Analyse de la Nouvelle Législation sur la Cybersécurité au Royaume-Uni
Une Réaction Nécessaire aux Menaces Actuelles
L’introduction d’une nouvelle législation britannique sur la cybersécurité, bien que retardée, arrive à un moment crucial. Le projet de loi sur la Cybersécurité et la Résilience (CSR) annoncé lors du discours du roi fait suite à une série d’attaques notables ayant ciblé des infrastructures nationales critiques. Avec des règles intersectorielles devenues obsolètes, cette législation vise à rattraper d’autres régions, comme l’Union européenne.
Cette initiative survient alors que les hôpitaux londoniens subissent les conséquences de l’attaque de Qilin sur le fournisseur de services de pathologie Synnovis, qui a dû lancer un appel urgent pour des dons de sang en raison de stocks insuffisants.
Un Aperçu du Projet de Loi
Le projet de loi vise à établir des règles plus strictes pour les organisations, élargissant ainsi le champ d’application au-delà des 12 régulateurs actuels. L’objectif est que davantage d’organisations respectent des normes de sécurité définies par le gouvernement, réduisant ainsi le risque de catastrophes majeures le long des chaînes d’approvisionnement.
Les premiers éléments fournis dans le discours du roi ont évoqué un renforcement des pouvoirs des régulateurs pour faire respecter ces nouvelles normes, incluant un accès à des ressources et des capacités d’enquête accrues sur les lacunes en matière de sécurité.
Pour donner un aperçu, une étude réalisée quatre ans après l’introduction des Règlements sur les Réseaux et Systèmes d’Information (NIS) en 2018 a révélé que plus de la moitié des organisations concernées avaient amélioré leur cybersécurité. Avec ces nouveaux pouvoirs, on s’attend à ce qu’un plus grand nombre d’organisations en améliore leur sécurité dans un délai réduit.
L’Importance de la Législation pour le Royaume-Uni
La législation actuelle du Royaume-Uni est clairement dépassée. Le projet CSR reconnaît que les Règlements NIS de 2018 sont en retard par rapport à la directive NIS2 de l’UE, entrée en vigueur l’année dernière et devant être intégrée dans le droit national des États membres d’ici octobre 2024.
Le gouvernement conservateur de l’ancien Premier ministre Rishi Sunak avait annoncé des plans pour moderniser ces règlements en 2022, avec l’inclusion des fournisseurs de services gérés (MSP) dans le champ d’application, mais ces projets n’ont jamais été concrétisés. Cela signifie que les lois intersectorielles sur la cybersécurité au Royaume-Uni sont désormais obsolètes de six ans, et le gouvernement actuel reconnaît la nécessité d’une « mise à jour urgente » pour réduire le risque d’attaques à grande échelle sur les services critiques.
Les experts estiment que le projet de loi pourrait apporter des changements positifs pour les défenseurs, leur fournissant des informations en temps réel pour protéger leurs organisations. Bien que les détails de sa mise en œuvre restent flous, une augmentation des rapports d’incidents obligatoires pour les organisations réglementées est attendue.
Les Défis de la Mise en Œuvre
Malgré les promesses du projet de loi, des questions demeurent. L’absence de détails sur les sanctions en cas de non-conformité est particulièrement préoccupante. Contrairement à la réglementation GDPR de l’UE, qui impose des amendes significatives, le projet CSR ne mentionne pas de pénalités, laissant planer le doute sur l’efficacité de son application.
Les experts soulignent que l’incitation à la conformité nécessitera des efforts considérables. L’histoire a montré que des amendes élevées attirent l’attention des conseils d’administration, et sans mesures coercitives, les organisations pourraient ne pas prendre ces nouvelles règles au sérieux.
Collecte et Partage des Données
Un des aspects clés du projet de loi est l’augmentation des rapports d’incidents obligatoires, fournissant des informations cruciales sur les attaques en temps réel. Cependant, des préoccupations subsistent quant à la manière dont ces données seront collectées et partagées tout en respectant la vie privée.
Les détails sur les types de données que les régulateurs exigeront des organisations touchées par des incidents de sécurité restent flous. La mise en œuvre technique est réalisable, mais des questions subsistent sur la gestion et la redistribution de ces informations.
Perspectives d’Avenir
Une autre absence notable dans le discours du roi est l’absence de mention d’une mise à jour régulière de la législation. Bien que le projet CSR soit principalement technique, certains estiment qu’il devrait être élargi pour inclure des aspects humains, car la majorité des violations de sécurité sont causées par des erreurs humaines.
Les statistiques montrent que 68 % des violations sont dues à des facteurs humains, et cette proportion pourrait augmenter avec l’essor de l’IA générative. Les experts plaident pour une attention accrue à la gestion des risques humains dans les futures réglementations.
Paiements de Rançon
La question des paiements de rançon reste un sujet de débat. Bien que certaines attentes aient été formulées concernant une interdiction des paiements pour les opérateurs d’infrastructures critiques, il semble que ces propositions aient été atténuées. Si le Royaume-Uni suit l’exemple des États-Unis, il est probable que de telles règles ne soient pas mises en œuvre.
La difficulté de réglementer les paiements de rançon est évidente, car même si une interdiction était imposée, les organisations pourraient toujours contourner cette règle en utilisant des tiers pour effectuer les paiements.
Conclusion
La législation sur la cybersécurité au Royaume-Uni est en cours de transformation, mais des défis subsistent. La nécessité d’une mise à jour des lois est indéniable, et les détails de leur mise en œuvre seront cruciaux pour leur efficacité. Les experts s’accordent à dire que des mesures claires et des incitations à la conformité seront essentielles pour renforcer la cybersécurité dans le pays.
