L'ouverture solennelle du Parlement est un événement empreint de ce faste et de cette cérémonie dont la Grande-Bretagne a toujours le secret. En revanche, elle peine moins à fournir des détails concrets sur les projets de loi à venir. Le discours du roi Le gouvernement en place entretient volontairement le flou sur la question afin de se ménager une certaine flexibilité. Cela dit, certains signaux clairs se dégagent quant à ce à quoi nous pouvons nous attendre dans les mois à venir. Et, fait inhabituel cette année, la cybersécurité est au cœur de plusieurs projets de loi.
Des cartes d'identité numériques aux nouvelles obligations en matière de cyber-résilience, en passant par un renforcement des liens avec la réglementation européenne, les équipes de sécurité et de conformité auront fort à faire cette année. Voici un récapitulatif des propositions les plus importantes :
Projet de loi sur la cybersécurité et la résilience
La mise à jour tant attendue du Règlement NIS 2018 poursuit son cheminement parlementaire, et l'on s'attend à ce qu'elle devienne loi avant la fin de l'année. Projet de loi sur la cybersécurité et la résilience Le CSRB étendra son champ d'application à d'autres organisations, notamment les fournisseurs de services gérés (MSP) et les exploitants de centres de données. Il exigera de nouvelles mesures de sécurité « appropriées et proportionnées », incluant un système de signalement des incidents renforcé et une meilleure gestion des risques liés à la chaîne d'approvisionnement. Enfin, il augmentera les sanctions maximales en cas de non-conformité.
Pourtant, le nombre de secteurs concernés par le nouveau régime réglementaire reste faible, comparé à la norme européenne NIS2. Spencer Starkey, vice-président exécutif EMEA de SonicWall, explique à IO (anciennement ISMS.online) que la majeure partie de l'économie britannique reste intacte.
« La directive européenne NIS2 a déjà une portée plus large, couvrant la fabrication, la production alimentaire et les produits chimiques, contrairement au CSRB. Cela signifie que les multinationales prennent peut-être déjà en charge les aspects que le CSRB n'est pas conçu pour assumer », suggère-t-il. « Le véritable enjeu pour le gouvernement est la pression exercée sur la chaîne d'approvisionnement : les organismes réglementés auditent et gèrent les normes de cybersécurité de leurs fournisseurs, ce qui permet de réduire les exigences minimales sans légiférer directement sur tous. »
Le gouvernement a également annoncé un Initiative d'engagement en matière de cyber-résilienceDans le cadre de cette initiative, les grandes entreprises sont invitées à exiger la certification Cyber Essentials pour l'ensemble de leurs fournisseurs, entre autres. Cela pourrait également contribuer à améliorer le niveau de sécurité de base des entreprises britanniques, même si, comme le souligne Starkey, « les engagements volontaires ne sont efficaces que s'ils sont appliqués concrètement sur le plan commercial ».
Projet de loi sur l'accès numérique aux services
Ce projet introduira au Royaume-Uni, pour la première fois, un système d'identité numérique volontaire controversé. Le gouvernement tente de convaincre un public sceptique en le présentant comme une technologie permettant de gagner du temps, de réduire la bureaucratie et d'améliorer les services publics. Pour les entreprises, il pourrait également s'avérer avantageux en réduisant le volume de données à stocker et à traiter pour vérifier l'identité des clients. En théorie, il pourrait réduire la fraude à l'identité et même simplifier le processus de vérification des fournisseurs d'identité tiers.
Cependant, comme le souligne Phil Cotter, PDG de SmartSearch, le diable se cache dans les détails. « L’intégration de la biométrie robuste et de la détection de présence aux points de paiement critiques pourrait réduire considérablement la fraude à l’identité », explique-t-il. « Mal conçue, cette solution risque de devenir un simple justificatif d’identité, vulnérable au vol ou à l’ingénierie sociale, créant ainsi une illusion de sécurité. »
Il convient également de répondre à des questions sur la manière dont ce programme sera mis en œuvre concrètement.
« Si un système unique devient la norme pour les identités nationales dans les services publics et financiers, il deviendra une cible de choix », prévient Cotter. « Un échec ou un compromis ne serait pas un cas isolé ; il pourrait avoir des répercussions sur l’ensemble de l’économie. »
Projet de loi sur la sécurité nationale
Outre la réglementation des contenus violents en ligne, la partie la plus importante du projet de loi, du point de vue de la cybersécurité, concerne les réformes proposées à la loi de 1990 sur la cybercriminalité (Computer Misuse Act 1990). Créée avant même l'existence d'Internet sous sa forme actuelle, cette loi a été largement critiquée pour son incapacité à protéger les chercheurs en cybersécurité contre les accusations d'illégalité. Les nouvelles propositions visent à remédier à ces lacunes, en offrant un cadre juridique à la recherche sur les vulnérabilités, aux tests d'intrusion et à d'autres activités similaires.
