Connect with us

Technologie

Mise à jour de la réglementation sur la cybersécurité proposée pour le secteur des services gérés

Published

on


Les professionnels de la sécurité ont chaleureusement accueilli les mesures proposées par le gouvernement britannique pour améliorer les normes de sécurité au Royaume-Uni par le biais d’une législation visant à protéger les utilisateurs de services informatiques gérés, en imposant de nouvelles règles aux fournisseurs de ces services.

Une consultation sur les propositions a été lancée par le Département du numérique, de la culture, des médias et des sports (DCMS) le mercredi 19 janvier, au milieu des questions du Premier ministre. Il intervient après une année torride pour les équipes de sécurité informatique, avec des pics de cyberattaques à tous les niveaux, et dans le sillage de la stratégie nationale de cybersécurité de 2,6 milliards de livres sterling publiée en décembre 2021.

Le gouvernement cherche maintenant à apporter une série de mises à jour à la réglementation de 2018 sur les réseaux et les systèmes d’information (NIS), qui ont été initialement conçues pour protéger la sécurité des fournisseurs d’infrastructures nationales critiques (CNI), dans ce cas, les services publics, les transports, les soins de santé et les communications – soutenues par des amendes de plusieurs millions de livres sterling pour non-conformité.

Ces réglementations seront élargies dans leur champ d’application pour inclure les fournisseurs de services gérés (MSP) et les fournisseurs de services spécialisés en ligne et numériques, y compris les services de sécurité gérés, les services en milieu de travail et l’externalisation informatique générale.

Julia Lopez, ministre d’État chargée des médias, des données et de l’infrastructure numérique, a déclaré : « Les cyberattaques sont souvent rendues possibles parce que les criminels et les États hostiles exploitent cyniquement les vulnérabilités des chaînes d’approvisionnement numériques des entreprises et externalisent les services informatiques qui pourraient être corrigés ou corrigés.

« Les plans que nous annonçons aujourd’hui aideront à protéger les services essentiels et notre économie en général contre les cybermenaces. Chaque organisation britannique doit prendre sa cyber-résilience au sérieux alors que nous nous efforçons de croître, d’innover et de protéger les personnes en ligne. Ce n’est pas un supplément facultatif », a déclaré Lopez.

Ces entreprises devront à l’avenir entreprendre des évaluations plus approfondies des risques et mettre en œuvre des « mesures de sécurité raisonnables et proportionnées » pour protéger leurs réseaux. Ils auront également le mandat de signaler les incidents importants; mettre en place des plans de rétablissement dynamiques et exécutables; et d’être en mesure de démontrer leur conformité au Bureau du commissaire à l’information (ICO). Les nouvelles lois donneront également au gouvernement le pouvoir de pérenniser les règlements NIS en mettant à jour leur portée si nécessaire.

Tous les coûts pertinents encourus par les régulateurs pour faire appliquer les nouvelles réglementations seront transférés du contribuable à ces organisations, c’est-à-dire les MSP, couvertes par la législation, ce qui, selon le gouvernement, créerait un système financier plus flexible et réduirait le fardeau de la fiscalité générale.

DCMS a déclaré que ses propres recherches avaient révélé que seulement 12% des organisations britanniques examinent actuellement les cyber-risques auxquels leurs fournisseurs immédiats pourraient les exposer, et seulement 5% prennent des mesures pour remédier aux vulnérabilités de leur chaîne d’approvisionnement plus large.

Le directeur technique du National Cyber Security Centre (NCSC), Ian Levy, a déclaré: « Je salue ces mises à jour proposées pour les réglementations NIS, qui contribueront à améliorer la résilience globale du Royaume-Uni en matière de cybersécurité. Ces mesures garantiront que les risques de cybersécurité sont correctement gérés par les organisations et ceux sur qui elles comptent. »

Tim Mackey, stratège principal en sécurité au Centre de recherche sur la cybersécurité Synopsys, a ajouté : « La plupart des organisations modernes sont, en réalité, des opérations distribuées où les vitrines en ligne, les processeurs de paiement, la gestion des stocks et même la gestion du personnel utilisent des services tiers, même pour les plus petites entreprises.

« Étant donné que la gestion de ces services est souvent en dehors des domaines d’expertise d’une entreprise, il n’est pas rare de trouver des entreprises utilisant des MSP en tant que fournisseurs externalisés de services numériques. L’extension de la réglementation NIS aux MSP aidera les petites entreprises à atteindre un niveau plus élevé de cyber-résilience, où la récente vulnérabilité Log4Shell a montré que la cyber-résilience est fonction de la façon dont les chaînes d’approvisionnement logicielles sont comprises.

