Le NCSC déclare qu’« il est temps d’agir », mais comment ?

Le NCSC déclare : « Il est temps d'agir », mais comment ?

Par Phil Muncaster • 6 November 2025

Il est inhabituel de voir une lettre ouverte d'un chef d'entreprise en introduction d'un rapport gouvernemental sur la cybersécurité. Surtout lorsqu'il s'agit d'une entreprise dont la sécurité vient d'être compromise par une violation de données humiliante. Mais nous vivons une période exceptionnelle. Et ce message est d'une importance capitale. C'est pourquoi le Centre national de cybersécurité (NCSC) du GCHQ a donné la parole à Shirine Khoury-Haq, PDG du groupe Co-op, en introduction de son rapport. Bilan annuel 2025.

Son message, repris et amplifié tout au long du document, était simple : la préparation est essentielle. Mais comment les dirigeants d’entreprise peuvent-ils s’assurer dès aujourd’hui de renforcer la cybersécurité de leur organisation afin de garantir la continuité des activités en cas d’incident de sécurité demain ?

Augmentation des incidents d'importance nationale

Les chiffres de l'année écoulée sont éloquents. Le NCSC affirme que près de la moitié (48 %) des incidents traités par son équipe de gestion des incidents au cours de l'année écoulée étaient d'importance nationale. Cela représente 204 incidents distincts, soit quatre par semaine. Environ 4 % (18) sont classés comme « très importants », ce qui représente une augmentation annuelle de 50 %. Ces incidents sont un cran en dessous du niveau de gravité maximal, qui désigne les incidents susceptibles d'avoir de graves conséquences économiques et sociales, voire des pertes de vies humaines. Ils témoignent néanmoins de cyberattaques et de violations de données pouvant avoir un impact sérieux sur l'administration centrale, les services essentiels et une grande partie de la population et de l'économie britanniques.

Il est intéressant de noter que 29 incidents gérés par le NCSC durant cette période étaient liés à seulement trois vulnérabilités : CVE-2025-53770 (Microsoft SharePoint Server), CVE-2025-0282 (Ivanti Connect Secure, Policy Secure et passerelles ZTA) et CVE-2024-47575 (Fortinet FortiManager). Cela met immédiatement en évidence les opportunités faciles à saisir pour les organisations qui choisissent de déployer des programmes de gestion des correctifs basés sur les risques.

Selon Richard Horne, PDG du NCSC, les opportunités les plus faciles à saisir sont partout, à condition que les dirigeants d'entreprise soient suffisamment motivés ou conscients de la nécessité de les exploiter. Dans son avant-propos, il décrit les défis auxquels sont confrontées les organisations britanniques comme augmentant de façon exponentielle. Horne conclut : « La cybersécurité est désormais essentielle à la pérennité et au succès des entreprises. Il est temps d'agir. »

Lettre aux entreprises du FTSE 350

Cette insistance sur l'action est étayée par les récentes cyberattaques catastrophiques qui ont touché Jaguar Land Rover (JLR), M&S et le groupe Co-op, entre autres. Selon certaines estimations, les pertes totales subies par ces entreprises et leurs fournisseurs avoisinent le milliard de livres sterling. C'est en partie pour cette raison que le rapport exhorte directement les dirigeants d'entreprise à cesser de considérer la cybersécurité comme une simple affaire de service informatique et à prendre conscience de son importance cruciale pour la croissance de leur activité et l'économie britannique.

C’est pourquoi le rapport met en avant Khoury-Haq du groupe Co-op. Et c’est pourquoi Horne s’exclame : « Tous les dirigeants d’entreprise doivent assumer la responsabilité de la cyber-résilience de leur organisation. » C’est également pourquoi le rapport promeut diverses initiatives du NCSC, telles que :

Le Code de bonnes pratiques en matière de cybersécurité : conçu pour aider les conseils d’administration et les administrateurs à mieux gérer les risques numériques
Le programme de formation à la gouvernance cybernétique est conforme aux cinq principes fondamentaux du code : gestion des risques, stratégie, ressources humaines, planification des incidents, réponse et rétablissement, et assurance et supervision.
Les recommandations du NCSC sur « Collaborer avec les conseils d’administration pour améliorer la gestion des risques de cybersécurité » aident les RSSI à communiquer plus efficacement avec leur conseil d’administration.
Les principes de la culture de la cybersécurité, qui décrivent à quoi ressemble une bonne culture de sécurité et comment modifier les comportements
La boîte à outils d'action cybernétique, pour sensibiliser les dirigeants de petites entreprises à la cybersécurité.

C’est aussi pourquoi, dans ce qui semble être une action coordonnée, le gouvernement a écrit aux PDG des entreprises du FTSE 350 pour les implorer de prendre conscience de l’ampleur de la menace.

