L'économie du Royaume-Uni est de plus en plus centrée sur le numérique. Selon le gouvernement, les données ont contribué à hauteur de près de 7 % au PIB en 2022, et les trois quarts de toutes les exportations de services du pays dépendaient des données. Cela représente une fantastique opportunité de croissance, mais expose également les organisations et les clients qui comptent sur elles à de nouveaux risques. C'est pourquoi le gouvernement a publié de nouvelles propositions visant à réglementer les centres de données tiers qui alimentent une grande partie de l'économie numérique.

Dans leur forme actuelle, les règles introduiraient un nouveau cadre statutaire et une nouvelle fonction réglementaire, exigeant des exigences minimales de sécurité de base pour les propriétaires de centres de données. Les experts estiment que les cadres de sécurité basés sur les meilleures pratiques, tels que la norme ISO 27001, pourraient être un moyen utile pour ces organisations de garantir leur conformité.

Pourquoi avons-nous besoin de centres de données plus sécurisés ?

Les centres de données sont au cœur de l'économie numérique, permettant aux organisations de toutes tailles opérant dans tous les secteurs de fournir des services en ligne transparents et de fonctionner plus efficacement. Le gouvernement estime que 28 % de toutes les entreprises britanniques utilisent des services hébergés dans des centres de données, contre 62 % des grandes entreprises. Pourtant, les événements météorologiques extrêmes et les cybermenaces telles que les violations de données et les ransomwares constituent un défi croissant. Une commission parlementaire récemment averti que le Royaume-Uni court un « risque élevé » de subir une attaque de ransomware « catastrophique ».

Quelle que soit la cause d'un incident, des pannes graves peuvent avoir un impact financier et une réputation considérable sur les propriétaires de centres de données, ainsi que sur les entreprises et les clients finaux qui dépendent de ces installations. Selon l'Uptime Institute chiffres pour 2022, 80 % des gestionnaires et opérateurs de centres de données ont connu une forme de panne au cours des trois années précédentes. Plus de 60 % des pannes en 2022 ont entraîné des pertes totales d'au moins 100,000 39 $, contre 2019 % en 1. La part coûtant plus d'un million de dollars est passée de 11 % à 15 % sur la même période.

Pourtant, même si les installations des fournisseurs de services cloud (CSP) et des fournisseurs de services gérés (MSP) sont déjà réglementées par la réglementation britannique sur les réseaux et les systèmes d'information (NIS) 2018, il n'en va pas de même pour les autres centres de données tiers. Cela fait du Royaume-Uni une exception parmi les grandes économies. Et c'est pourquoi le gouvernement a publié un nouveau document de consultation publique : Protéger et améliorer la sécurité et la résilience de l'infrastructure de données du Royaume-Uni.

Que comportent les propositions ?

Les règles proposées couvriraient spécifiquement les fournisseurs de services de colocation et de co-hébergement de centres de données. Les propriétaires d’installations seraient tenus de s’inscrire auprès d’un organisme de réglementation désigné et de fournir des « informations pertinentes » sur leurs opérations au Royaume-Uni. Ce régulateur aurait le pouvoir de gérer et d’appliquer le nouveau cadre, en tenant compte de la croissance et de l’innovation lors de la prise de décisions.

Les propriétaires de centres de données devraient également se conformer à une série de mesures de sécurité et de résilience, liées à :
⦁ Gestion des risques
⦁ Sécurité physique et cybersécurité des installations, réseaux et systèmes
⦁ Gestion des incidents – les incidents importants doivent être signalés au régulateur et potentiellement divulgués aux clients/parties concernées
⦁ Résilience et continuité de service
⦁ Surveillance, détection, audit et tests
⦁ Gouvernance et personnel
⦁ Gestion de la chaîne d'approvisionnement

« Les données sont un moteur de plus en plus important de notre croissance économique et jouent un rôle central dans nos services publics. Ainsi, garantir que les entreprises qui les stockent disposent des protections appropriées pour limiter les risques liés aux menaces telles que les cyberattaques et les conditions météorologiques extrêmes nous aidera à récolter les bénéfices et à donner aux entreprises une tranquillité d'esprit », a déclaré le ministre des Données et de l'Infrastructure numérique, John Whittingdale, dans une déclaration.

« Le gouvernement prend au sérieux la sécurité des données, c'est pourquoi nous appelons ces entreprises à partager activement leurs idées et leur expertise, tout en veillant à ce que les réglementations appropriées soient en place. En faisant de la sécurité une priorité absolue dans la façon dont nous traitons les données, nous relevons non seulement de nouveaux défis, mais nous faisons également du Royaume-Uni un leader mondial dans la promotion d'une technologie sûre et responsable.

Les normes et les cadres peuvent aider

Cependant, comme pour toute nouvelle proposition réglementaire, il existe des défis potentiels, selon James McQuiggan, défenseur de la sensibilisation à la sécurité chez KnowBe4.
« Premièrement, l'approche universelle ne convient peut-être qu'à certains opérateurs de centres de données, en particulier les plus petits, qui pourraient avoir des difficultés avec les coûts et les complexités de la conformité », explique-t-il à ISMS.online.

« Deuxièmement, il existe un risque de réglementation excessive, qui pourrait étouffer l'innovation ou conduire à une mentalité axée sur la conformité plutôt que sur la sécurité. Enfin, il y a le défi de suivre l'évolution rapide des cybermenaces, où les réglementations peuvent devenir rapidement obsolètes.

Les opérateurs de centres de données devront déployer les dernières technologies de sécurité et de résilience des données tout en garantissant la compatibilité et des temps d'arrêt minimaux, tout en minimisant la dette technique, ajoute McQuiggan.

« Adhérer à une liste sans cesse croissante de réglementations et de normes industrielles peut prendre du temps et des efforts, en particulier pour les petits opérateurs. Concilier conformité et efficacité opérationnelle constitue un défi de taille », affirme-t-il.

Toutefois, les normes de bonnes pratiques pourraient être utiles. De manière cruciale, le document de consultation du gouvernement souligne que « les normes, les cadres d'évaluation et d'autres outils peuvent être utilisés pour améliorer et assurer l'atténuation de la sécurité et de la résilience ». Cela ouvre la porte à l'utilisation de normes internationales telles que ISO 27001, qui fournit un cadre pour l’établissement, la mise en œuvre et la gestion d’un système de gestion de la sécurité de l’information (ISMS).

« Le cadre met l’accent sur l’amélioration continue, ce qui correspond bien à la nature dynamique des menaces de cybersécurité et des progrès technologiques. Il peut aider les propriétaires de centres de données à gérer systématiquement les informations sensibles de l'entreprise et à garantir la sécurité des données », explique McQuiggan.

« De plus, les organisations détenant les certifications ISO 2700x peuvent démontrer aux fournisseurs, aux clients et aux régulateurs que le centre de données prend au sérieux la gestion efficace des risques liés à la sécurité des informations. »

La consultation sur la nouvelle loi se déroulera jusqu'au 22 février, avec diverses parties prenantes, notamment des opérateurs de centres de données, des fournisseurs de cloud et des experts du secteur, invités à soumettre leurs commentaires sur les propositions. Le gouvernement estime que ce projet de loi, le nouveau projet de loi sur la protection des données et l'information numérique et le Loi de 2022 sur la sécurité des produits et l'infrastructure des télécommunications (PSTI) ensemble, ils contribueront à renforcer la cyber-résilience de l'économie numérique du Royaume-Uni, à une époque de menaces croissantes et de surface d'attaque croissante des entreprises. Le temps nous le dira.