Le paysage de la cybersécurité au Royaume-Uni : priorités stratégiques pour 2025

Alors que le Royaume-Uni approfondit sa transformation numérique et sa dépendance à l'égard des technologies connectées, la cybersécurité est devenue une priorité essentielle pour les secteurs public et privé. En 2024, des cyberincidents très médiatisés ont ciblé des secteurs aussi variés que les infrastructures de santé et d'énergie, ainsi que les services financiers, mettant en évidence la sophistication et la fréquence croissantes des cyberattaques.

Melissa Parsons

Un article de

Melissa Parsons
Rédactrice technique
Publié le
April 17, 2025
mis à jour le
temps
min
Paysage cyber britannique | C-Risk

En réponse, le gouvernement britannique a discuté d'une nouvelle législation visant à renforcer la cyberrésilience nationale. Ces initiatives incluent l'extension de la surveillance réglementaire, l'introduction d'exigences obligatoires en matière de signalement des incidents et la mise en place de réponses plus agiles aux menaces émergentes. Dans le même temps, les organisations de tous les secteurs doivent réévaluer leur gouvernance en matière de cybersécurité pour suivre le rythme d'un environnement de menaces de plus en plus complexe.

 

Le Centre national de cybersécurité (NCSC) aide les organisations à mettre en place des cyberdéfenses plus robustes. Sa certification Cyber Essentials est en train de devenir une norme fondamentale, d'autant plus que le gouvernement explore de nouvelles mesures pour protéger les infrastructures critiques et garantir une harmonisation intersectorielle avec les meilleures pratiques.

Cyberattaques majeures au Royaume-Uni (2024)

Attaque du rançongiciel Southern Water Black Basta — janvier 2024

En janvier 2024, Southern Water, un fournisseur de services publics britannique desservant 2,5 millions de clients, a été victime d'une attaque de rançongiciel attribuée au groupe Black Basta. Les attaquants ont exfiltré des données sensibles sur les clients et les employés avant de les divulguer en ligne. Southern Water a révélé dans son rapport financier que l'incident a entraîné des coûts d'environ 4,5 millions de livres sterling, y compris des experts externes en cybersécurité, des conseillers juridiques et la prise de contact avec toutes les victimes touchées. L'attaque souligne les conséquences financières et opérationnelles importantes que les rançongiciels peuvent avoir, en particulier pour les fournisseurs d'infrastructures critiques.

 

Violation des données de paie du ministère britannique de la Défense — mai 2024

En mai 2024, le ministère britannique de la Défense a révélé une importante violation de données affectant environ 270 000 membres actuels et anciens des forces armées. La faille provenait d'un système de paie tiers géré par SSCL, une filiale de l'entreprise technologique française Sopra Steria, qui est distincte du réseau central du ministère de la Défense. Les informations compromises comprenaient des noms, des coordonnées bancaires et, dans certains cas, des adresses. Bien que le gouvernement britannique n'ait pas officiellement attribué l'attaque, des sources ont indiqué une implication potentielle d'acteurs affiliés à l'État chinois. L'incident a incité à prendre des mesures immédiates pour sécuriser les systèmes concernés et a suscité des inquiétudes quant à la cybersécurité des prestataires de services externes traitant des données militaires sensibles. Et les responsables gouvernementaux craignaient que la SSCL n'ait tardé à réagir au piratage.

 

Attaque de rançongiciel du NHS contre Synnovis — juin 2024

Début juin 2024, un groupe cybercriminel russe Qilin a lancé une attaque de ransomware contre Synnovis, un fournisseur de services de diagnostic, de tests et de pathologie numérique pour le NHS et plusieurs grands hôpitaux de Londres. L'attaque a perturbé les systèmes informatiques, entraînant le report de plus de 10 000 rendez-vous ambulatoires et de 1 700 procédures électives, y compris des procédures critiques telles que les traitements contre le cancer et les greffes d'organes. Les systèmes informatiques des laboratoires de transfusion sanguine ont été gravement touchés, ce qui a entraîné une pénurie de produits sanguins de type O.

 

Au moins deux patients ont subi des dommages à long terme ou permanents à la suite de la cyberattaque, ainsi qu'au moins 11 cas de dommages modérés et 120 cas de dommages faibles. Dans leur rapport financier publié le 7 janvier 2025, Synnovis a estimé l'impact financier de l'attaque à 32,7 millions de livres sterling.

Cyberattaque de Transport for London — septembre 2024

Le 1er septembre 2024, Transport for London (TfL) a détecté une activité suspecte sur son réseau, provoquant la fermeture immédiate de plusieurs systèmes afin d'atténuer les menaces potentielles de rançongiciels. Alors que les services de transport, tels que les bus et le métro, restaient opérationnels, la cyberattaque a considérablement perturbé les plateformes destinées aux clients. Les clients n'ont pas pu accéder à leurs comptes pour les services de paiement, des applications tierces ont connu des pannes et le service Dial-a-Ride pour les passagers handicapés a été temporairement suspendu.

