Nouveau
Demander une démonstration

Comment se conformer au projet de loi britannique sur la cybersécurité Sécurité et la résilience

Conformité
Andrew Simmonds photoAS
Andrew Simmonds

Content Writer

Andy French photoAF
Andy French

Director of Product Marketing

Le projet de loi britannique Cyber Sécurité and Resilience est une législation à venir au Royaume-Uni qui étendra les obligations obligatoires de cybersécurité à un ensemble plus large d’organisations — y compris les fournisseurs de services managés et les centres de données — et renforcera les règles pour les secteurs déjà couverts par les NIS Regulations 2018.  

Pour se conformer au Cyber Sécurité and Resilience Bill, les organisations doivent aligner les contrôles de sécurité, les procédures de déclaration d’incident et les capacités de reprise sur le Cyber Assessment Framework (CAF) du NCSC. L’adhésion à ce cadre passe d’un statut volontaire à une base plus obligatoire. En adoptant le cadre dès maintenant, les organisations peuvent s’assurer que, lorsqu’un incident cyber survient, elles peuvent détecter, déclarer et se rétablir dans les délais exigés par la loi.  

Ce guide propose des étapes pour y parvenir. Pour plus d’informations sur la législation elle-même, consultez notre article complet sur ce qu’est le Cyber Sécurité and Resilience Bill et sur la manière dont il impacte les entreprises. 

Points clés à retenir 

  • Le CSR Bill s’applique aux organisations exploitant des services essentiels ainsi qu’à un nouvel ensemble de fournisseurs d’infrastructures numériques — y compris les fournisseurs de services managés et les centres de données — dont beaucoup étaient entièrement en dehors du précédent cadre NIS. 
  • Le projet de loi définit des attentes générales en matière de gouvernance, de gestion des risques et de résilience opérationnelle. 
  • Les domaines prioritaires pour atteindre la conformité doivent inclure : des contrôles de sécurité alignés sur le CAF du NCSC, des déclarations d’incident déposées dans les 24 et 72 heures, une gestion active du risque de la chaîne d’approvisionnement, et la capacité de fournir aux régulateurs, à la demande, des preuves de gestion des risques. 
  • En pratique, les régulateurs examineront presque certainement les capacités de sauvegarde et de reprise. Des sauvegardes auxquelles un attaquant peut accéder, qu’il peut altérer ou supprimer, n’offrent pas une posture de reprise conforme. 
  • Absolute Immuabilité signifie zéro accès aux actions destructrices, de sorte que personne — pas même l’administrateur le plus privilégié ni un attaquant ayant totalement compromis l’environnement — ne peut modifier ou supprimer les données de sauvegarde. Cela satisfait, en pratique, des éléments clés des exigences de l’Objectif D du CAF. 
  • Object First fournit un stockage de sauvegarde sécurisé, simple et puissant, absolument immuable et conçu spécifiquement pour Veeam, garantissant l’alignement avec le CSR Bill. 

Qui doit se conformer au Cyber Sécurité and Resilience Bill ? 

Le projet de loi maintient tous les secteurs couverts par les NIS Regulations 2018 et ajoute plusieurs catégories auparavant hors du cadre : 

Opérateurs de services essentiels (maintenus depuis NIS 2018) 

  • Énergie : producteurs et distributeurs d’électricité, opérateurs pétroliers et gaziers, et opérateurs de réseaux énergétiques. Les fournisseurs de services publics relèvent de cette catégorie. 
  • Transport : opérateurs aériens, ferroviaires, routiers et maritimes dont les services sont critiques pour les infrastructures nationales. 
  • Santé : trusts du NHS, prestataires de santé privés et autres organisations de santé. La sécurisation des sauvegardes dans le secteur de la santé et de la restauration des données constitue un axe majeur compte tenu de l’exposition du secteur aux rançongiciels. 
  • Eau potable : opérateurs d’approvisionnement et de distribution d’eau. 
  • Infrastructure numérique : points d’échange Internet, fournisseurs de systèmes de noms de domaine (DNS), registres de noms de domaine de premier niveau, et plus largement les opérateurs d’infrastructures numériques. 
  • Fournisseurs de services numériques pertinents (RDSP) : places de marché en ligne, moteurs de recherche en ligne et services de cloud computing déjà régulés au titre de NIS 2018. Les grands éditeurs SaaS et fournisseurs de logiciels d’entreprise qui atteignent les seuils pertinents relèvent également de cette catégorie. 