« Malheureusement, peu d’organisations examinent les risques de cybersécurité au sein de leur chaîne d’approvisionnement logicielle immédiate. En exigeant des grandes entreprises qu’elles signalent toutes les cyberattaques qu’elles subissent, les réglementations NIS proposées encouragent effectivement les évaluations des risques au sein des chaînes d’approvisionnement de logiciels, car le risque logiciel est un risque commercial », a-t-il déclaré.

Oliver Smith, avocat spécialisé en cybercontentieux chez Keystone Law, a également exprimé son soutien à l’expansion de NIS: « La loi a reconnu la menace pour les services essentiels, tels que l’eau, l’électricité et les transports, mais les cyberattaques récentes, telles que l’attaque de l’oléoduc colonial aux États-Unis dans laquelle l’oléoduc fournissant 45% du pétrole de la côte Est a été fermé, ont illustré la vulnérabilité des entreprises de services essentiels à l’obligation d’avoirsystèmes informatiques héritiers attaqués.

« Bien que ces entreprises soient couvertes par des réglementations et une surveillance proactive par l’ICO pour s’assurer qu’elles maintiennent des normes élevées de sécurité physique et cybernétique, les sociétés externalisées que beaucoup d’entre elles utilisent pour gérer leurs réseaux informatiques n’ont pas été réglementées. Ces modifications de la loi amèneront ces entreprises externalisées sous la réglementation de l’ICO.

« Étant donné que ces sociétés d’externalisation pourraient être responsables des services informatiques de centaines d’entreprises, toute compromission de leur sécurité pourrait avoir un impact massif sur les services fournis par ces entreprises clientes et entraîner la perturbation de nombreux services différents en même temps. Cela pourrait provenir d’attaques criminelles de ransomware ou de cyberterrorisme parrainé par l’État.

« La nouvelle loi exigera également une plus grande signalement des tentatives d’attaques pour inclure les tentatives infructueuses et les incursions de bas niveau ainsi que les perturbations des services. Cela devrait permettre à l’ICO de repérer les risques plus tôt avant qu’ils n’entraînent une perturbation grave des services critiques », a déclaré Smith.

Normes professionnelles

Le gouvernement a déclaré que des lois supplémentaires sont nécessaires pour améliorer la sécurité à tous les niveaux et, à cette fin, il a lancé une consultation distincte couvrant les pouvoirs proposés pour le Conseil de cybersécurité du Royaume-Uni – le nouvel organisme de réglementation professionnel du cyber-commerce – autour des qualifications et des certifications en matière de sécurité.

Il a déclaré qu’à mesure que le secteur technologique du Royaume-Uni continue de se développer, de plus en plus de personnes sont attirées par des carrières en cybersécurité et qu’il peut être difficile pour les organisations – qu’il s’agisse d’embaucher ou de contracter – de savoir quelles compétences et qualifications sont souhaitables.

Le Conseil de cybersécurité du Royaume-Uni a été créé l’année dernière pour résoudre ce problème en menant la création de nouvelles normes professionnelles et d’accréditations, alignant la cybersécurité sur d’autres professions établies telles que la comptabilité ou l’ingénierie.

Les nouvelles propositions lui donneront la capacité de définir et de reconnaître des titres de poste cybernétiques et de les relier aux qualifications et certifications existantes. À l’avenir, les professionnels de la cybersécurité devront respecter des normes de compétences spécifiques établies par le conseil dans une gamme de spécialités de sécurité avant de pouvoir utiliser un titre de poste spécifique. Un registre officiel des praticiens, tel qu’il existe dans les professions médicales et juridiques, est également sur la table, indiquant les professionnels de la sécurité reconnus comme éthiques, qualifiés ou supérieurs.

DCMS a déclaré que cela permettra aux employeurs d’identifier plus facilement les compétences dont ils ont besoin pour recruter de manière appropriée et donnera aux cyberprosionnels potentiels et existants plus de clarté sur les cheminements de carrière.

Simon Hepburn, PDG du UK Cyber Security Council, a déclaré : « Le UK Cyber Security Council est ravi que ces propositions reconnaissent notre rôle de leader en matière de cyber-main-d’œuvre qui aidera à définir et à reconnaître les rôles des cyber-emplois et à les associer aux certifications et qualifications existantes.

« Nous sommes impatients de participer et de contribuer à cette importante consultation gouvernementale et nous encourageons tous les intervenants clés à y participer également. »

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance