Le gouvernement amènera les prestataires de services et de centres de données gérés en cours de réglementation pour resserrer la cybersécurité.
Si vous êtes une entreprise britannique, ce n’est peut-être pas une bonne nouvelle: l’investissement supplémentaire des fournisseurs d’infrastructures pour répondre aux demandes du prochain projet de loi de cybersécurité et de résilience du gouvernement est susceptible d’augmenter le coût de certains services.
Cela ressemble à l’issue inévitable d’un projet de loi, présenté dans une déclaration de politique par le gouvernement cette semaine, qui affectera pour la première fois une large tranche de sociétés d’infrastructure. Cela comprend, selon les propres estimations du gouvernement, jusqu’à 1 100 fournisseurs de services gérés supplémentaires, 64 opérateurs de centres de données et un nombre non spécifié de petites entreprises dans la chaîne d’approvisionnement numérique.
Le gouvernement reconnaît que, s’il était entièrement mis en œuvre, cela imposera de nouveaux coûts, ce qui signifie que les clients commerciaux utilisant ces prestataires seront confrontés à des factures plus élevées à un moment donné.
Beaucoup de ces prestataires ne sont pas actuellement soumis à la législation existante de cybersécurité régissant les infrastructures nationales critiques, principalement le Règlement sur le réseau et les systèmes d’information 2018 (Royaume-Uni). La nouvelle législation mettra davantage le Royaume-Uni au Royaume-Uni avec le successeur de l’UE du règlement, NIS2.
« Alors que nous nous attendons à ce que cette mesure ait des coûts associés liés aux améliorations et à la conformité de la sécurité, ces investissements positionneront les MSP en tant que partenaires fiables et fiables dans le paysage de la cybersécurité », a indiqué le communiqué du gouvernement.
Que changera le projet de loi?
En plus d’une surveillance plus large, le projet de loi imposera des exigences de rapports plus strictes, obligeant les entreprises à informer le National Cyber Security Center (NCSC) du Royaume-Uni d’un incident important dans les 24 heures. La définition de «significative» comprendra tout ce qui compromet les données, ainsi que, de manière significative, les attaques de la chaîne d’approvisionnement affectant les clients (Stand Up Snowflake).
L’accent mis sur la résilience signifie que les prestataires devront expliquer comment ils se remettraient d’un incident et ne l’éviteraient pas simplement. Le nouveau régulateur de tout cela, le bureau du commissaire à l’information (ICO), recevra des dents, a indiqué le gouvernement. Cela signifiera que l’ICO aura besoin de plus de ressources pour respecter cette étendue, et à bien des égards, intimidant le remise.
Cela signifie pour les entreprises, c’est que les fournisseurs de services, et probablement les principaux opérateurs de centres de données, devront fonctionner selon des normes plus cohérentes. D’une manière générale, cela est positif, bien que beaucoup travailleront déjà vers ces normes sous l’influence des réglementations NIS2.
Pourquoi est-ce nécessaire?
En 2024, le NCSC a répondu à 430 incidents de cybersécurité, dont 89 il a déclaré qu’il avait été considéré comme «significatif à l’échelle nationale». Cela comprenait la grande attaque de ransomwares contre le fournisseur de services de pathologie du NHS, Synnovis en juin dernier, qui a fini par coûter environ 32,7 millions de livres sterling (42 millions de dollars) à réparer.
«L’année dernière, la cyberattaque contre un fournisseur dans les hôpitaux du NHS à Londres a provoqué plus de 11 000 nominations externes aiguës et des procédures électives. «Je ne permettrai pas à cela de continuer. Nous devons prendre des mesures décisives pour fournir un changement efficace et durable.»
Et ce n’est pas seulement un problème pour le secteur public; L’année dernière, le sondage sur les violations des cybersécurité a révélé que la moitié des entreprises britanniques ont subi une forme de cyberattaque au cours des 12 derniers mois, ce qui équivaut à sept millions d’incidents.
Pour illustrer le péril, le gouvernement a souligné qu’une cyberattaque hypothétique dirigée contre une entreprise d’énergie dans le sud-est de l’Angleterre pourrait «essuyer plus de 49 milliards de livres sterling (63 milliards de dollars) de l’économie britannique plus large».
Mettre un couvercle sur ce type de perturbation nécessite une législation pour obliger les fournisseurs à agir, tout en offrant un objectif à viser en termes de conformité.
Les exigences complètes du projet de loi n’ont pas encore été révélées. À l’heure actuelle, tout ce que les organisations affectées savent, c’est son contour général et sa large portée. Lorsqu’il est publié en totalité, le détail sera longuement piqué.
«L’une des annonces clés est l’introduction de MSP qui tombent dans la portée du règlement. Les petites et moyennes entreprises dépendent des prestataires de services gérés pour tous les aspects de leur information informatique et de leur posture de sécurité», a déclaré David Ferbrache, directeur général de la société de conseil en technologie au Royaume-Uni au-delà de Blue. «S’assurer que les MSP prennent la sécurité au sérieux peuvent faire une énorme différence pour ces PME.»
Cependant, Ferbrache était moins sûr du nouveau rôle donné à l’ICO en tant que régulateur. «L’extension du rôle de l’ICO pour réglementer un large éventail de services numériques est un changement majeur dans la portée. Des soins seront nécessaires pour ne pas créer de conflits d’intérêts ou distraire de leur rôle clé en tant que notre autorité nationale de protection des données», a-t-il déclaré.
