La décision du gouvernement britannique de s’exclure du champ d’application de la loi cyber affaiblit la confiance

 (theregister.com)
1 points par GN⁺ 2026-01-12 | 1 commentaires | Partager sur WhatsApp
  • Le projet de loi britannique « Cyber Security and Resilience (CSR) » inclut parmi les entités régulées les infrastructures critiques nationales et les prestataires de services managés, mais exclut le gouvernement central et les collectivités locales
  • Le gouvernement a indiqué qu’il appliquerait à la place les mêmes standards de sécurité sur une base volontaire via le « Government Cyber Action Plan », mais sans obligation légale
  • Plusieurs parlementaires et experts critiquent le fait que le secteur public, pourtant cible majeure d’attaques, échappe au texte, et estiment que des standards volontaires sans force contraignante nuisent à la confiance
  • Selon un rapport du National Audit Office (NAO), les failles de sécurité et les retards de correction au sein des systèmes gouvernementaux sont graves, ce qui alimente les inquiétudes sur l’insuffisance du dispositif actuel
  • La décision d’exclure le secteur public soulève des doutes sur la volonté du gouvernement en matière de cybersécurité, et renforce la nécessité de compléter la législation à l’avenir

Portée du projet de loi CSR et auto-exemption du gouvernement

  • Le projet de loi CSR vise à moderniser le cadre britannique de cybersécurité en remplaçant la réglementation NIS de 2018
    • Il inclut notamment les prestataires de services managés et les datacenters, mais exclut le gouvernement central et local
    • Contrairement à la directive NIS2 de l’UE, il laisse les organismes publics hors du périmètre réglementaire
  • Sir Oliver Dowden a critiqué à la Chambre des communes le fait que le gouvernement se soit lui-même soustrait au champ d’application du texte
    • Il a plaidé pour des exigences plus strictes imposées au secteur public
    • Il a souligné qu’une obligation légale est nécessaire pour que les ministres fassent de la cybersécurité une priorité

Réponse du gouvernement et « Cyber Action Plan »

  • Le ministre Ian Murray a répondu qu’il accepterait la proposition de Dowden, en mentionnant le Government Cyber Action Plan
    • Ce plan applique aux ministères des standards de sécurité équivalents à ceux du projet de loi CSR, mais sans caractère juridiquement contraignant
    • Les critiques y voient une mesure destinée à désamorcer les reproches, et doutent de son efficacité réelle pour renforcer la sécurité
  • Neil Brown (Decoded.legal) a souligné que « si le gouvernement compte suivre des standards équivalents à ceux du projet de loi, il n’a aucune raison d’échapper à son application »
    • Il juge que cette exclusion du texte est une décision qui n’inspire pas confiance

Réalité de la sécurité du secteur public et critiques

  • D’après un rapport du NCSC, entre septembre 2020 et août 2021, 40 % des attaques prises en charge visaient le secteur public
    • Cette proportion devrait encore augmenter par la suite
  • Le rapport 2025 du National Audit Office (NAO), après examen de 58 des 72 systèmes critiques du gouvernement, a mis en évidence de nombreuses failles de sécurité et une remédiation lente
    • Cela montre que le secteur public reste vulnérable à des cyberattaques régulières
  • Dans ce contexte, la décision du gouvernement d’exclure le secteur public du projet de loi CSR est critiquée comme un manque de cohérence politique

Orientations législatives à venir et débat

  • Le député travailliste Matt Western a indiqué que le projet de loi CSR ne constituait pas une solution complète, et que d’autres textes plus ciblés suivraient
    • Il a évoqué la possibilité que le gouvernement prépare un projet de loi distinct consacré à la cybersécurité du secteur public
  • Neil Brown estime qu’« une approche consistant à adopter fréquemment des lois petites et claires est plus judicieuse »
    • Il explique qu’une législation sectorielle séparée, comme le Telecommunications (Security) Act 2021 et le Product Security and Telecommunications Infrastructure Act 2022, peut s’avérer plus efficace

Confiance et répercussions politiques

  • Chaque fois que des organismes publics, des conseils locaux ou le NHS sont attaqués, la décision d’exclure ces acteurs du projet de loi devient un angle d’attaque pour l’opposition
    • Il est également rappelé que des recommandations d’amélioration de la sécurité proposées sous le gouvernement conservateur (en 2022) n’ont pas été mises en œuvre pendant plus de deux ans
  • Tant que le gouvernement maintiendra cette auto-exemption, le manque de confiance dans sa volonté d’améliorer la cybersécurité risque de persister
    • Pour que le projet de loi CSR s’impose comme un pilier du cadre national de sécurité, l’inclusion ou non du secteur public devrait rester un enjeu central à l’avenir

