Le Royaume-Uni s'apprête à renforcer les règles en matière de cybercriminalité dans les secteurs critiques

Le gouvernement britannique élargit la réglementation en matière de cyber-résilience

Le Royaume-Uni vient de prendre une sérieuse décision en matière de cybersécurité. Il renforce la résilience à long terme de l’épine dorsale de l’infrastructure nationale. Le projet de loi sur la cybersécurité et la résilience étend la réglementation actuelle sur les réseaux et les systèmes d’information (NIS) pour couvrir davantage de terrain. Nous parlons des centres de données, des fournisseurs de services gérés et des fournisseurs qui soutiennent les opérations critiques. Ce resserrement des mailles du filet est important.

Si vous dirigez une entreprise qui touche à l’infrastructure numérique, même à distance, vous devez désormais respecter des normes de sécurité minimales. Cela implique d’identifier les points faibles, de combler les lacunes et d’améliorer constamment vos systèmes. Les réglementations rendent généralement les gens nerveux. Ils hésitent. Mais celle-ci est un signal. Le monde est en train de changer. L’infrastructure numérique est devenue trop complexe et les menaces trop persistantes pour que l’on puisse ignorer plus longtemps le risque systémique.

Cette initiative donne le ton d’une croissance numérique évolutive et sécurisée. Il n’est plus question d’espérer que des centres de données tiers maîtrisent les mises à jour ou de s’en remettre au bon sens de l’industrie pour protéger les systèmes nationaux. Ce projet de loi fait de la résilience une obligation légale, et non une case à cocher. Si votre pile technologique contribue à des opérations critiques, votre posture de cybersécurité est désormais une question d’intérêt national.

Elle fait également preuve de vision. Le Royaume-Uni aligne sa législation sur la directive NIS2 de l’UE. Il s’agit là d’une coordination intelligente au-delà des frontières. La mise en place de systèmes fonctionnant à l’échelle mondiale est plus rapide lorsque les règles fonctionnent bien ensemble.

Pour les équipes dirigeantes, cela signifie qu’il est temps de repenser l’exposition aux risques. Votre entreprise est peut-être sécurisée, mais si votre fournisseur d’infrastructure ne l’est pas, vous êtes toujours exposé. Avec l’adoption probable de ce projet de loi, vous aurez besoin d’une visibilité en temps réel, d’outils de réponse rapide et d’un changement de culture qui considère la sécurité comme une capacité essentielle, et non comme une réflexion après coup.

Les chaînes d’approvisionnement complexes sont des points de vulnérabilité en matière de cybersécurité

Les chaînes d’approvisionnement sont devenues trop complexes pour être ignorées. Plus vos fournisseurs, plateformes et partenaires sont interconnectés, plus le risque que quelqu’un, quelque part, laisse la porte ouverte est grand. C’est sur ce point que le projet de loi britannique sur la cybersécurité et la résilience vise à agir. Il fait entrer les fournisseurs de la chaîne d’approvisionnement dans le périmètre réglementaire, car les menaces ne s’arrêtent pas à votre pare-feu.

Selon de nouvelles données du NCC Group, plus de deux tiers des organisations s’attendent à ce que les cybermenaces dans la chaîne d’approvisionnement s’intensifient au cours de l’année à venir. Cela indique que les conseils d’administration et les équipes de direction doivent considérer le risque lié aux tiers comme une question stratégique, et non plus seulement technique. Les entreprises qui dépendent d’une infrastructure distribuée ou de services de fournisseurs sont désormais soumises à une pression réglementaire pour s’assurer que ces partenariats sont protégés dès leur conception, et non pas rafistolés après un incident.

Lorsque les entreprises externalisent certaines parties de leurs activités, elles perdent souvent en visibilité. C’est là que le bât blesse. Vous ne pouvez pas gérer ce que vous ne pouvez pas voir. Et si votre fournisseur n’a pas mis en place de solides pratiques de sécurité ou des systèmes de surveillance, il ne s’agira peut-être pas d’une violation de votre part, mais ce sera votre problème.

Cette nouvelle position législative oblige les entreprises à considérer la résilience comme une responsabilité partagée. Tous les acteurs de la chaîne de valeur devront respecter des normes minimales de cybersécurité. Vous ne pouvez pas vous soustraire à cette obligation en pointant du doigt le fournisseur. La résilience cybernétique devient une exigence de l’écosystème.