« Nous espérons évoluer vers un modèle de recherche ouvert où tout est permis, pourvu que ce soit correctement signalé », explique William Wright, PDG de Closed Door Security, à IO. « Cela permettra à chacun d’évaluer les risques par lui-même et offrira aux chercheurs et aux spécialistes de la chasse aux menaces un environnement de travail plus ouvert, pour le bénéfice de tous. »
Michael Jepson, responsable des tests d'intrusion chez CybaVerse, ajoute que cela pourrait inciter les SOC à exploiter les renseignements plutôt que de les ignorer, et simplifier et approfondir la vérification des fournisseurs. « La sécurité de la chaîne d'approvisionnement pourrait être renforcée en complément des questionnaires standard et des rapports SOC2, ce qui permettrait aux organisations de vérifier concrètement les affirmations écrites des fournisseurs », explique-t-il à IO.
Projet de loi de modernisation du NHS
Les réformes d'envergure visant à améliorer la prise en charge des patients comprennent des propositions de dossier patient unique (DPU). Selon Muhammad Yahya Patel, RSSI chez Huntress, cela représente un risque de sécurité potentiellement énorme compte tenu des informations personnelles et médicales qu'il pourrait contenir.
« Dès lors que les données sont unifiées et accessibles via un point d'accès unique, elles deviennent l'une des cibles les plus attrayantes de toute l'infrastructure numérique britannique », explique-t-il à IO. « Les cybercriminels ont continué de cibler le NHS et ses principaux fournisseurs au fil des ans. Le SPR modifie fondamentalement l'impact de toute compromission réussie. »
Des évaluations des risques devront être menées pour combler les lacunes en matière de sécurité, de procédures et de processus, et une approche de confiance zéro devra être adoptée pour la gestion des identités et des accès afin de renforcer la confiance du public, explique Patel. Cela pourrait contribuer à renforcer la sécurité de la chaîne d'approvisionnement du NHS, qui exige déjà la certification Cyber Essentials Plus, ajoute-t-il.
« Toute organisation intervenant sur le SPR, qu’elle fournisse des infrastructures, des logiciels ou des services d’intégration de données, fait de facto partie du périmètre de sécurité », explique Patel. « Cela impose au NHS l’obligation concrète de comprendre et de gérer la sécurité de l’ensemble de cette chaîne. »
Les réformes prévoient également la suppression de NHS England et le transfert de ses fonctions au ministère de la Santé et des Affaires sociales (DHSC). Selon Patel, cela pourrait contribuer à « renforcer la responsabilisation » du point de vue réglementaire et de la gouvernance, même si cela risque aussi d'engendrer des frictions bureaucratiques. « Avec les délais de déclaration obligatoire des incidents et le système de sanctions mis en place par le CSRB, l'architecture de contrôle est au moins plus claire qu'auparavant », affirme-t-il.
Projet de loi sur le partenariat européen
Dix ans après le Brexit, le gouvernement semble avoir compris que le Royaume-Uni ne peut pas tracer sa propre voie en matière de réglementation sans au moins s'aligner sur ses voisins continentaux. Le projet de loi sur le partenariat européen vise à renforcer les liens avec l'UE afin de dynamiser les échanges commerciaux et de réduire les formalités administratives.
« Le gouvernement aura le pouvoir d'intégrer rapidement les réglementations en constante évolution du marché unique au droit britannique sans avoir à déclencher un vote parlementaire complet et traditionnel pour chaque mise à jour », explique James Clark, associé chez Spencer West LLP. Bien que les domaines prioritaires d'harmonisation soient l'alimentation et les boissons, l'énergie et le marché du carbone, ainsi que la mobilité des jeunes, le numérique et la cybersécurité pourraient également suivre, indique-t-il à IO.
« On pourrait arguer que l'introduction de réglementations supplémentaires par l'UE a créé un avantage concurrentiel pour le Royaume-Uni, dont la réglementation est moins contraignante. Mais en réalité, de nombreuses entreprises opèrent sur les deux marchés, ce qui signifie que l'influence de la réglementation européenne se fait toujours sentir sur l'économie britannique », poursuit Clark. « C'est un fait établi : la plupart des entreprises qui opèrent à l'international privilégient une harmonisation maximale des normes. »
Cependant, on ignore comment un alignement plus étroit sur la cybersécurité fonctionnerait, étant donné que divergence entre NIS2 et le CSRB« Parallèlement, il n’existe actuellement aucun équivalent direct à la loi européenne sur la cyber-résilience, qui exige que les produits matériels et logiciels soient conformes aux normes de sécurité intégrée dès la conception, qu’ils fassent l’objet de mises à jour obligatoires et d’une gestion des vulnérabilités tout au long de leur cycle de vie », souligne Clark.
Beaucoup plus à venir
Comme à son habitude, le gouvernement mettra sans doute fin discrètement à certaines de ces propositions, tandis que d'autres, non mentionnées dans le discours du Roi, feront leur apparition. Il est également trop tôt pour dire si les professionnels de la cybersécurité seront concernés par les autres projets de loi évoqués dans ce discours, notamment le projet de loi sur la lutte contre les menaces étatiques et le projet de loi sur l'indépendance énergétique. IO suivra de près le déroulement de cette session parlementaire.
