Le Royaume-Uni va imposer des lois plus strictes sur la cybersécurité après une recrudescence des attaques à fort impact

Une recrudescence des cyberattaques à fort impact visant les infrastructures critiques de la Grande-Bretagne a incité le gouvernement à introduire une refonte législative attendue de longue date.

Le projet de loi sur la cybersécurité et la résilience, qui doit être déposé mercredi, vise à imposer des réglementations plus strictes aux entreprises fournissant des services essentiels, y compris celles qui soutiennent le NHS et les réseaux énergétiques.

Alors que les retombées financières et opérationnelles des récentes attaques continuent de s’accumuler, le gouvernement modifie sa stratégie pour se concentrer non seulement sur les institutions publiques, mais aussi sur les entreprises privées au sein de leurs chaînes d’approvisionnement.

Une nouvelle loi s’attaque aux lacunes dans les défenses numériques

Le projet de loi sur la cybersécurité et la résilience s’appliquera à près de 1 000 entreprises du secteur privé dont les services sont étroitement intégrés au fonctionnement des infrastructures nationales.

Pour la première fois, les entreprises fournissant un soutien numérique ou opérationnel à des entités telles que le NHS seront légalement tenues de respecter de nouvelles exigences en matière de résilience.

Cette expansion reflète un changement stratégique, reconnaissant que même les institutions les plus fortifiées peuvent être minées par les vulnérabilités de leurs fournisseurs.

Cette approche fait suite à des preuves de plus en plus nombreuses que les attaquants exploitent de plus en plus ces points d’entrée secondaires.

Une fois que le projet de loi aura été adopté par le Parlement, les entreprises qui ne se conforment pas aux normes nouvellement définies s’exposeront à des sanctions judiciaires, bien que des sanctions précises n’aient pas encore été précisées.

Pertes économiques et augmentation du volume d’attaques

Des données récentes montrent l’ampleur de la cybermenace qui pèse sur l’économie britannique. Une étude publiée mercredi par le gouvernement estime le coût annuel des cyberattaques importantes à 14,7 milliards de livres sterling, soit 0,5 % du PIB du pays.

Ces chiffres soulignent l’urgence de mettre en œuvre des protections systémiques, en particulier lorsque des systèmes interdépendants entre les secteurs public et privé créent des points de défaillance plus larges.

Le Centre national de cybersécurité a signalé 204 cyberattaques d’importance nationale au cours des 12 mois précédant août 2025. Il s’agit d’une forte augmentation par rapport à l’année précédente.

L’agence a averti que le paysage des menaces évolue rapidement, les attaquants employant des tactiques plus sophistiquées et visant des cibles où les perturbations opérationnelles peuvent causer des dommages immédiats et en cascade.

La santé et l’industrie sont les plus touchées

Certains des incidents les plus dommageables se sont produits dans les secteurs de la santé et de l’automobile. En 2024, une cyberattaque contre un sous-traitant du NHS a provoqué des milliers d’annulations de rendez-vous et a été associée à la mort d’au moins un patient.

Cet incident a mis en évidence les conséquences réelles des failles de sécurité dans les services critiques.

Plus récemment, en août 2025, Jaguar Land Rover a été victime d’une grave attaque par ransomware qui a interrompu la production de ses usines au Royaume-Uni pendant plus d’un mois. Les perturbations ont coûté à l’économie environ 1,9 milliard de livres sterling.

L’incident a démontré que même les entreprises disposant de systèmes internes robustes peuvent être compromises lorsque les points d’accès de tiers ne sont pas protégés de manière adéquate.

Les détaillants ont également été touchés. Marks and Spencer Group Plc fait partie d’une série d’entreprises ciblées au cours de l’été.

Bien que les détails de chaque violation diffèrent, le schéma récurrent est clair : les attaquants exploitent l’écosystème numérique étendu entourant les institutions clés.

Une stratégie de sécurité nationale recalibrée

L’introduction du projet de loi sur la cybersécurité et la résilience représente un recalibrage de l’approche plus large du Royaume-Uni en matière de sécurité nationale.

Il a fallu plus d’un an pour que le projet de loi en arrive à cette étape, mais son dévoilement reflète la reconnaissance par le gouvernement que les protections actuelles sont insuffisantes compte tenu de l’ampleur et de la complexité des menaces modernes.

La secrétaire à la Tech, Liz Kendall, a décrit le projet de loi comme un message aux adversaires que le Royaume-Uni n’est pas une cible facile.

La loi vise à combler les lacunes réglementaires existantes et à étendre la responsabilité aux entreprises dont les activités ne sont peut-être pas directement destinées au public, mais qui font néanmoins partie intégrante de la résilience nationale.

Bien que le projet de loi n’ait pas encore été parcouru au Parlement, sa publication signale un changement dans la façon dont l’infrastructure numérique est gérée à l’échelle nationale.

La stratégie de cybersécurité du Royaume-Uni, qui ne se limite plus aux institutions centrales, intègre désormais les réseaux étendus qui permettent à ces systèmes de fonctionner.