Le discours du roi Charles III prononcé la semaine dernière à l'ouverture du Parlement britannique a souligné les mesures législatives cruciales que le nouveau gouvernement entend mettre en œuvre au cours de son mandat, soulignant les priorités du gouvernement pour les années à venir. 

programme législatif ambitieux comprenant environ 40 projets de loi, avec deux textes législatifs spécifiques axés sur le secteur technologique : le projet de loi sur la cybersécurité et la résilience et le projet de loi sur l'information numérique et les données intelligentes.    

 Alors, quelles sont les informations clés à retenir de ces projets de loi en termes d’informations et de cybersécurité, et que peuvent faire les entreprises dès maintenant pour se préparer à la législation à venir ? 

Le projet de loi sur la cybersécurité et la résilience 

Le projet de loi sur la cybersécurité et la résilience vise à renforcer les cyberdéfenses du pays et à sécuriser les infrastructures critiques et les services numériques dont les entreprises dépendent fortement. Les récentes cyberattaques contre le NHS et le ministère de la Défense soulignent l’urgence de cette décision. Le prochain projet de loi promet de remédier rapidement à ces vulnérabilités, en garantissant la protection de l’économie numérique et en soutenant la croissance. 

Au cœur de la stratégie du projet de loi se trouve refonte des réglementations existantes, qui reflètent actuellement des lois européennes obsolètes, à savoir le NIS, qui sera bientôt remplacé par le NIS 2 mis à jour. La nouvelle législation britannique renforcera les régulateurs et imposera une déclaration accrue des cybermenaces. Cela permettra au gouvernement de mieux comprendre le cyber-paysage et d’améliorer ses capacités de réponse. 

Le projet de loi vise également à étendre la portée des réglementations actuelles pour couvrir davantage de services numériques et de chaînes d’approvisionnement, qui sont devenus des cibles de plus en plus attractives pour les cyberattaquants. Ce faisant, il cherche à combler des lacunes critiques dans les défenses du pays et à prévenir le type de perturbations récemment connues par les services publics au Royaume-Uni, comme l'attaque par ransomware qui a paralysé plusieurs hôpitaux de Londres. 

La législation devrait introduire des amendes et des pénalités plus élevées en cas de non-respect des normes de cybersécurité afin de renforcer toute nouvelle exigence légale. Ces sanctions viendront compléter les amendes occasionnelles mais importantes déjà imposées par le Bureau du commissaire à l'information (ICO) pour les violations de données. 

Reconnaissant la nature interconnectée du commerce, le projet de loi proposé examinera également exiger des organisations qu’elles s’assurent que leurs fournisseurs et partenaires respectent des normes robustes en matière de cybersécurité. Elle peut également imposer des obligations à la haute direction, en tenant les administrateurs ou les dirigeants personnellement responsables de leur non-respect. 

Les régulateurs seront habilités à garantir la mise en œuvre de mesures essentielles de cybersécurité, notamment des mécanismes potentiels de recouvrement des coûts et le pouvoir d’enquêter de manière proactive sur les vulnérabilités. En outre, le projet de loi exigera un reporting complet des incidents, fournissant ainsi au gouvernement de meilleures données sur les cyberattaques, y compris les incidents de ransomware, afin d'améliorer sa détection des menaces et sa réponse. 

Avec l’introduction imminente du projet de loi sur la cybersécurité et la résilience, les entreprises, en particulier celles des secteurs de la technologie et des infrastructures critiques, devront probablement investir dans des mesures de cybersécurité plus strictes. Cela renforcera leur résilience et garantira qu’ils respectent les nouvelles normes plus rigoureuses. 

Toutefois, les obligations accrues en matière de déclaration pourraient accroître les charges et les coûts administratifs pour les entreprises. Conscient de ces défis, le gouvernement prévoit de fournir des ressources, en particulier aux petites entreprises, par l'intermédiaire du Centre national de cybersécurité (NCSC) pour les aider à améliorer leurs pratiques de cybersécurité. 