D’autres secteurs qui relèvent en pratique des définitions OES et RDSP incluent les services financiers et les plateformes fintech (lorsqu’ils exploitent une infrastructure numérique critique), les opérateurs télécoms et les fournisseurs d’accès à Internet, les universités et organismes de recherche traitant des données sensibles, ainsi que les services publics exploitant des systèmes de réseau et d’information. 

Nouvelles catégories ajoutées par le CSR Bill 

  • Fournisseurs de services managés (MSP) : toute organisation fournissant, dans le cadre d’un contrat, une gestion IT continue, du support, de la maintenance ou de la supervision, lorsqu’elle se connecte au réseau d’un client ou y accède. Les MSP seront régulés par l’Information Commissioner’s Office (ICO). Les petites entreprises et micro-entreprises sont actuellement exemptées, mais les entreprises qui dépassent ces seuils entreront dans le périmètre. 
  • Centres de données : installations partagées ou multi-locataires d’une capacité égale ou supérieure à 1 MW, et installations d’entreprise mono-locataire d’une capacité égale ou supérieure à 10 MW. Ofcom et le DSIT agiront en tant que co-régulateurs. Les seuils visent à couvrir des installations suffisamment grandes pour que leur défaillance entraîne une perturbation économique ou opérationnelle significative. 
  • Contrôleurs de grandes charges : organisations qui gèrent à distance des charges électriques substantielles (300 MW ou plus) au sein du réseau électrique et peuvent donc influencer la stabilité du réseau. Ofgem est le régulateur compétent. 
  • Fournisseurs critiques désignés (DCS) : les régulateurs obtiennent le pouvoir d’intégrer directement des fournisseurs individuels dans le périmètre, qu’ils correspondent ou non aux catégories sectorielles ci-dessus. Critères de désignation : fournir des biens ou des services à une organisation régulée, lorsqu’une défaillance du fournisseur causerait une perturbation significative d’un service essentiel, lorsque l’activité du fournisseur dépend de systèmes de réseau et d’information, et lorsqu’aucune réglementation cyber équivalente ne s’applique déjà. Les petites entreprises ne sont pas automatiquement exemptées — une micro-entreprise occupant une position critique dans une chaîne d’approvisionnement peut tout de même être désignée. 

Le Secretary of State a également le droit d’étendre la population régulée via une législation secondaire, sans nécessiter une nouvelle législation primaire. 

Pour encore plus de détails, téléchargez notre guide complet du CSR Bill

Exigences clés du CSR Bill britannique pour les entreprises 

Le CSR Bill impose les quatre obligations fondamentales suivantes aux organisations concernées : 

  1. S’aligner sur le Cyber Assessment Framework du NCSC

    Le CAF est la norme technique au regard de laquelle les régulateurs entendent évaluer la conformité — en passant d’un cadre volontaire à une base juridique pour les organisations régulées. Le CAF est structuré autour de quatre objectifs — gérer le risque de sécurité, se protéger contre les cyberattaques, détecter les événements de cybersécurité et minimiser l’impact des incidents. Les organisations concernées sont censées démontrer des progrès sur les quatre.

  2. Déclarer les incidents dans les 24 et 72 heures 

    Un incident significatif doit être déclaré au régulateur compétent et au National Cyber Sécurité Centre dans les 24 heures suivant sa découverte. Un rapport écrit complet, incluant une évaluation d’impact, doit suivre dans les 72 heures. Les déclencheurs de déclaration sont plus larges que sous NIS 2018 — les rançongiciels sont désormais explicitement couverts, tout comme les activités de prépositionnement, lorsqu’un attaquant a obtenu un accès mais n’a pas encore causé de perturbation visible. Les MSP et les RDSP doivent également notifier les clients affectés dès que raisonnablement possible après le dépôt d’un rapport au régulateur. 

  3. Gérer le risque de la chaîne d’approvisionnement

    Les organisations OES et RDSP sont tenues d’identifier et de gérer activement les risques cyber posés par leurs fournisseurs. Cela inclut la cartographie des dépendances, le renforcement des protections contractuelles et la vérification que les données détenues ou gérées par des tiers respectent les mêmes standards de résilience que les données détenues en interne.

  4. Préparer des preuves de gestion continue des risques

    Les régulateurs disposent de pouvoirs élargis d’inspection et de collecte d’informations. Ils peuvent demander des preuves de la manière dont le risque est géré en continu, inspecter les locaux, examiner la documentation, tester les systèmes et interroger le personnel. 

