Les soins de santé, l’énergie, les transports et les services numériques sont confrontés à des règles de conformité plus strictes à mesure que les ministres obtiennent le pouvoir d’intervenir lors de cyberincidents majeurs.
Le gouvernement britannique a introduit une nouvelle législation visant à renforcer les cyberdéfenses nationales sur les infrastructures critiques, en imposant des sanctions basées sur le chiffre d’affaires et en accordant aux ministres des pouvoirs d’urgence pour intervenir lors de cyberincidents majeurs.
Le projet de loi sur la cybersécurité et la résilience, dévoilé mardi, obligerait les organisations des secteurs de la santé, de l’énergie, de l’eau, des transports et des services numériques à respecter les normes de sécurité obligatoires et à signaler les cyberincidents importants dans les 24 heures.
Les entreprises qui ne se conforment pas à ces règles pourraient se voir infliger des amendes journalières allant jusqu’à 132 000 dollars (100 000 livres sterling) ou des pénalités liées au chiffre d’affaires annuel, a indiqué le ministère de la Science, de l’Innovation et de la Technologie (DSIT) dans un communiqué.
Le projet de loi, qui devrait recevoir la sanction royale en 2026, met à jour les réglementations britanniques sur les réseaux et les systèmes d’information (NIS) 2018, élargissant pour la première fois la couverture pour inclure les fournisseurs de services gérés (MSP), les centres de données et les fournisseurs clés. Il soutient la stratégie du Plan pour le changement du gouvernement visant à renforcer la résilience nationale tout en stimulant la croissance économique, ajoute le communiqué.
Pénalités liées au chiffre d’affaires et changement de comportement
Le projet de loi marque un tournant dans la manière dont le Royaume-Uni applique la conformité en matière de cybersécurité. « Les sanctions modifient les comportements d’une manière que les amendes forfaitaires ne pourraient jamais faire », a déclaré Sanchit Vir Gogia, analyste en chef et PDG de Greyhound Research. « Pour les grands opérateurs, chaque violation entraîne désormais un coût proportionnel à leur portée sur le marché. Ce lien entre impact et responsabilité oblige à investir avant l’incident, et non après. »
La législation a introduit des pouvoirs d’application nettement plus stricts que ceux trouvés dans la directive européenne NIS2 ou RGPD, a déclaré Madelein van der Hout, analyste senior chez Forrester. « Le projet de loi crée un précédent en matière d’application plus stricte de la cybersécurité en combinant des sanctions basées sur le chiffre d’affaires avec des pouvoirs gouvernementaux d’urgence. »
La proposition fait suite à une série de cyberincidents dommageables qui ont révélé les vulnérabilités des infrastructures britanniques. En 2024, des pirates ont compromis un système de paie du ministère de la Défense via un sous-traitant, exposant ainsi les données de 270 000 membres des forces armées. L’attaque du ransomware Synnovis contre un prestataire de pathologie du NHS a perturbé plus de 11 000 rendez-vous médicaux, coûtant environ 43 millions de dollars (32,7 millions de livres sterling). La violation de la British Library fin 2023 a entraîné des pertes pouvant atteindre 9 millions de dollars (7 millions de livres sterling), et les récentes attaques contre Marks & Spencer et Jaguar Land Rover ont renouvelé la pression sur les décideurs politiques pour qu’ils agissent.
Une étude indépendante citée par DSIT estime que les cyberattaques coûtent à l’économie britannique environ 19,4 milliards de dollars (14,7 milliards de livres sterling) chaque année, soit environ 0,5 % du PIB.
Les MSP et les centres de données sous surveillance
Pour la première fois, les fournisseurs de services gérés (MSP) de taille moyenne et grande entreraient dans le champ d’application de la réglementation en matière de cybersécurité. Ils doivent signaler rapidement les incidents importants au gouvernement et aux clients, maintenir des plans d’intervention détaillés et démontrer leur préparation à gérer les impacts en cascade, ajoute le communiqué.
Hout a déclaré que le nouveau cadre « remodèlera le secteur MSP », créant une détection plus forte et des cycles de réponse plus rapides. « Pour les entreprises clientes, cela promet des alertes plus précoces et une plus grande assurance que leurs fournisseurs adhèrent aux normes de sécurité minimales. »
Le mandat de reporting 24 heures sur 24 du projet de loi fera pression sur les MSP et les fournisseurs de services numériques pour qu’ils améliorent leurs opérations. « De nombreuses organisations trouveront leurs processus trop lents et fragmentés pour respecter ce délai », a prévenu Gogia. Shivraj Borade, analyste principal chez Everest Group, a ajouté que la règle incitera les MSP à « investir dans la maturité du SOC, le tri rapide et l’alignement juridique », ce qui modifiera fondamentalement les prix et les relations avec les clients.
La législation a également transféré la responsabilité entre les entreprises et leurs partenaires de services. « Pour la première fois, nous confions davantage de responsabilités au MSSP là où elles incombent normalement à l’entreprise », a déclaré Hout. « Cela suscite des attentes de la part des deux parties : les MSSP assumeront une plus grande responsabilité juridique et les entreprises devront faire preuve d’une diligence raisonnable plus stricte. »
Selon le projet de loi, les centres de données seront également soumis pour la première fois à une surveillance réglementaire directe, rejoignant ainsi un groupe plus large d’opérateurs chargés de gérer le flux d’énergie vers les appareils intelligents et les chargeurs de véhicules électriques. Les organisations concernées doivent informer les régulateurs et le National Cyber Security Center (NCSC) dans les 24 heures suivant un cyber-incident important et soumettre un rapport complet dans les 72 heures.
Pouvoirs d’urgence et surveillance élargie
En vertu du projet de loi, le secrétaire à la Technologie obtiendrait le pouvoir d’ordonner aux régulateurs et aux organisations, y compris les fiducies et les services publics du NHS, de prendre des « mesures spécifiques et proportionnées » pour prévenir ou atténuer les cyberattaques lorsque la sécurité nationale est menacée. Ces interventions pourraient inclure une surveillance améliorée ou un isolement temporaire du réseau.
« Les pouvoirs d’urgence reconnaissent que les cyberincidents évoluent plus rapidement que les comités ne peuvent réagir », a déclaré Gogia. « Permettre au gouvernement de donner des instructions à des secteurs critiques lors de menaces réelles rend le système capable d’agir en quelques minutes, et non en quelques semaines. »
Les régulateurs seraient également habilités à désigner des fournisseurs critiques, tels que des fournisseurs de diagnostics ou des fabricants de produits chimiques, afin de garantir qu’ils respectent les normes de base en matière de cybersécurité.
