Le Royaume-Uni prévoit de renforcer la législation pour protéger les services publics contre les cyberattaques

Le gouvernement britannique entend renforcer la défense de ses services publics face aux cyberattaques, en exigeant des entreprises qui fournissent des services aux organisations privées et publiques, telles que le National Health Service (NHS), qu’elles respectent des normes de sécurité strictes.

En 2024, des pirates informatiques ont compromis le système de paie du ministère de la Défense, tandis que d’autres attaques récentes ont entraîné la perturbation de plus de 11 000 rendez-vous et procédures médicales au sein du NHS.

Ces propositions interviennent également après une série de cyberattaques ayant touché ces derniers mois certaines des plus grandes marques britanniques, dont Marks & Spencer, la Co-op et Jaguar Land Rover.

Selon le gouvernement, les nouvelles lois envisagées imposeraient une régulation aux entreprises de taille moyenne et grande qui fournissent des services tels que la gestion informatique, l’assistance technique et la cybersécurité, aussi bien au secteur privé que public.

« Parce qu’elles disposent d’un accès privilégié aux réseaux gouvernementaux, aux infrastructures nationales critiques et aux réseaux d’entreprises, ces sociétés devront se conformer à des obligations de sécurité claires », a indiqué le Département pour la Science, l’Innovation et la Technologie (DSIT) dans un communiqué publié mercredi.

Si elles sont adoptées, ces mesures obligeraient les entreprises à signaler rapidement tout incident cybernétique significatif ou potentiellement significatif, tant au gouvernement qu’à leurs clients, et à mettre en place des plans robustes pour gérer les conséquences de ces attaques.

Les autorités de régulation se verraient accorder de nouveaux pouvoirs pour désigner les fournisseurs critiques de services essentiels, et des sanctions plus sévères seraient appliquées en cas de violation grave, précise le DSIT.

Le gouvernement a également présenté des mesures visant à interdire aux organismes du secteur public et aux opérateurs d’infrastructures nationales critiques, y compris le NHS, les autorités locales et les établissements scolaires, de verser des rançons aux cybercriminels.