Le projet de loi britannique sur la cybersécurité et la résilience vise à renforcer les règles du secteur technologique

Le Royaume-Uni a élargi son filet de sécurité numérique avec la présentation officielle du projet de loi sur la cybersécurité et la résilience au Parlement.

La proposition intervient à un moment où les attaques contre les réseaux d’entreprises, les services publics et les infrastructures critiques continuent d’augmenter, poussant le gouvernement à élargir la portée de la réglementation.

Le projet de loi vise à renforcer la protection auprès d’un ensemble plus large de prestataires de services technologiques, comblant les écarts qui sont devenus plus visibles alors que les organisations dépendent de services informatiques externes.

Il définit également de nouveaux pouvoirs, des obligations de rapport et des mesures préventives visant à limiter les dommages causés par les menaces à la sécurité nationale et les risques émergents liés à l’intelligence artificielle, notamment à mesure que de plus en plus de secteurs intègrent des outils numériques avancés.

Fonctions de sécurité plus larges

Le projet de loi étendrait les règles existantes sur les réseaux et systèmes d’information à davantage d’entreprises technologiques.

Les sociétés de gestion informatique, les prestataires de support technique et les sociétés de cybersécurité seraient soumis aux mêmes exigences déjà imposées aux opérateurs de services essentiels.

La législation stipule que les pénalités en cas de non-conformité pourraient être liées au chiffre d’affaires annuel, créant ainsi des incitations plus fortes pour les entreprises à respecter les normes réglementaires.

L’objectif est de garantir que les fournisseurs assurant la maintenance des systèmes numériques clés respectent une base de sécurité unifiée, réduisant les maillons faibles au sein des chaînes d’approvisionnement et améliorant la résilience générale des réseaux interconnectés.

Nouveaux pouvoirs gouvernementaux

La législation propose de donner au secrétaire à la technologie le pouvoir d’ordonner aux régulateurs et aux organisations de prendre des mesures préventives lorsque les menaces sont jugées comme des risques pour la sécurité nationale.

Ces directives s’appliqueraient aux incidents impliquant des infrastructures critiques et à des activités cybernétiques à fort impact.

Cette mesure reflète les inquiétudes croissantes concernant les opérations liées aux États visant les réseaux occidentaux.

Des responsables gouvernementaux affirment que ce projet de loi vise à rapprocher le Royaume-Uni des normes de l’Union européenne et à renforcer la résilience face aux acteurs associés à la Chine, à l’Iran et à la Corée du Nord, tous liés à des activités perturbatrices.

Risques financiers et opérationnels

Une recherche commandée par le Département de la Science, de l’Innovation et de la Technologie estime le coût moyen d’une cyberattaque grave au Royaume-Uni à 190 000 £ par incident, soit environ 14,7 milliards de livres sterling chaque année.

Ces chiffres mettent en lumière l’ampleur des perturbations auxquelles les entreprises sont confrontées, les attaquants exploitant les vulnérabilités des réseaux et des services numériques.

Les règles élargies visent à améliorer les processus de déclaration et les délais de réponse, aidant les organisations à limiter les pertes et à se remettre plus rapidement après des violations tout en encourageant une plus grande transparence dans les secteurs concernés.

Lutte contre l’abus de l’intelligence artificielle

Le projet de loi couvre également les risques émergents liés à l’IA. Il inclut des dispositions visant à prévenir la création de matériel d’abus sexuel sur enfants via des systèmes d’intelligence artificielle.

Pour y parvenir, la législation permettrait à des organisations de confiance telles que les développeurs d’IA et les associations de réaliser des tests contrôlés sur des modèles d’IA.

L’objectif est d’identifier et de corriger les vulnérabilités avant que des contenus nuisibles ne puissent être produits, ajoutant une couche de protection à mesure que les outils d’IA deviennent plus avancés et largement utilisés dans les entreprises, les écoles et les services publics.