Le gouvernement britannique prévoit de présenter mercredi projet de loi sur la cybersécurité et la résilience
Cette situation survient alors que des appels sont lancés aux entreprises britanniques pour qu'elles prennent des mesures concrètes afin de se protéger contre les cyberattaques dent d'importance nationale .
Des études indiquent que les cyberattaques coûtent à l'économie britannique environ 14,7 milliards de livres sterling par an, soit 0,5 % du PIB du pays. Selon les autorités, le projet de loi pourrait concerner jusqu'à 1 000 entreprises. La législation ciblera les secteurs critiques, notamment la santé, l'énergie, les transports, l'eau et les chaînes d'approvisionnement numériques.
Les cyberattaques ont augmenté de 50 % au cours de l'année écoulée, et les services de sécurité britanniques doivent désormais faire face à une nouvelle attaque d'importance nationale plus d'un jour sur deux, selon les chiffres du Centre national de cybersécurité (NCSC).
La chancelière, Rachel Reeves , le ministre de la Sécurité, Dan Jarvis, et les secrétaires à la Technologie et aux Entreprises, Liz Kendall et Peter Kyle, avaient initialement écrit aux dirigeants de centaines des plus grandes entreprises britanniques, les appelant à faire de la cyber-résilience une responsabilité au niveau du conseil d'administration tout en les alertant que les cyberactivités hostiles au Royaume-Uni étaient devenues « plus intenses, plus fréquentes et plus sophistiquées ».
Un nouveau projet de loi promet des réglementations cybernétiques plus strictes
La nouvelle loi s'appliquera aux moyennes et grandes entreprises fournissant des services informatiques ou numériques au secteur public et aux infrastructures critiques. Cela inclut les fournisseurs du NHS (service national de santé britannique), les entreprises énergétiques et les réseaux de transport.
Les autorités réglementaires pourront désigner certaines entreprises comme « fournisseurs critiques » et s'assurer qu'elles respectent les normes minimales de cybersécurité. Les entreprises qui ne s'y conforment pas s'exposeront à des amendes ou à d'autres sanctions.
Richard Horne, directeur général du Centre national de cybersécurité, a déclaré que ce nouveau projet de loi était une évolution positive, soulignant que les conséquences concrètes des cyberattaques avaient été plusdent ces derniers mois que jamais auparavant.
En août, Jaguar Land Rover a été victime d'une cyberattaque massive qui a perturbé ses chaînes de production, contraignant l'entreprise à interrompre la production automobile pendant plusieurs semaines. Les auteurs de l'attaque auraient cherché à provoquer une perturbation opérationnelle généralisée et des dommages durables à l'une des marques automobiles britanniques les plus prestigieuses.
Bien que l'équipe de sécurité de l'entreprise ait réussi à contenir la faille avant qu'elle ne devienne aussi dommageable que prévu, l'ampleur de ses conséquences est indéniable. La production a été suspendue pendant plus d'un mois, et ce retard aurait coûté environ 1,9 milliard de livres sterling à l'économie britannique.
La nouvelle loi vise à élargir son champ d'application et à inclure un plus grand nombre de prestataires de services, ainsi que les fournisseurs de solutions informatiques. Elle repose sur le signalement rapide des incidents de cybersécurité et sur des enquêtes réactives ettron.
Les autorités de réglementation disposeront de davantage de pouvoirs pour gérer les risques avant qu'ils ne se transforment en attaques. La loi vise à protéger les services publics essentiels. Elle met en lumière les responsabilités des entreprises qui font appel à des fournisseurs de services gérés (MSP), souvent ciblés par les attaquants pour accéder à de multiples organisations. Le projet de loi imposerait à ces fournisseurs de respecter des normes strictes en matière de cybersécurité.
Les entreprises réagissent à l'entrée en vigueur des nouvelles réglementations en matière de cybersécurité
Le NCSC est mobilisé pour contrer les cybermenaces et renforcer la résilience numérique du Royaume-Uni. Aider les organisations à renforcer leurs défenses s'inscrit dans le cadre du plan gouvernemental de renouveau national, axé sur la sécurité, les opportunités et la responsabilité.
Le nouveau projet de loi a été qualifié de « révolutionnaire » par les acteurs du secteur quant à la gestion des cyber-risques au Royaume-Uni. Certains s'inquiètent toutefois du coût de la mise en conformité et des ambiguïtés liées à son application.
Le projet de loi est actuellement examiné par le Parlement, où il sera étudié et débattu par les parlementaires, qui pourraient chercher à l'amender. Si les amendements sont approuvés, il s'agirait de l'une des lois sur la cybersécurité les plus ambitieuses adoptées au Royaume-Uni depuis des années.
Les entreprises sont déjà invitées à se préparer en auditant leurs chaînes d'approvisionnement informatiques, en mettant à jour leurs plans de réponse auxdent et en déterminant si les nouvelles règles s'appliquent à elles. Les ministres espèrent que cette législation contribuera à protéger l'économie numérique et les infrastructures critiques du Royaume-Uni contre les cyberattaques.