Sanctions 

Le projet de loi remplace le régime de sanctions existant à trois niveaux par une structure plus simple à deux paliers, indexée sur le chiffre d’affaires. Les manquements graves — non-respect des obligations de sécurité ou absence de déclaration d’incident — entraînent une amende maximale de 17 millions de livres sterling ou 4 % du chiffre d’affaires mondial, selon le montant le plus élevé. Les infractions moins graves, telles que les défauts d’enregistrement, entraînent un maximum de 10 millions de livres sterling ou 2 % du chiffre d’affaires mondial. Des pénalités journalières pouvant atteindre 50 000 £ s’appliquent en cas de violations persistantes. Les régulateurs peuvent également prendre en compte des facteurs atténuants, notamment si l’organisation a entrepris de véritables démarches pour remédier à un manquement et son historique de conformité. 

 

Les contrôles de sauvegarde, de restauration et de reprise qui satisfont aux exigences du projet de loi 

La conformité à l’ensemble des objectifs du CAF sera importante, mais lorsqu’un incident réel déclenche une enquête, les régulateurs se concentreront à coup sûr sur la capacité de l’organisation à se rétablir réellement. Voici quelques points à garder à l’esprit : 

Qu’est-ce que l’Objectif D du CAF ? 

L’Objectif D du CAF, « Minimiser l’impact des incidents de cybersécurité », est la norme pertinente ici. Cet objectif examine la capacité d’une organisation à répondre aux incidents et à restaurer les fonctions essentielles. Il est structuré autour de deux principes :  

  • D1 : Planification de la réponse et de la reprise 
  • D2 : Retours d’expérience 

Satisfaire l’Objectif D exige plus qu’un plan de reprise documenté. Lors d’un audit à la suite d’un incident, des preuves de trois éléments seront attendues : des sauvegardes auxquelles un attaquant ne pouvait pas accéder ni qu’il pouvait altérer, la preuve que ces sauvegardes n’ont pas été corrompues, et des enregistrements de restauration testés montrant à quelle vitesse l’organisation peut remettre en service les systèmes critiques. 

Pourquoi les régulateurs se préoccupent-ils des sauvegardes ? 

Si les régulateurs s’intéressent aussi spécifiquement à l’intégrité des sauvegardes, c’est parce que les attaques modernes par rançongiciel ciblent de plus en plus directement les dépôts de sauvegarde, en corrompant les données, en supprimant des points de restauration ou en modifiant discrètement les paramètres de rétention. Une organisation dont les sauvegardes ont été compromises a, de fait, perdu sa capacité de reprise.  

L’accent mis par le projet de loi sur la capacité de reprise reflète directement cette menace. Selon la Clause 10 du projet actuel, les Relevant Managed Service Providers doivent « identifier et prendre des mesures appropriées et proportionnées pour gérer les risques pesant sur la sécurité des systèmes de réseau et d’information dont ils dépendent » — des mesures qui doivent « assurer un niveau de sécurité des systèmes de réseau et d’information adapté au risque encouru, et prévenir et minimiser l’impact des incidents. »  

Comment Absolute Immuabilité contribue à la conformité au CSR Bill

Immuabilité est le contrôle technique qui répond aux éléments évoqués ci-dessus. Lorsque les données de sauvegarde sont écrites sur stockage immuable, elles ne peuvent pas être modifiées ni supprimées pendant la période de rétention — que ce soit par un attaquant ayant obtenu un accès réseau ou par un administrateur agissant sous contrainte. 

Cependant, certains systèmes qui prétendent offrir des sauvegardes « immuables » comportent des exceptions et des failles cachées. Absolute Immuabilité signifie que même l’administrateur le plus privilégié ou un attaquant ayant accès au stockage de sauvegarde ne peut pas modifier ni supprimer les données. Cela ne peut être obtenu qu’avec un système de stockage de sauvegarde « secure-by-design », avec un accès zéro pour exécuter des actions destructrices, et cet accès zéro doit être vérifiable via des tests réalisés par des tiers. 

La restauration rapide compte autant que l’intégrité de ce qui est stocké. L’accent mis par le CSR Bill sur la résilience opérationnelle reconnaît que des interruptions prolongées des services essentiels ont des conséquences économiques et sociétales ; des données saines ne sont utiles que si elles peuvent être restaurées rapidement. 