Le projet de loi est également susceptible d’inclure des dispositions liées à l’intelligence artificielle (IA) en plus de se concentrer sur la cybersécurité en général. Bien qu'aucun projet de loi dédié à l'IA n'ait été présenté, les notes du projet de loi sur la cybersécurité et la résilience reconnaissent l'influence croissante de l'IA et suggèrent des mesures pour répondre aux implications en matière de cybersécurité associées aux modèles d'IA puissants. Une telle approche globale garantirait sans aucun doute que les technologies d’IA soient développées et déployées de manière plus sûre et avec plus de considération, atténuant ainsi les risques potentiels. 

Les 5 principaux points à retenir du projet de loi sur la cybersécurité et la résilience  

 

  1. Conformité et sanctions plus strictes: Le nouveau projet de loi sur la cybersécurité et la résilience devrait introduire des amendes et des pénalités plus élevées pour les entreprises qui ne se conforment pas aux normes de cybersécurité obligatoires, parallèlement aux sanctions existantes de l'ICO en cas de violation de données.
  2. Portée élargie et exigences en matière de reporting: Les entreprises doivent adhérer à des réglementations mises à jour qui couvrent davantage de services et de chaînes d'approvisionnement numériques. Les organisations seront également tenues de signaler les incidents de cybersécurité de manière plus complète afin de fournir au gouvernement de meilleures données sur les cybermenaces.
  3. Cybersécurité de la chaîne d'approvisionnement: Le projet de loi proposé souligne fortement la nécessité de mieux protéger les infrastructures critiques contre les cyberattaques. En raison de la nature interconnectée du commerce moderne et de la gravité récente des cyberincidents dans la chaîne d’approvisionnement, les entreprises doivent être prêtes à garantir que leurs fournisseurs et partenaires maintiennent également des normes élevées en matière de cybersécurité et peuvent le démontrer.
  4. Responsabilité de la haute direction: Le projet de loi pourrait imposer des obligations à la haute direction de mettre en œuvre des mesures de cybersécurité, avec d'éventuelles amendes personnelles ou des sanctions en cas de non-conformité.
  5. Soutien aux petites entreprises: Le gouvernement prévoit de fournir des ressources par l'intermédiaire du Centre national de cybersécurité (NCSC) pour aider les petites entreprises à améliorer leurs pratiques de cybersécurité et à répondre aux nouvelles exigences réglementaires. 

La facture de l’information numérique et du Smart Data 

Dans le cadre d'un changement législatif important, le projet de loi sur l'information numérique et les données intelligentes récemment dévoilé vise à exploiter la puissance des données pour alimenter la croissance économique, soutenir un gouvernement numérique moderne et améliorer la vie des citoyens. Cette initiative fait suite à la tentative infructueuse du gouvernement précédent de faire adopter le Projet de loi Informatique et Libertés (DPDI) mais promet une nouvelle approche adaptée au paysage numérique actuel. 

À la base, le projet de loi vise à créer un cadre réglementaire complet qui encourage les utilisations innovantes des données. Au cœur de ce projet se trouve la promotion des services de vérification numérique, qui visent à rationaliser les tâches quotidiennes telles que le déménagement, les contrôles préalables à l'emploi et l'achat de biens soumis à une limite d'âge en fournissant des identités numériques sécurisées. Cette innovation devrait permettre d'économiser du temps et de l'argent tout en renforçant la sécurité des transactions en ligne. 

Le projet de loi met également l'accent sur les systèmes Smart Data, qui faciliteront le partage sécurisé des données des clients avec des fournisseurs tiers autorisés sur demande. À l’instar du cadre réussi d’Open Banking, cette initiative vise à favoriser des services innovants qui améliorent la prise de décision et l’engagement sur le marché. Le projet de loi vise à responsabiliser les consommateurs et à stimuler la croissance économique dans divers secteurs en établissant une base législative pour ces régimes. 