Pour les dirigeants, cela signifie qu’il faut mettre en place des systèmes, et pas seulement des contrats, qui réduisent les risques partagés. Vous devez comprendre comment vos fournisseurs gèrent leurs environnements, quels plans de réponse aux incidents ils maintiennent et comment ils surveillent les menaces en cours. Pour cela, il faut de la visibilité, des mesures et une responsabilité claire à tous les niveaux de votre réseau d’approvisionnement.

Cette évolution donne également un nouveau ton à la direction des achats. La maturité cybernétique deviendra un filtre essentiel pour la sélection des partenaires technologiques et de services. Si un fournisseur n’est pas en mesure de démontrer qu’il dispose d’un solide dispositif de sécurité, il risque d’être exclu des marchés. C’est la nouvelle norme.

Alignement sur les normes internationales de cybersécurité

Le projet de loi britannique sur la cybersécurité et la résilience n’est pas isolé. Il s’aligne sur les réglementations mondiales, en particulier la directive NIS2 de l’UE. C’est important. Dans une économie numérique, les infrastructures et les risques ne suivent pas les frontières nationales. Si vos systèmes sont connectés à des réseaux mondiaux, vos responsabilités le sont également.

En s’alignant sur la directive NIS2, le gouvernement britannique s’assure que son approche ne se fragmente pas par rapport à des cadres internationaux plus larges. Il s’agit là d’une décision stratégique. Elle réduit la complexité pour les entreprises multinationales et ouvre la voie à une conformité réglementaire plus harmonisée entre les régions. La cohérence permet d’accélérer le déploiement de systèmes sécurisés et de réduire les conflits opérationnels entre les juridictions.

Cet alignement indique également que la définition des « infrastructures critiques » est en train de changer. Elle inclut désormais des services et des organisations qui n’étaient pas traditionnellement considérés comme vitaux, tels que les centres de données, les fournisseurs et les plateformes techniques. Ces éléments sont désormais essentiels au fonctionnement des sociétés et sont traités comme tels.

Pour les dirigeants, cette évolution soulève des questions immédiates. Où se situent vos opérations dans la définition élargie du terme « critique » ? Vos systèmes fonctionnent-ils dans des pays aux normes similaires et vos équipes chargées de la conformité peuvent-elles naviguer dans des environnements juridiques multiples sans conflit ?

Les exigences en matière d’interopérabilité sont également plus élevées, en particulier si vous travaillez avec des clients du secteur public ou si vous vous engagez dans des secteurs réglementés. Vous verrez davantage d’exigences en matière de cyberassurance dans les audits, les appels d’offres et les demandes des investisseurs. Être en avance sur les normes internationales n’est pas un fardeau réglementaire, c’est un atout pour le marché.

Des exigences plus strictes en matière de cybersécurité

Les gouvernements et les fournisseurs de services essentiels renforcent leurs attentes à l’égard des personnes avec lesquelles ils travaillent. Si vous faites partie de la chaîne d’approvisionnement, la cybersécurité est désormais une exigence. Cette évolution est renforcée par le projet de loi britannique sur la cybersécurité et la résilience, et les organisations qui veulent rester compétitives devront s’adapter.

Dans tous les secteurs critiques, les acheteurs publics intègrent des évaluations de la cybersécurité dans les processus de passation de marchés. Cela signifie que les fournisseurs sont évalués en fonction du coût ou des spécifications techniques, et de leur capacité à gérer le risque cybernétique. Si votre entreprise n’est pas prête à répondre à ces critères, par le biais d’audits, d’une visibilité des risques et d’une résilience démontrée, elle risque d’être exclue de contrats importants.

Selon une étude du NCC Group, plus d’un tiers des organisations prennent désormais en compte les changements de politiques et de réglementations gouvernementales lors de l’évaluation de leurs chaînes d’approvisionnement. Ce chiffre est appelé à augmenter. Ces exigences vont dans les deux sens. Lorsque vous travaillez avec des clients du secteur public ou des opérateurs d’infrastructures critiques, ils s’assurent que votre posture de cybersécurité est suffisamment solide pour répondre aux normes réglementaires de plus en plus strictes.