Liste de contrôle de conformité au Cyber Sécurité and Resilience Bill 

Une conformité démontrable exige de suivre cinq étapes clés :  

  1. Confirmer si votre organisation est dans le périmètre 
  2. Identifier vos propres fournisseurs critiques 
  3. Surveiller les orientations réglementaires à venir 
  4. Revoir l’état de préparation à la réponse aux incidents 
  5. Valider que votre dispositif de gestion des risques et de reprise 

Pour un guide complet expliquant comment réaliser chacune de ces étapes, téléchargez notre liste de contrôle de conformité au CSR Bill

Comment Object First prend en charge la conformité au projet de loi CSR 

Quand — et non si — un rançongiciel frappe, votre avenir dépend de la cyberrésilience. Object First est votre défense ultime — un stockage de sauvegarde avec Absolute Immuabilité conçu spécifiquement pour Veeam qui répond directement aux contrôles de l’Objectif D que les régulateurs examinent le plus attentivement. Basé sur Zero Trust et testé et vérifié par des tiers, Object First ne requiert aucune expertise en sécurité et évolue avec votre entreprise. Quand le stockage de sauvegarde est à ce point sécurisé, simple et puissant, vous et votre organisation êtes Simply Resilient. 

 

Résumé 

Se conformer au projet de loi Cyber Sécurité and Resilience implique de satisfaire à quatre obligations : s’aligner sur le NCSC CAF, déclarer les incidents sous 24 et 72 heures, gérer le risque de la chaîne d’approvisionnement et démontrer aux régulateurs, à la demande, une résilience continue.  

Les organisations doivent confirmer dès maintenant leur statut au regard du périmètre, tout en restant vigilantes : le mécanisme de législation secondaire du projet de loi signifie que même celles qui ne relèvent pas des définitions actuelles peuvent se retrouver incluses à mesure que le cadre évolue.  

Parmi les obligations mentionnées, l’intégrité des sauvegardes et la vitesse de restauration sont celles que les régulateurs scrutent le plus après un incident réel. L’appliance de stockage de sauvegarde Object First, sécurisée, simple et puissante, garantit des sauvegardes résilientes et des performances de restauration rapides — répondant aux exigences de l’Objectif D et offrant une voie rapide et robuste vers la reprise en cas d’attaque par rançongiciel ou d’autre perte de données. 

FAQ 

Le projet de loi CSR est-il identique à NIS ? 

Non. Le projet de loi CSR met à jour et étend les NIS Regulations 2018 plutôt que de les remplacer entièrement. Les principales différences portent sur le périmètre, la notification, l’application et la flexibilité.  

  • Sur le périmètre : les MSP, les grands centres de données et les grands contrôleurs de charge sont ajoutés pour la première fois, et les régulateurs peuvent désigner directement des fournisseurs critiques individuels.  
  • Sur la notification : le délai de 24/72 heures remplace un régime plus souple, et l’éventail des incidents devant être déclarés est plus large — les rançongiciels et les activités de prépositionnement entrent désormais dans le périmètre, alors qu’ils n’auraient pas déclenché d’obligations au titre de NIS 2018.  
  • Sur l’application : l’ancienne structure de sanctions à trois niveaux cède la place à un modèle à deux tranches basé sur le chiffre d’affaires, supprimant les plafonds fixes qui offraient un effet dissuasif limité pour les grandes organisations.  
  • Sur la flexibilité : plutôt que d’intégrer des détails techniques dans la législation primaire, le projet de loi crée un cadre que la législation secondaire et les codes de pratique réglementaires viendront compléter au fil du temps. 

Quelles preuves un régulateur demandera-t-il après un incident cyber ? 

Un régulateur demandera probablement : 

  • La notification initiale sous 24 heures et le rapport complet sous 72 heures 
  • Un plan de réponse aux incidents documenté montrant les processus en place avant l’attaque 
  • Des preuves de l’intégrité des sauvegardes — en particulier, des enregistrements montrant que les données de sauvegarde étaient stockées sous une forme ne pouvant pas être modifiée ou supprimée 
  • Des enregistrements de tests de restauration démontrant que l’organisation avait vérifié à l’avance les délais et les procédures de reprise 
  • Une analyse post-incident traitant la cause racine et les enseignements appliqués.  

Lorsque le risque de la chaîne d’approvisionnement est un facteur contributif, la documentation des évaluations de sécurité des fournisseurs sera également pertinente. 

Le projet de loi CSR exigera-t-il des changements dans ma configuration de sauvegarde existante ? 

Cela dépend de ce que vous avez aujourd’hui. Les organisations disposant de solutions de sauvegarde qui stockent les données sous une forme pouvant être écrasée, supprimée par un utilisateur privilégié ou accessible via une porte dérobée d’administration devront probablement combler ces lacunes.  

Ajouter une appliance de stockage sauvegarde immuable comme Object First est le moyen le plus direct de supprimer cette exposition sans reconstruire l’ensemble de la pile de sauvegarde. Elle fonctionne comme une cible durcie pour les données de sauvegarde, tout en conservant les outils et les flux de travail existants.  

Guides connexes

Voir tout