Le gouvernement du Royaume-Uni a décidé de mettre en place une amende pouvant aller jusqu’à 20 millions d’euros (17 millions de livres) pour les entreprises ayant une cybersécurité défaillante. Cette amende est prévue pour les sociétés exerçant dans une industrie jugée ‘critique’ comme les transports, la santé, l’énergie, ou les infrastructures numériques.

L’objectif du gouvernement est de pousser ses entreprises à se mettre en règle avec les recommandations du NIS, ou la directive Network and Information Security de la Commission Européenne. Cette directive va être transplantée dans la loi du Royaume-Uni et si l’amende est prévue d’être appliquée en dernier recours sa mise en place est préparée depuis le mois d’août 2017, et beaucoup de sociétés vont devoir montrer patte blanche.

En effet, en cas de hack, de nombreux éléments vont être examinés comme la coopération avec les autorités, les actions mises en place pour remédier à la situation, et si des règles ont été enfreintes. Les recommandations les plus importantes impliquent le fait d’avoir les bonnes personnes et la bonne organisation pour maîtriser des cyberattaques, mais aussi avoir les bons logiciels, avoir les bonnes compétences pour détecter les intrusions, ainsi que les bon systèmes pour réduire l’impact de ces attaques.

« Nous voulons que nos infrastructures et services essentiels soient préparés à contrer des cyberattaques et soient résilients face à des disruptions majeures, » a déclaré la ministre du Numérique, Margot James.

Une évaluation des entreprises publiques et privées va être effectuée, et c’est dans des cas de manquements graves que l’amende sera appliquée. De la même manière que l’on peut appliquer une amende à un restaurant pour son laxisme sur les règles d’hygiène.

Les scandales récents d’Equifax et d’Uber, pour ne citer qu’eux, poussent les gouvernements et les autorités plus importantes comme la CE à instaurer des réglementations pour protéger les consommateurs, mais aussi protéger les bons fonctionnements des services stratégiques. En effet, depuis plusieurs mois, des infrastructures aux États-Unis ainsi qu’au Royaume-Uni, mais aussi certainement en France font l’objet d’intrusions (certainement) malveillantes. Si aucune action directe n’est menée, on peut s’attendre à ce que du jour au lendemain, le système électrique d’un département ou d’une ville comme Londres soit coupé, ou que les infrastructures numériques des sociétés de transports comme des aéroports, les métros ou les bus, soient figées.

La menace est réelle, les mesures doivent être adaptées.