« Pendant trop longtemps, la cybersécurité a été une préoccupation des cadres intermédiaires et n'est remontée aux dirigeants qu'en cas de crise. Il ne s'agit plus de savoir si vous serez victime d'une cyberattaque, mais d'être préparé à ce que cela se produise. » a déclaré le ministre de la sécurité Lors du lancement de l'étude, Dan Jarvis a tenu à souligner l'avantage concurrentiel que les meilleures pratiques en matière de cybersécurité peuvent apporter aux entreprises.

Construire la résilience

La bonne nouvelle, c'est que malgré l'intensification de la menace, le NCSC affirme que la plupart des activités observées ne sont pas fondamentalement nouvelles, qu'elles soient commanditées par des États ou menées par des groupes comme Scattered Spider. Cela devrait faciliter légèrement l'atteinte de la cyber-résilience. Mais que contient ce rapport ? Outre la liste des initiatives du NCSC telles que Active Cyber Defence et Cyber Essentials, ce document de 100 pages met l'accent sur la notion d'« ingénierie de la résilience ».

Bien que ce concept trouve son origine dans l'ingénierie de la sécurité, il pourrait être transposé efficacement dans le domaine cybernétique, affirme le NCSC, grâce à des initiatives telles que :

Infrastructure en tant que code : Permettre aux organisations de répliquer leurs systèmes de manière fiable pour une reprise rapide et de déployer une infrastructure immuable et digne de confiance.

Sauvegardes immuables : Permet une récupération efficace en cas de perte totale de l'environnement (y compris l'identité, les configurations cloud, les hyperviseurs, etc.).

Segmentation: Pour l’isolement et le confinement afin de minimiser l’impact lors d’un événement, ou « pour créer de manière persistante des limites de confiance ».

Moindre privilège : Dans tous les services, afin de limiter les dommages et de soutenir les approches Zero Trust.

Observabilité et surveillance : Pour détecter les anomalies et améliorer l'apprentissage post-incident.

Ingénierie du chaos : L'introduction délibérée de processus de détection et de récupération des défaillances afin de valider/tester ces processus.

Opérations résilientes : Cela inclut de garantir la disponibilité des manuels de gestion de crise, sous forme numérique ou physique, sur des plateformes isolées ou en version papier.

Consultez les normes

Peter Connolly, PDG de Toro Solutions, soutient que les normes de bonnes pratiques telles que l'ISO 27001 peuvent aider les organisations à améliorer leur cyber-résilience.

« Ce cadre structuré de gestion des risques va au-delà des technologies de l’information et englobe les ressources humaines, la sécurité physique et la continuité des activités », explique-t-il à ISMS.online. « Grâce à cette approche intégrée, les organisations peuvent minimiser l’impact des incidents, maintenir leurs opérations critiques et démontrer à leurs clients, investisseurs et partenaires que la sécurité est une priorité absolue. »

Connolly ajoute que les organisations devraient utiliser la conformité à la norme ISO 27001 pour aider à intégrer la sécurité dans la culture d'entreprise quotidienne.

« Cela signifie intégrer les principes de sécurité aux opérations courantes plutôt que de les traiter comme une tâche distincte », conclut-il. « Il faut commencer par s'attaquer aux risques les plus critiques et veiller à ce que la cybersécurité, la sécurité physique et la sécurité des personnes soient prises en compte conjointement. Cette approche permet de bâtir une véritable résilience tout en assurant une crédibilité reconnue internationalement. »

Le mot « résilience » apparaît 139 fois dans le rapport du NCSC. Il est temps que les entreprises britanniques en prennent conscience.

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 6 Janvier 2026

Cinq tendances en matière de sécurité et de conformité à surveiller en 2026

À quoi ressembleront les 12 prochains mois pour les professionnels de la cybersécurité et de la conformité ? Nous avons passé au crible l’actualité et analysé les prévisions du secteur…

Phil Muncaster

La cyber-sécurité 11 December 2025

Une faille de sécurité liée à l'IA agentique est-elle inévitable en 2026 ?

Trois ans se sont peut-être écoulés depuis le lancement de ChatGPT, qui a donné le coup d'envoi à une nouvelle course technologique, mais tous les regards sont désormais tournés vers l'IA agentive. Ses partisans affirment qu'elle...

Phil Muncaster

Sécurité de l'Information 9 December 2025

Une année de conformité : cinq leçons apprises en 2025

Une année de conformité : cinq leçons tirées de 2025

Ces douze derniers mois ont une fois de plus démontré que le paysage de la cybersécurité est rarement à l'abri des incidents. Les failles de sécurité majeures coûtent cher aux organisations…

Phil Muncaster