Le gouvernement britannique a récemment introduit des obligations de cybersécurité renforcées pour les fournisseurs de services cloud opérant au Royaume-Uni, effectives à partir du 1er mars 2026. Ces mesures visent à protéger les infrastructures critiques et les services numériques essentiels contre les menaces cybernétiques croissantes.
Contexte législatif et objectifs
Le 12 novembre 2025, le projet de loi sur la cybersécurité et la résilience (Cyber Security and Resilience Bill) a été présenté au Parlement britannique. Ce projet de loi représente la mise à jour la plus significative du cadre réglementaire en matière de cybersécurité depuis les Règlements sur les réseaux et les systèmes d'information de 2018. Il vise à renforcer la résilience nationale en étendant la portée des réglementations existantes et en introduisant de nouvelles obligations pour les fournisseurs de services numériques, y compris les fournisseurs de services cloud.
Extension de la portée réglementaire
Le projet de loi élargit la définition des entités réglementées pour inclure les fournisseurs de services gérés (Managed Service Providers) et les centres de données. Les fournisseurs de services cloud, en tant que composantes essentielles des infrastructures numériques, sont désormais soumis à des exigences de sécurité accrues. Cette extension vise à garantir que les services numériques critiques bénéficient de protections robustes contre les cyberattaques.
Obligations spécifiques pour les fournisseurs de services cloud
Les nouvelles obligations imposées aux fournisseurs de services cloud comprennent :
- Notification des incidents : Obligation de signaler tout incident de cybersécurité susceptible d'affecter la confidentialité, l'intégrité, la disponibilité ou l'authenticité des services fournis. Une notification initiale doit être effectuée dans les 24 heures suivant la détection de l'incident, suivie d'un rapport détaillé dans les 72 heures.
- Conformité aux normes de sécurité : Adoption obligatoire du Cyber Assessment Framework (CAF) élaboré par le National Cyber Security Centre (NCSC), qui définit des exigences en matière de gouvernance, de protection, de détection, de réponse et d'amélioration continue.
- Gestion des fournisseurs critiques : Identification et gestion proactive des fournisseurs critiques dont la perturbation pourrait avoir un impact significatif sur les services essentiels ou numériques.
Conséquences en cas de non-conformité
Le non-respect de ces obligations peut entraîner des sanctions financières substantielles. Les amendes peuvent atteindre jusqu'à 17 millions de livres sterling ou 4 % du chiffre d'affaires mondial annuel, selon le montant le plus élevé. De plus, des amendes journalières pouvant atteindre 100 000 livres sterling peuvent être imposées en cas de non-conformité continue.
Recommandations pour les entreprises
Les entreprises utilisant des services cloud doivent :
- Évaluer la conformité de leurs fournisseurs de services cloud aux nouvelles obligations réglementaires.
- Mettre à jour leurs plans de réponse aux incidents pour intégrer les exigences de notification rapide.
- Collaborer étroitement avec leurs fournisseurs pour assurer une gestion efficace des risques liés à la chaîne d'approvisionnement.
En adoptant ces mesures, les entreprises renforceront leur résilience face aux menaces cybernétiques et assureront la continuité de leurs opérations dans un environnement numérique sécurisé.
Cet article a été généré par une intelligence artificielle à des fins d’information. Malgré le soin apporté à sa rédaction, certaines informations peuvent être incomplètes, approximatives ou devenir obsolètes. Il ne remplace pas l’avis d’un expert humain.