moofushi - stock.adobe.com

Outre-Manche, une loi sur le signalement des cyber-incidents en 2025

Le gouvernement britannique estime que l’obligation de signaler les incidents de cybersécurité dans les secteurs critiques de l’économie permettra d’obtenir une meilleure image du paysage des menaces et d’apporter des réponses plus proactives et préventives.

Le nouveau gouvernement britannique a dévoilé d’autres détails sur son projet de loi sur la cybersécurité et la résilience, confirmant qu’il contiendra une clause rendant obligatoire la centralisation des rapports d’incidents, y compris en cas de cyberattaques avec ransomware.

L’administration de Keir Starmer a pour la première fois évoqué la possibilité d’une loi sur la déclaration obligatoire dans le discours du roi en juillet 2024, et les deux principaux objectifs du projet de loi (élargir le champ d’application de la réglementation actuelle et brosser un tableau plus précis du paysage des menaces) ont été chaleureusement accueillis par les experts à l’époque.

Dans cette mise à jour, publiée le 30 septembre sans grand bruit, Westminster a indiqué qu’il prévoyait d’introduire le projet de loi en 2025 et qu’une consultation publique était en cours de préparation.

Les événements récents – tels que les cyberattaques avec rançongiciel contre les fournisseurs du service de santé britannique, le NHS, et les acteurs étatiques hostiles découverts dans les réseaux du ministère de la Défense – ont montré que les conséquences des cyberincidents pouvaient être graves et que les lois britanniques n’avaient pas suivi le rythme de l’évolution technologique. D’où la nécessité de renforcer les défenses du pays et de protéger les infrastructures nationales critiques (les OIV en France) et les services numériques.

En outre, selon Westminster, les réglementations existantes reflètent le droit hérité de Bruxelles après le Brexit, et comme elles sont maintenant rapidement remplacées dans l’Union européenne, avec NIS2, le changement est encore plus urgent pour s’assurer que le Royaume-Uni ne devienne pas la proie facile de la région, et pour aider les entreprises britanniques à rester sur un pied d’égalité avec leurs concurrents et leurs pairs de l’autre côté de la Manche.

Mises à jour essentielles

Le projet de loi apportera des « mises à jour cruciales » à ce cadre hérité du passé, tout d’abord en élargissant son mandat pour protéger davantage de secteurs, en comblant les lacunes dans les défenses et, espérons-le, en empêchant d’autres attaques, comme celle ayant frappé Synnovis, partenaire des services de laboratoire du NHS, qui a longuement perturbé les soins aux patients dans tout le sud de Londres.

Deuxièmement, le gouvernement espère renforcer la position des régulateurs, tels que l’Information Commissioner’s Office (ICO) – l’homologue britannique de la CNIL –, afin de garantir la mise en œuvre de mesures de sécurité adéquates, en prévoyant éventuellement des mécanismes de recouvrement des coûts pour mieux doter ces organismes en ressources, et en en renforçant les pouvoirs pour lui permettre d’enquêter de manière proactive sur les vulnérabilités. Un total de 12 organismes de réglementation devrait détenir en fin de compte ces responsabilités et en bénéficier.

Enfin, le gouvernement britannique espère que la déclaration obligatoire des incidents lui fournira de meilleures données sur les incidents de sécurité et les attaques avec ransomware. De quoi contribuer à améliorer la compréhension globale du paysage des menaces et même à fournir des alertes précoces en cas d’attaques potentielles. Une approche qui rappelle la création du GIP Acyma, en France, porteur de la plateforme cybermalveillance.gouv.fr. 

Au stade actuel de la planification, les règlements couvriront les secteurs des transports, de l’énergie, de l’eau potable, de la santé et des infrastructures numériques, ainsi que les services numériques, y compris les marchés en ligne, les moteurs de recherche et les services de cloud.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)