L'amélioration des services publics et le soutien à la recherche scientifique sont également des objectifs clés du projet de loi. En modifiant la loi sur l'économie numérique, le gouvernement vise à améliorer le partage de données sur les entreprises qui utilisent les services publics, à passer à l'enregistrement électronique des naissances et des décès et à normaliser les systèmes informatiques dans les secteurs de la santé et des services sociaux. En outre, le projet de loi mettra à jour les lois sur les données afin de mieux refléter les besoins de la recherche interdisciplinaire moderne, permettant ainsi aux scientifiques d'obtenir un large consentement pour leurs travaux et aux chercheurs commerciaux d'utiliser les données de manière efficace. 

Le projet de loi introduit des réformes ciblées des lois sur les données afin d'équilibrer la protection et l'innovation pour atteindre ces objectifs. Ces réformes visent à clarifier les réglementations existantes, à éliminer les obstacles au développement de nouvelles technologies et à garantir le maintien de normes élevées en matière de protection des données. 

Un élément important du projet de loi est la modernisation et le renforcement du Bureau du commissaire à l'information (ICO). L'ICO sera restructurée avec un nouveau PDG, un nouveau conseil d'administration et un nouveau président, et de nouveaux pouvoirs seront accordés pour faire appliquer les lois sur la protection des données. Cette transformation vise à garantir que l'ICO puisse superviser efficacement les mesures renforcées de protection des données proposées par le projet de loi. 

Le projet de loi sur l’information numérique et les données intelligentes représente une approche proactive visant à exploiter les données au profit de l’économie et de la société. En modernisant les structures réglementaires, en améliorant les services publics et en soutenant la recherche scientifique, le gouvernement vise à positionner le Royaume-Uni à l'avant-garde de l'économie numérique tout en maintenant des normes élevées en matière de protection des données et de sécurité.  

Principaux points à retenir de la facture d'information numérique et de données intelligentes  

  1. Changements structurels et de gouvernance de l'ICO : Le projet de loi restructure l'ICO pour lui doter d'un nouveau cadre de gouvernance et de pouvoirs accrus. Ces changements visent à améliorer la capacité de l'ICO à appliquer les réglementations sur la protection des données et à superviser les services de vérification numérique.
  2. Développement de produits d'identité numérique sécurisée : Le projet de loi soutient la création et l’adoption de produits et services d’identité numérique sécurisés. Ces produits faciliteront les transactions sécurisées dans divers contextes, tels que le déménagement, les contrôles préalables à l'emploi et l'achat de biens et services soumis à une limite d'âge.
  3. Prise en charge des schémas de données intelligents : La législation favorise le développement de systèmes de données intelligents, permettant de partager les informations des clients avec des prestataires agréés. Cette initiative vise à favoriser l'innovation et à améliorer la prestation de services dans les secteurs de la finance, de l'énergie et des télécommunications.
  4. Réformes des lois sur les données : Le projet de loi introduit des réformes ciblées des lois sur les données afin d’équilibrer la protection et l’innovation. Ces réformes visent à clarifier les réglementations existantes, à éliminer les obstacles au développement de nouvelles technologies et à maintenir des normes élevées en matière de protection des données. 

 

Qu’en est-il de la réglementation de l’IA au Royaume-Uni ? 

Malgré les attentes, le gouvernement britannique n'a pas présenté de projet de loi dédié à l'IA dans le discours du roi. Cependant, les considérations liées à l'IA sont intégrées dans le projet de loi sur la cybersécurité et la résilience et dans les mesures de sécurité des produits, ce qui indique que le gouvernement reconnaît l'importance croissante et les risques potentiels des technologies d'IA. 

Malgré l’absence d’un projet de loi autonome sur l’IA, le gouvernement a exprimé son engagement à « chercher à établir la législation appropriée pour imposer des exigences à ceux qui travaillent au développement des modèles d’intelligence artificielle les plus puissants ».

Cet engagement met en évidence un effort continu pour garantir que le développement et le déploiement de l’IA sont menés dans un cadre qui donne la priorité aux normes de sûreté, de sécurité et d’éthique. 

