Cybersécurité : les acheteurs publics auront-ils leur « cyberscore » ?
Publié par Clément Bohic le - mis à jour à
Quelle forme et quels destinataires pour le « cyberscore » qu'a esquissé le Sénat ? Le gouvernement s'oppose notamment à son exploitation sur les marchés publics.
La sensibilisation des acheteurs publics sur les questions de cybersécurité passe-t-elle par une modification de la réglementation ? Le gouvernement en doute. Il s'est d'ailleurs récemment prononcé en défaveur d'une mesure dans ce sens. C'était lors de l'examen, au Sénat, d'une proposition de loi dont Laurent Lafon (Union centriste, Val-de-Marne) est à l'origine.
Le texte initial, déposé le 15 juillet dernier, comprenait deux articles.
Le premier consistait à ajouter un alinéa au Code de la consommation. Objectif : obliger les opérateurs de plates-formes numériques à fournir un « diagnostic de cybersécurité » concernant les données hébergées par eux-mêmes ou par leurs prestataires. Les indicateurs devaient être définis par décret, tout comme la liste des organismes habilités à effectuer ces diagnostics.
L'article 2 visait à intégrer, dans le Code de la commande publique, les « impératifs de cybersécurité ».
Les dépositaires évoquaient alors l'idée d'une présentation sur le modèle du diagnostic de performance énergétique, destiné à décrire l'impact environnemental des logements. Ils suggéraient de prendre pour base les CSPN (certificats de sécurité de premier niveau) que délivre l'ANSSI. Et de les rendre obligatoires, avec un protocole plus léger.
L'esquisse d'un cyberscore.
Le 13 octobre, la commission des affaires économiques avait adopté un amendement de réécriture, déposé la veille. Avec lui, il ne s'agissait plus d'insérer un simple alinéa dans le Code de la consommation, mais un article. Destiné notamment à :
. pour les consommateurs
Le 22 octobre, lors de l'examen en séance publique, les sénateurs ont adopté quatre amendements. Le gouvernement était à l'origine de deux d'entre eux, respectivement destinés à :
Motif : en portant sur l'ensemble des marchés quel que soit leur objet, ledit article contrevient au principe fondamental d'égalité devant la commande publique. Ce qui pourrait se concevoir pour le critère du développement durable ne peut s'appliquer pour la cybersécurité, qui ne peut porter que sur les achats de prestations informatiques, estime le gouvernement. Et de préciser : « L'état actuel du droit offre déjà tous les outils nécessaires à la prise en compte de la cybersécurité dans les marchés informatiques ». Il en veut pour preuve l'article R. 2151-7 du Code de la commande publique. Celui-ci permet la prise en compte de la valeur technique d'une offre dans le choix des critères d'attribution.
Le gouvernement s'en est remis à la sagesse du Sénat pour le troisième amendement, qui a rétabli la notion de « fournisseurs de services de communication ». Il a en revanche donné un avis défavorable sur le quatrième. Lequel a deux objectifs. D'un côté, rendre obligatoire la présentation du diagnostic sous la forme d'un « système d'information coloriel ». De l'autre, lui donner de la visibilité en imposant son affichage sur les pages d'authentification aux services concernés.
Le texte est désormais dans les mains de l'Assemblée nationale. Et plus précisément de sa commission des affaires économiques.
Illustration © hywards - stock.adobe.com