La logique sous-jacente est pratique. Un fournisseur dont la sécurité est faible peut être un point d’accès facile pour les attaquants, même si vos propres défenses sont solides. C’est pourquoi les organisations insistent sur ce point. Elles introduisent des clauses de sécurité contraignantes, des évaluations des risques avant la signature du contrat et des demandes de contrôle continu.

Pour les dirigeants, il s’agit d’un point d’inflexion dans la gestion des fournisseurs. L’ancienne approche, qui consistait à supposer que les fournisseurs géraient leurs propres risques de manière indépendante, n’est plus viable. Vous aurez besoin de politiques qui poussent vos fournisseurs à atteindre des seuils de sécurité clairs. Et vous aurez besoin d’outils pour valider leurs affirmations, en temps réel.

Si votre entreprise fournit des infrastructures, des plateformes SaaS ou des services à des secteurs réglementés, les enjeux sont encore plus importants. Si vous ne répondez pas aux attentes en matière de sécurité, vous risquez de perdre des contrats, de nuire à votre réputation ou, pire encore, de faire l’objet d’un examen minutieux de la part des autorités réglementaires. La solution est simple : intégrez dès le départ la cybersécurité dans vos offres de produits et vos modèles d’approvisionnement. Tout le reste découle de cette base.

Les cyberattaques de tiers sont très répandues

L’ampleur du risque de cybersécurité lié aux tiers est confirmée par les données. Selon SecurityScorecard, 98 % des organisations ont subi une violation de la part d’un fournisseur tiers au cours des deux dernières années. C’est presque tout le monde. Si votre entreprise travaille avec des fournisseurs externes, et c’est le cas, vous devez vous attaquer directement et immédiatement à ce problème.

Vous n’avez pas toujours le contrôle sur les violations commises par des tiers, mais les conséquences, elles, sont bien réelles. Les attaquants exploitent ces voies indirectes parce qu’elles fonctionnent. Un fournisseur mal surveillé peut avoir des systèmes obsolètes ou ne pas avoir de surveillance du tout. Une fois que ce système a été violé, l’attaquant ne s’arrête pas là. Il se déplace rapidement dans la chaîne numérique, accédant aux plateformes et aux données qui étaient censées être sécurisées.

Le projet de loi sur la cybersécurité et la résilience vise à passer d’une approche réactive à une approche préventive. Il préconise une surveillance continue, une visibilité en temps réel des environnements de tiers et une action plus rapide en cas de problème. Cela permettra de réduire les délais de réaction et d’éviter que les menaces ne s’aggravent.

Pour les dirigeants, les systèmes de soutien à la cybersécurité ne peuvent pas être construits à la légère. Vous avez besoin d’outils qui permettent de suivre les risques liés aux tiers en temps réel, et pas seulement dans le cadre d’évaluations annuelles. Vous avez besoin d’accords qui imposent une visibilité opérationnelle de base avec les fournisseurs. Et surtout, vous avez besoin de protocoles d’escalade rapide soutenus par l’automatisation.

Un autre problème est celui de la responsabilité non définie. Dans de nombreuses organisations, la question de savoir qui est réellement responsable des risques liés aux tiers est fragmentée : le service juridique, le service des achats, le service informatique ? Il faut que cela change. La structure de propriété doit être claire et les dirigeants doivent investir pour la faire fonctionner.

Si 98 % des entreprises ont déjà subi une violation de leur chaîne d’approvisionnement, la fenêtre d’action est courte. Ce projet de loi donne aux entreprises un cadre pour commencer à traiter la cyber-résilience des tiers comme faisant partie des opérations de base. Il ne suffit plus de sécuriser ce que vous construisez, vous devez sécuriser ce à quoi vous vous connectez.

Les vulnérabilités non corrigées montrent la nécessité d’une remédiation

Certains des cyberincidents les plus dommageables ne commencent pas avec de nouvelles menaces, mais avec des menaces connues qui n’ont pas été corrigées. Dans le seul secteur financier, plus de 50 % des vulnérabilités critiques n’ont pas été corrigées pendant plus de six mois, selon Jared Smith, ingénieur distingué et chercheur en menaces chez SecurityScorecard. Un tel retard est une décision commerciale à haut risque qui expose les opérations, les données et les clients à des menaces qui pourraient être évitées.