Et même si aucune réglementation immédiate sur l’IA au Royaume-Uni ne semble probable, la loi européenne sur l’IA est désormais devenue une loi. Cela s’applique à toute entreprise qui fait du commerce ou opère dans ou avec des entreprises et des consommateurs de l’UE. Les entreprises doivent donc se préparer dès maintenant et à la probabilité de futures réglementations britanniques spécifiques à l’IA.  

Se préparer – Comment votre entreprise peut devancer la réglementation à venir 

Avec l’imminence d’une législation sur la cybersécurité, ISO 27001 est un atout crucial pour les organisations qui cherchent à renforcer leurs défenses numériques. Cette norme reconnue à l’échelle internationale s’aligne étroitement sur de nombreux projets de loi sur la cybersécurité et la résilience et sur les exigences du projet de loi sur l’information numérique et les données intelligentes. L'approche fondée sur les risques de la norme ISO 27001 en matière de gestion de la sécurité de l'information reflète l'accent mis par la législation sur des stratégies globales d'évaluation et d'atténuation des risques. 

Avantages de la norme ISO 27001 pour la conformité 

  • Gestion systématique des risques: ISO 27001 exige que les entreprises identifient, évaluent et traitent systématiquement les risques liés à la sécurité de l'information, en s'alignant sur la nouvelle orientation réglementaire sur la gestion des risques et les évaluations proactives des vulnérabilités.
  • Rapports d'incidents structurés: La norme impose des procédures pour détecter, signaler et répondre aux incidents de sécurité, soutenant les exigences accrues de déclaration d'incidents de la nouvelle législation.
  • Contrôles de sécurité complets: ISO 27001 impose un large éventail de contrôles de sécurité, aidant les entreprises à respecter les mesures de sécurité renforcées requises par la nouvelle réglementation.
  • Progrès continu: ISO 27001 promeut une culture d'amélioration continue de la sécurité de l'information, garantissant que les entreprises s'adaptent aux nouvelles menaces et aux changements réglementaires. 

 

Pour les entreprises disposant d’une solide base ISO 27001, la conformité aux prochaines réglementations en matière de cybersécurité sera plus fluide, moins chronophage et plus rentable. Tirer parti des cadres existants peut réduire la charge de travail et les ressources nécessaires pour répondre aux nouvelles exigences législatives jusqu'à 50 à 70 %.

Cette longueur d'avance se traduit par des économies substantielles et permet aux entreprises d'allouer leurs ressources de manière plus stratégique, en se concentrant sur le réglage fin de la sécurité plutôt que de créer des cadres de conformité à partir de zéro.  

Que peuvent faire les entreprises pour se préparer à la réglementation de l’IA 

À l’heure où nous approchons de réglementations plus strictes en matière d’IA, la norme ISO 42001 propose une approche proactive en matière de conformité.. Les organisations qui adoptent cette norme maintenant ne se préparent pas seulement aux futures réglementations ; ils se positionnent comme leaders dans l’utilisation responsable de l’IA. Les avantages potentiels sont substantiels : une sécurité renforcée, une confiance accrue des parties prenantes et un avantage concurrentiel sur un marché de plus en plus axé sur l’IA. 

La beauté de la norme ISO 42001 réside dans son adaptabilité et sa synergie avec les cadres de cybersécurité existants. Les organisations déjà familiarisées avec les normes telles que ISO 27001 pour la sécurité des informations trouveront dans ISO 42001 une extension naturelle de leur posture de sécurité. Les meilleures pratiques pour intégrer les cadres d’IA aux mesures de sécurité existantes commencent par une approche holistique. Cela implique de mapper les systèmes d’IA aux contrôles de sécurité actuels, d’identifier les lacunes et de mettre en œuvre des protections spécifiques à l’IA si nécessaire. 

Regarder vers l'avenir 

En intégrant des processus robustes de sécurité de l’information et de sécurité de l’IA, comme indiqué dans les normes ISO 27001 et ISO 42001, les entreprises peuvent gérer efficacement les changements réglementaires, améliorer leur résilience et conserver un avantage concurrentiel. Cette approche holistique garantit que votre organisation est conforme et bien préparée pour faire face aux futurs défis de cybersécurité.