La décision du gouvernement britannique de s’exclure du champ d’application de la loi cyber affaiblit la confiance

 (theregister.com)
1 points par GN⁺ 2026-01-12 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • Le projet de loi britannique « Cyber Security and Resilience (CSR) » inclut parmi les entités régulées les infrastructures critiques nationales et les prestataires de services managés, mais exclut le gouvernement central et les collectivités locales
  • Le gouvernement a indiqué qu’il appliquerait à la place les mêmes standards de sécurité sur une base volontaire via le « Government Cyber Action Plan », mais sans obligation légale
  • Plusieurs parlementaires et experts critiquent le fait que le secteur public, pourtant cible majeure d’attaques, échappe au texte, et estiment que des standards volontaires sans force contraignante nuisent à la confiance
  • Selon un rapport du National Audit Office (NAO), les failles de sécurité et les retards de correction au sein des systèmes gouvernementaux sont graves, ce qui alimente les inquiétudes sur l’insuffisance du dispositif actuel
  • La décision d’exclure le secteur public soulève des doutes sur la volonté du gouvernement en matière de cybersécurité, et renforce la nécessité de compléter la législation à l’avenir

Portée du projet de loi CSR et auto-exemption du gouvernement

  • Le projet de loi CSR vise à moderniser le cadre britannique de cybersécurité en remplaçant la réglementation NIS de 2018
    • Il inclut notamment les prestataires de services managés et les datacenters, mais exclut le gouvernement central et local
    • Contrairement à la directive NIS2 de l’UE, il laisse les organismes publics hors du périmètre réglementaire
  • Sir Oliver Dowden a critiqué à la Chambre des communes le fait que le gouvernement se soit lui-même soustrait au champ d’application du texte
    • Il a plaidé pour des exigences plus strictes imposées au secteur public
    • Il a souligné qu’une obligation légale est nécessaire pour que les ministres fassent de la cybersécurité une priorité

Réponse du gouvernement et « Cyber Action Plan »

  • Le ministre Ian Murray a répondu qu’il accepterait la proposition de Dowden, en mentionnant le Government Cyber Action Plan
    • Ce plan applique aux ministères des standards de sécurité équivalents à ceux du projet de loi CSR, mais sans caractère juridiquement contraignant
    • Les critiques y voient une mesure destinée à désamorcer les reproches, et doutent de son efficacité réelle pour renforcer la sécurité
  • Neil Brown (Decoded.legal) a souligné que « si le gouvernement compte suivre des standards équivalents à ceux du projet de loi, il n’a aucune raison d’échapper à son application »
    • Il juge que cette exclusion du texte est une décision qui n’inspire pas confiance

Réalité de la sécurité du secteur public et critiques

  • D’après un rapport du NCSC, entre septembre 2020 et août 2021, 40 % des attaques prises en charge visaient le secteur public
    • Cette proportion devrait encore augmenter par la suite
  • Le rapport 2025 du National Audit Office (NAO), après examen de 58 des 72 systèmes critiques du gouvernement, a mis en évidence de nombreuses failles de sécurité et une remédiation lente
    • Cela montre que le secteur public reste vulnérable à des cyberattaques régulières
  • Dans ce contexte, la décision du gouvernement d’exclure le secteur public du projet de loi CSR est critiquée comme un manque de cohérence politique

Orientations législatives à venir et débat

  • Le député travailliste Matt Western a indiqué que le projet de loi CSR ne constituait pas une solution complète, et que d’autres textes plus ciblés suivraient
    • Il a évoqué la possibilité que le gouvernement prépare un projet de loi distinct consacré à la cybersécurité du secteur public
  • Neil Brown estime qu’« une approche consistant à adopter fréquemment des lois petites et claires est plus judicieuse »
    • Il explique qu’une législation sectorielle séparée, comme le Telecommunications (Security) Act 2021 et le Product Security and Telecommunications Infrastructure Act 2022, peut s’avérer plus efficace

Confiance et répercussions politiques

  • Chaque fois que des organismes publics, des conseils locaux ou le NHS sont attaqués, la décision d’exclure ces acteurs du projet de loi devient un angle d’attaque pour l’opposition
    • Il est également rappelé que des recommandations d’amélioration de la sécurité proposées sous le gouvernement conservateur (en 2022) n’ont pas été mises en œuvre pendant plus de deux ans
  • Tant que le gouvernement maintiendra cette auto-exemption, le manque de confiance dans sa volonté d’améliorer la cybersécurité risque de persister
    • Pour que le projet de loi CSR s’impose comme un pilier du cadre national de sécurité, l’inclusion ou non du secteur public devrait rester un enjeu central à l’avenir

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.