Ce que le projet de loi sur les télécommunications (sécurité) signifie pour l’industrie britannique

Sécurité des appareils IoT

Cependant, la sécurité des appareils de l’Internet des objets (IoT) est également envisagée. « Dans le discours de la Reine, nous avons annoncé le projet de loi sur la sécurité des produits et l’infrastructure des télécommunications, dont une partie vise à lutter contre les appareils intelligents », ajoute M. Warman. « Il est encore beaucoup trop facile d’acheter un appareil intelligent qui a le mot de passe comme ‘mot de passe’, ou pire encore, vous ne pouvez pas changer le mot de passe du tout. »

Au cœur du projet de loi sur les télécommunications (sécurité) se trouve l’obligation pour PECN/PECS de prendre des mesures de sécurité pour protéger leurs réseaux et services. Cette question est traitée à l’article 105A, où il est dit: « Le fournisseur d’un réseau public de communications électroniques ou d’un service public de communications électroniques doit prendre les mesures appropriées et proportionnées aux fins:

• Identifier les risques de compromission de la sécurité.
• Réduire les risques de compromission de la sécurité.
• Se préparer à l’apparition de compromissions de sécurité.

Un « compromission de sécurité » peut être défini au sens large comme tout ce qui empiète sur les performances et les fonctionnalités d’un réseau de télécommunication. La définition complète, qui comprend sept définitions distinctes d’une compromission de sécurité, est donnée au paragraphe 2 de l’article 105A. Bien que cela puisse sembler interminable, le projet de loi tente d’englober toutes les formes de vulnérabilités, se protégeant ainsi de l’avenir.

« Cela représente un changement important dans la façon dont le gouvernement supervise la sécurité, et avec le projet de loi NS&I montre qu’une position plus proactive est adoptée, ce qui pourrait changer la façon dont un fournisseur gère son réseau », déclare Andrew Kernahan, responsable des affaires publiques pour ISPA. « Nous pensons que toutes les mesures qui vont au-delà des pratiques commerciales habituelles doivent être examinées attentivement, avec des mesures de protection mises en place. »

En outre, PECN/PECS devra prendre certaines mesures en réponse à une compromission de la sécurité. Le paragraphe 2 de l’article 105C stipule ce qui suit : « Le fournisseur du réseau ou du service doit prendre les mesures appropriées et proportionnées afin de prévenir les effets négatifs (sur le réseau ou le service ou autrement) découlant de la compromission de la sécurité. »

Failles de sécurité

Dans le cadre de leur réponse, PECN/PECS devra informer l’Ofcom et ses utilisateurs de toute faille de sécurité. Le paragraphe 2 de l’article 105J stipule ce qui suit : « Le fournisseur du réseau ou du service doit prendre les mesures raisonnables et proportionnées afin de porter les renseignements pertinents, exprimés dans un langage clair et simple, à l’attention des personnes qui utilisent le réseau ou le service et qui peuvent être lésées par la compromission en matière de sécurité. »

Cela s’ajoute à l’information du Commissariat à l’information (ICO) en cas d’atteinte à la protection des données.

Bien que le projet de loi prenne des mesures pour intégrer toutes les formes de vulnérabilités en matière de sécurité, il met en garde contre le fait que la législation sur la sécurité n’est pas incluse. L’article 105A stipule ce qui suit : « Toutefois, dans le présent chapitre, la « compromission en matière de sécurité » ne comprend pas tout ce qui se produit à la suite d’une conduite requise ou autorisée par ou en vertu d’une loi mentionnée au paragraphe (4). »

Les textes mentionnés au paragraphe 4 sont les suivants :

Il s’agit de s’assurer qu’il n’y a pas de chevauchement législatif. Warman explique: « Garder cette segmentation est important, car elle permet aux forces de l’ordre de continuer à travailler avec les fournisseurs de télécommunications comme elles le font actuellement, et ne commence pas à faire bouger les règles du jeu. Vous ne voudriez pas créer accidentellement un conflit de fonctions par le biais de trois législations différentes.