Le projet de loi sur la cybersécurité et la résilience s’attaque directement à cette lacune. Il préconise l’identification des risques et l’obligation d’y remédier. Cela implique des exigences en matière de surveillance en temps réel, de renseignements sur les menaces et de cycles de réponse plus rapides. Les attaquants ont déjà accès aux bases de données publiques sur les vulnérabilités. Lorsque des systèmes critiques restent vulnérables pendant des mois, ce n’est qu’une question de temps avant qu’ils ne soient violés.

Les retards dans l’application des correctifs sont généralement dus à des défaillances dans les processus, à une responsabilité fragmentée, à une visibilité limitée ou à la crainte de perturber les systèmes opérationnels. Mais ces excuses ne tiennent plus lorsque les vulnérabilités sont rendues publiques et activement exploitées. L’exécution est importante. Les dirigeants doivent combler le fossé entre la détection et l’action.

Les entreprises peuvent résoudre une grande partie de ce problème en automatisant leurs processus de gestion des vulnérabilités et en les intégrant aux flux de travail de réponse aux incidents. Vous ne pouvez pas tout régler en même temps, mais l’établissement de priorités en fonction de l’exploitabilité connue et de l’impact sur l’entreprise permet de combler plus rapidement les lacunes à haut risque. Il doit s’agir d’une politique approuvée par le conseil d’administration, et non d’une tâche informatique interne.

Principaux faits marquants

Le Royaume-Uni étend la surveillance de la cybersécurité à d’autres secteurs : Les responsables des centres de données, des fournisseurs de services gérés et des fournisseurs essentiels doivent dès à présent évaluer leur niveau de conformité, car des exigences minimales en matière de cybersécurité seront bientôt imposées par la loi.
Les chaînes d’approvisionnement définissent désormais l’exposition aux cyberrisques : les dirigeants doivent cartographier et surveiller en permanence les relations avec les tiers, car les vulnérabilités indirectes déterminent de plus en plus la sécurité globale de l’entreprise.
L’alignement mondial réduit les frictions réglementaires : Les entreprises opérant au-delà des frontières devraient rationaliser leurs stratégies de cybersécurité en fonction des normes de l’UE et du Royaume-Uni afin d’éviter les doubles emplois et de garantir la compatibilité des réglementations.
Les marchés publics évoluent vers une sélection basée sur le risque : La maturité cybernétique devient un critère essentiel pour l’obtention de contrats, en particulier dans les secteurs public et réglementé – les dirigeants devraient intégrer des points de preuve de sécurité dans les stratégies de vente et d’approvisionnement.
Les violations de tiers exigent une visibilité à l’échelle du système : Avec 98 % des entreprises touchées par des violations de fournisseurs, il est désormais essentiel d’investir dans des outils de surveillance en temps réel et de définir clairement les responsabilités en matière de risques liés aux tiers.
Les retards dans l’application des correctifs exposent les secteurs critiques : Plus de 50 % des vulnérabilités des services financiers ne sont pas corrigées pendant des mois. Les dirigeants devraient donner la priorité à la gestion automatisée des vulnérabilités et à l’accélération des processus de correction pour rester prêts pour l’audit et sécurisés.

Alexander Procter

avril 10, 2025

14 Min

Marketing et croissance digitale
Pourquoi l’IA générative piétine alors que les budgets continuent de grimper
Avr 16, 2025
17 min
Tendances sectorielles
Google signale la menace croissante de faux informaticiens originaires de Corée du Nord
Avr 16, 2025
14 min
Tendances sectorielles
Ce que l’IA générative signifie pour l’avenir des soins de santé
Avr 16, 2025
20 min

Le Royaume-Uni s’apprête à renforcer les règles en matière de cybercriminalité dans les secteurs critiques

Le gouvernement britannique élargit la réglementation en matière de cyber-résilience

Les chaînes d’approvisionnement complexes sont des points de vulnérabilité en matière de cybersécurité

Alignement sur les normes internationales de cybersécurité

Des exigences plus strictes en matière de cybersécurité

Les cyberattaques de tiers sont très répandues

Les vulnérabilités non corrigées montrent la nécessité d’une remédiation

Principaux faits marquants

Pourquoi l’IA générative piétine alors que les budgets continuent de grimper

Google signale la menace croissante de faux informaticiens originaires de Corée du Nord

Ce que l’IA générative signifie pour l’avenir des soins de santé

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps