénètrent dans votre système. Cela signifie que vous pouvez éviter les coûts liés à la récupération de données, à la restauration de votre site web, ou encore à l’indemnisation de vos clients en cas de vol de données.

Investir dans un WAF peut également renforcer la confiance de vos clients envers votre entreprise. En effet, en protégeant efficacement vos données, vous montrez à vos clients que vous prenez leur sécurité au sérieux. Cela peut avoir un impact positif sur la réputation de votre entreprise, ainsi que sur votre chiffre d’affaires.

Enfin, il est important de noter que les attaques informatiques sont en constante évolution. Les cybercriminels sont toujours à la recherche de nouvelles failles pour pénétrer dans les systèmes informatiques. Un WAF est constamment mis à jour pour détecter les nouvelles menaces et garantir la sécurité de votre entreprise.

En investissant dans un WAF, vous pouvez donc vous assurer que votre entreprise est protégée contre les menaces actuelles et futures, tout en renforçant la confiance de vos clients et en évitant des coûts importants liés à une éventuelle attaque.

Comment choisir un WAF adapté à vos besoins ?

Il existe de nombreux fournisseurs de WAF sur le marché, chacun avec ses propres caractéristiques et fonctionnalités. Il est important de choisir un WAF qui convient à vos besoins spécifiques.

Avant de choisir un WAF, vous devez prendre en compte plusieurs facteurs, tels que la taille de votre entreprise, les types de données que vous stockez, vos besoins en termes de temps de réponse et les réglementations auxquelles vous êtes soumis.

Vous devriez également considérer les fonctionnalités du WAF, telles que la détection et la prévention des attaques de type SQLi (injection SQL), XSS (cross-site scripting), et les attaques de déni de service et la capacité à  bloquer les attaques inconnues ( zeroday). Le WAF doit également être capable de fournir des rapports détaillés sur les activités de sécurité pour vous aider à détecter les éventuelles tentatives d’attaques.

Protégez votre entreprise avec un WAF et renforcez votre cyberscore !

Investir dans un Web Application Firewall est une décision essentielle pour protéger votre entreprise contre les cybermenaces et renforcer votre Cyberscore. En sécurisant votre site web, vous pouvez offrir une expérience utilisateur sûre et fiable, améliorer votre réputation en ligne et éviter les coûts élevés liés aux violations de données et aux pertes de productivité.

Chez OGO Security, nous sommes spécialisés dans la sécurité des applications/sites  web et API pour répondre à vos besoins. Nos différenciateurs sont les suivants : 

• Mise en production en 5 minutes d’un nouveau site ou application via redirection DNS
• Aucune configuration, vos sites sont protégés dès leur mise en œuvre car vous bénéficiez d’une sécurité globale de tous les sites/applications sur les 250 paramètres de la solution
• Nous protégeons contre le DDOS, le top 10 OWASP et surtout les failles zero day grâce à notre modèle à base d’intelligence artificielle
• Pratiquement aucun faux positif  (moteurs d’intelligence artificielle) donc aucune gestion ou presque (taux inférieur à 0,0001%)
• Une faible latence (5 ms) n’impliquant aucune dégradation de l’expérience utilisateur et un meilleur référencement sur Google.
• Un tableau de bord très visuel, global ou par client pour visualiser toutes vos attaques.
• 100%  française et conforme RGPD  

Notre équipe d’experts peut vous aider à mettre en place un WAF adapté à votre entreprise et à vos besoins spécifiques.

N’hésitez pas à nous contacter pour en savoir plus sur nos services de sécurité ou pour obtenir une consultation gratuite. Protégez votre entreprise dès maintenant et améliorez votre Cyberscore avec OGO Security.