À la suite de la décision du gouvernement d’interdire la technologie Huawei de l’infrastructure de télécommunications du Royaume-Uni, l’article 105Z1 du projet de loi comprend des pouvoirs pour les instructions des fournisseurs désignés. Cela permet au secrétaire d’État d’ordonner aux entreprises de restreindre ou d’interdire les achats auprès de certains fournisseurs dans l’intérêt de la sécurité nationale.

En plus de ces dispositions de sécurité, les organisations devront suivre des mesures de sécurité spécifiées (section 105B) et des codes de pratique (section 105E), qui peuvent être émis et retirés par le secrétaire d’État.

À la base de cela se trouve la section 105Z25, qui donne au secrétaire d’État le pouvoir d’appliquer des mesures de sécurité supplémentaires à certaines informations. « Le projet de loi exige que les fournisseurs de services de communication, comme les FSI, ne divulguent pas le contenu des instructions ou des avis des fournisseurs sans la permission du secrétaire d’État », explique M. Kernahan. « Cela signifierait que les FSI ne seront pas en mesure de discuter de la situation – et donc de demander conseil – avec leurs pairs. »

Interrogé à ce sujet, M. Warman a déclaré: « La seule raison pour laquelle ces clauses de non-divulgation sont potentiellement là, c’est là où nous pensons que cela pourrait compromettre la sécurité nationale de rendre ce genre de choses publiques. »

Plus de pouvoirs pour l’Ofcom

Les articles du projet de loi seront appliqués par l’Ofcom, qui obtiendra donc plus de pouvoirs. Ces pouvoirs comprennent la possibilité pour l’Ofcom d’évaluer la conformité de PECN/PECS au projet de loi et d’imposer des sanctions financières en cas de non-conformité. Ces sanctions comprennent jusqu’à 100 000 £ par jour pour non-respect d’une obligation de sécurité et une pénalité maximale de 10 millions de livres sterling pour non-respect d’un code de pratique.

Les coûts de conformité à la nouvelle facture restent à déterminer, en partie à cause de la pandémie de Covid-19. Il a été noté à la page 3 de l’analyse d’impact que les plus grands opérateurs « pourraient supporter des coûts potentiellement importants ». Les opérateurs de niveau 1 pourraient faire face à des coûts de familiarisation allant jusqu’à 200 000 £, tandis que les opérateurs non de niveau 1 pourraient faire face à des coûts de familiarisation allant jusqu’à 2 millions de livres sterling.

Warman ajoute: « Si vous regardez ce que fait ce projet de loi, ainsi que la stratégie de diversification, il travaille à un paysage des télécommunications plus diversifié, soutenu par un investissement initial de 250 millions de livres sterling. L’un des problèmes que nous avons dans le paysage des réseaux de télécommunications est cette dépendance à un petit nombre de fournisseurs. Nous sommes impatients d’utiliser l’ensemble de mesures que nous avons mis de l’avant pour promouvoir l’innovation dans un domaine qui n’en a pas eu assez, à certains égards.

Le projet de loi sur les télécommunications (sécurité) est un signe des choses à venir. Les entreprises technologiques qui souhaitent continuer à opérer au Royaume-Uni doivent être conscientes que des exigences de sécurité supplémentaires leur seront imposées à l’avenir.

« Le projet de loi s’attaque aux lacunes de la législation existante sur la sécurité des télécommunications, mais le projet de loi sur la sécurité des produits et l’infrastructure des télécommunications va dans d’autres domaines », explique M. Warman. « Il y a toute une série de produits. Vous n’avez jamais eu à vous soucier de la sécurité de votre réfrigérateur, sauf peut-être des animaux domestiques et des enfants. Alors que maintenant, nous devons absolument nous demander si les produits en vente dans ce pays qui sont connectés à Internet, offrent cette norme minimale de sécurité à laquelle tout le monde peut raisonnablement s’attendre.

Le projet de loi sur les télécommunications (sécurité) est finalement conçu pour renforcer l’infrastructure de télécommunication du Royaume-Uni, mais le fardeau de la preuve incombe aux fournisseurs de services de télécommunication. Bien qu’il soit heureux que le gouvernement légifère sur la nécessité d’une plus grande sécurité, les éléments de coût et de non-divulgation peuvent encore être considérés comme des sujets de préoccupation.