Financièrement, l'attaque a coûté à TfL plus de 30 millions de livres sterling à ce jour. L'organisation a déclaré avoir dépensé 5 millions de livres sterling pour la réponse aux incidents et l'amélioration de la cybersécurité. En outre, son excédent d'exploitation prévu pour l'exercice a été réduit de 61 millions de livres sterling à 23 millions de livres sterling, en grande partie en raison de l'impact de l'incident.

Depuis début 2025, TfL a rétabli les services les plus concernés, notamment les historiques de trajets en ligne et les applications de cartes photo Oyster. Cependant, les clients pourraient encore être confrontés à des retards dans l'obtention des remboursements et des mises à jour des données alors que TfL poursuit ses efforts de reprise.

 

Le cadre réglementaire de cybersécurité du Royaume-Uni

L'attention nationale accordée à la réglementation de la cybersécurité au Royaume-Uni a évolué ces dernières années, en raison des récents incidents de cybersécurité qui ont eu des répercussions négatives sur des secteurs critiques et d'un paysage de menaces croissant.

Environnement réglementaire actuel

Réglementation britannique sur les réseaux et les systèmes d'information (NIS)

La réglementation NIS, introduite en 2018 et mise à jour en 2022, établit des exigences en matière de cybersécurité pour les opérateurs de services essentiels (OES) et les fournisseurs de services numériques concernés (RDSP). Ces réglementations :

  • Exiger des organisations qu'elles mettent en œuvre des mesures de sécurité appropriées pour gérer les risques
  • Imposer des procédures de signalement des incidents pour les événements de cybersécurité importants
  • Mettre en place des autorités compétentes pour chaque secteur afin de superviser la conformité
  • Imposer de lourdes sanctions en cas de non-conformité, pouvant aller jusqu'à 17 millions de livres sterling pour les violations les plus graves

Les modifications de 2022 ont élargi le champ d'application pour inclure les fournisseurs de services gérés et ont rationalisé les exigences en matière de rapports, en tenant compte des leçons tirées des incidents majeurs survenus au cours des années intermédiaires.

Règlement général sur la protection des données du Royaume-Uni (UK GDPR)

À la suite du Brexit, le Royaume-Uni a intégré le RGPD de l'UE dans son droit national, créant ainsi le RGPD britannique parallèlement à la loi sur la protection des données de 2018.

Voici certains des principaux aspects de ces deux textes de loi :

  • Obligations pour les organisations de mettre en œuvre des « mesures techniques et organisationnelles appropriées » pour protéger les données personnelles
  • Exigences de notification des violations dans les 72 heures pour les incidents affectant les données personnelles
  • Amendes potentielles pouvant aller jusqu'à 17,5 millions de livres sterling, soit 4 % du chiffre d'affaires mondial annuel
  • Exigences explicites pour les responsables du traitement des données afin de garantir des mesures de sécurité adéquates

Le Bureau du commissaire à l'information (ICO) est l'organe chargé de faire appliquer cette législation. Les principales responsabilités de l'ICO sont les suivantes :

  • Surveillance et application de la conformité aux lois sur la protection des données
  • Enquêter sur les violations de données et les plaintes émanant du public
  • Émission d'amendes et d'avis d'exécution si nécessaire
  • Fournir des conseils aux organisations sur les meilleures pratiques en matière de protection des données et de confidentialité

Par exemple, lors de la cyberattaque du TfL, au cours de laquelle des données personnelles ont été compromises, l'ICO enquêterait sur les manquements aux obligations en matière de protection des données et déciderait des mesures coercitives ou des sanctions.

Prenez le contrôle de vos risques liés à l'IA

Nos experts en gestion des risques s'appuient sur des normes et des cadres de pointe pour aider les organisations à définir, évaluer et gérer les risques liés à l'IA. Planifiez un appel avec notre équipe pour commencer.

Contactez-nous

Nouveaux développements réglementaires

Le projet de loi sur la cybersécurité et la résilience

Le projet de loi sur la cybersécurité et la résilience proposé par le gouvernement, qui devrait être promulguée en 2025, constitue une refonte importante du paysage réglementaire de la cybersécurité au Royaume-Uni depuis 2022.

Les principales dispositions sont les suivantes :

  • Des exigences renforcées pour les fournisseurs d'infrastructures critiques, notamment des audits de sécurité réguliers et des tests d'intrusion
  • Principes de sécurité obligatoires dès la conception pour les appareils et systèmes connectés
  • Obligations étendues en matière de signalement des incidents avec des délais de notification plus courts
  • Des niveaux de sécurité minimaux intersectoriels pour garantir des normes de protection cohérentes
  • Nouveaux pouvoirs permettant aux régulateurs de mener des évaluations proactives plutôt que des enquêtes réactives

Le projet de loi vise à remédier à la fragmentation du paysage réglementaire actuel en établissant des exigences plus cohérentes dans tous les secteurs tout en tenant compte de considérations spécifiques à l'industrie.