À lire aussi

1 commentaires

 
GN⁺ 2026-01-12
Commentaires sur Hacker News

  • J’ai parcouru ce projet de loi rapidement, et j’ai l’impression qu’il a été interprété de façon trop cynique
    L’essentiel consiste à désigner des fournisseurs et prestataires de services critiques, puis à définir leurs obligations de sécurité
    L’administration centrale n’est généralement pas elle-même fournisseur direct, mais agit comme cliente en s’appuyant sur plusieurs prestataires externes
    Donc je ne trouve pas étrange qu’au départ le gouvernement ait été exclu du champ d’application. À mon avis, il est logique de commencer par mettre de l’ordre chez les fournisseurs de premier rang, puis d’élaborer ensuite une réglementation couvrant l’ensemble des fonctions de l’État

    • En suivant ta logique, le gouvernement se trouverait naturellement hors du champ de la loi sans qu’il soit nécessaire de prévoir une exemption explicite
      Le fait d’avoir ajouté cette exemption peut donc être vu comme une preuve qu’à l’origine, le gouvernement entrait bien dans le champ d’application
    • Le problème, c’est que cette approche a déjà constitué l’un des défauts fatals de tentatives précédentes
      Si c’était une première tentative, je serais d’accord, mais c’est une méthode qui a déjà échoué à plusieurs reprises
    • Je pense que l’hypothèse selon laquelle « l’administration centrale est un client » est fausse
      Le gouvernement collabore avec de nombreux fournisseurs, mais il lui arrive aussi, via des agences nationales de cybersécurité ou des organismes de support IT, d’agir lui-même comme prestataire de services
      Par exemple, pour l’exploitation de SOC, le conseil en sécurité ou le partage d’informations. Exclure le gouvernement donne donc simplement l’impression d’une mesure destinée à réduire les coûts

  • Je pense qu’une adoption progressive de la divulgation coordonnée des vulnérabilités (Coordinated Vulnerability Disclosure) par les administrations britanniques permettrait d’améliorer concrètement la sécurité
    Cela rejoint aussi le contenu de l’article, qui présente ce projet de loi UK CSR comme une première étape vers une législation de sécurité sur mesure
    Je travaille dans l’ingénierie logicielle liée aux informations médicales, donc ce sujet me parle particulièrement à titre professionnel
    Des ressources connexes sont disponibles via ce lien GitHub

  • On dirait que les ingénieurs qui conçoivent le changement restent en retrait avec une attitude du type : « Faites ce qu’on vous dit, pas ce qu’on fait »

  • C’est similaire à la situation dans des endroits comme le Texas, où les agences publiques de l’État n’ont pas à respecter les codes du bâtiment
    J’ai vu des cas de ce genre quand je travaillais sur un chantier de construction de datacenter public — c’était du genre : « Amiante ? C’est quoi ça ? »

  • Ce genre d’exemption peut avoir ses raisons
    Par exemple, éviter d’avoir à se soumettre des rapports à soi-même ou à divulguer des informations sensibles
    Mais la bonne approche consiste à créer un cadre juridique de base, puis à préciser dans les textes d’application des formules du type : « telle agence applique NIS2 avec les exceptions suivantes »
    Cela permet d’éviter les exemptions excessives et d’empêcher chaque organisme de rédiger ses propres règles à sa convenance
    C’est aussi une pratique courante dans les secteurs nucléaire et de l’armement. Déclarer d’emblée des exemptions générales est une mauvaise approche

  • Je ne comprends pas pourquoi le Royaume-Uni adopte une posture aussi autoritaire sur les questions de cybersécurité
    On voit souvent des lois du genre : « ce sont des règles pour vous, pas pour nous »

    • Il est question ici du Cyber Security and Resilience Bill
      Son objectif est de renforcer la sécurité des actifs critiques et de durcir les obligations de signalement des incidents ; je trouve donc curieux de qualifier ces mesures d’« autoritaires »
      Je serais intéressé de savoir ce qui te donne cette impression
    • Les lois britanniques liées à l’informatique ont certes un côté autoritaire, mais elles ne sont pas très différentes de celles d’autres pays occidentaux
    • Le Royaume-Uni doit adopter des règles similaires à la réglementation européenne (NIS2) afin de préserver la reconnaissance mutuelle avec l’UE et de ne pas entraver le commerce
      Mais en même temps, il ne veut pas reconnaître qu’il « suit l’UE »
      Du coup, ils sont en train de réécrire la loi pour permettre aux sociétés d’ingénierie et aux consultants britanniques de rédiger les documents réglementaires et de préserver un monopole de la conformité
    • Ce n’est pas un problème propre à la cybersécurité. On retrouve la même attitude dans d’autres domaines

  • En tant que Britannique, quand je vois le gouvernement dire : « Il n’y a pas d’obligation légale, mais nous maintiendrons des normes équivalentes via le Cyber Action Plan », cela revient en gros à dire : « faites confiance au PDF »
    Je pense qu’il est temps de passer rapidement à l’ère de la non-répudiation (non-repudiation)

  • (Réponse à un commentaire précédent)
    J’aimerais demander si certains ont oublié qui a construit le premier ordinateur du monde, et qui a créé le World Wide Web