Tendances et défis en matière de conformité

L'Enquête 2024 sur les atteintes à la cybersécurité note qu' « une proportion importante d'organisations, y compris des organisations plus importantes, ne sont toujours pas au courant des directives gouvernementales telles que 10 étapes vers la cybersécurité, et approuvé par le gouvernement Norme Cyber Essentials. »

Ce manque de sensibilisation met en lumière un défi majeur pour les régulateurs : s'assurer que les exigences existantes sont communiquées et mises en œuvre de manière efficace avant d'introduire de nouvelles obligations. Le gouvernement a réagi en intensifiant ses efforts de sensibilisation par l'intermédiaire du Centre national de cybersécurité, y compris des conseils sectoriels et des ressources plus accessibles pour les petites organisations.

Alors que le paysage réglementaire continue d'évoluer, les organisations britanniques sont confrontées au double défi de répondre aux exigences de conformité actuelles tout en se préparant aux obligations plus strictes qui se profilent à l'horizon.

Priorités stratégiques pour les organisations britanniques

Face à des cybermenaces de plus en plus sophistiquées et à un paysage réglementaire complexe, les entreprises britanniques doivent adopter une gouvernance complète de la cybersécurité qui soit plus qu'un simple exercice de conformité. Les priorités stratégiques suivantes représentent des domaines d'intervention essentiels pour les organisations qui cherchent à améliorer leur cyberrésilience en 2025.

Perspectives en matière de gouvernance

Une cybersécurité efficace commence par de solides structures de gouvernance qui établissent clairement les responsabilités et la supervision :

Engagement au niveau du conseil

La cybersécurité est devenue une préoccupation au niveau des conseils d'administration, les administrateurs étant de plus en plus tenus responsables des défaillances de sécurité. Les organisations doivent veiller à ce que le conseil d'administration communique régulièrement des informations sur les risques cyber, y compris des mesures quantitatives qui traduisent les vulnérabilités techniques en impacts commerciaux.

Renforcement du rôle du CISO

Le poste de directeur de la sécurité informatique continue d'évoluer, les organisations prospères élevant ce rôle pour rendre compte directement au PDG ou au conseil d'administration plutôt que par l'intermédiaire de la direction informatique. Ce changement structurel reflète l'importance commerciale stratégique de la cybersécurité au-delà des opérations techniques.

Définition de l'appétit pour le risque

Les organisations doivent définir formellement leur appétit pour le risque de cybersécurité en termes financiers, en documentant les niveaux de risque acceptables pour les différentes fonctions commerciales et classifications de données.

Gestion des risques liés aux tiers

Comme l'ont démontré les violations commises par Southern Water et par le ministère de la Défense, les vulnérabilités de la chaîne d'approvisionnement représentent des risques importants. Les organisations doivent mettre en œuvre des processus complets d'évaluation de la sécurité des fournisseurs, une surveillance continue et des exigences de sécurité contractuelles.

Renforcer la résilience organisationnelle

La fréquence et l'impact des cyberattaques réussies rendent les capacités de résilience aussi importantes que les mesures préventives :

  • Planification de la continuité des activités
  • Capacités de réponse aux incidents
  • Préparations spécifiques aux rançongiciels
  • Cyberassurance

Mise en œuvre des recommandations du NCSC

10 étapes vers la cybersécurité

Le cadre en 10 étapes du NCSC propose une approche structurée de l'amélioration de la sécurité. Les 10 étapes visent à comprendre les risques organisationnels, à mettre en œuvre des mesures d'atténuation appropriées et à se préparer aux incidents :

  • Gestion des risques
  • Engagement et formation
  • Gestion d'actifs
  • Architecture et configuration
  • Gestion des vulnérabilités
  • Identification et gestion des accès
  • Sécurité des données
  • Enregistrement et surveillance
  • Gestion des incidents
  • Sécurité de la chaîne d'approvisionnement

L'essentiel de la cybersécurité

Le Cyber Essentials est un système de certification soutenu par le gouvernement britannique qui fournit une base de mesures de sécurité permettant de protéger les entreprises et les données de leurs clients contre les cyberattaques. Il existe deux niveaux de certification : Cyber Essentials et Cyber Essentials Plus. Le programme Cyber Essentials Plus combine une auto-évaluation et un audit indépendant ainsi que des tests plus rigoureux.

La certification Cyber Essentials devient de plus en plus une exigence pour les contrats gouvernementaux et est reconnue comme un point de départ fondamental pour les programmes de cybersécurité. Selon la documentation de Cyber Essentials, les organisations certifiées sont 92 % moins susceptibles de faire une réclamation au titre de leur cyberassurance.

Gestion quantitative des risques

Au-delà des approches axées sur la conformité, les principales organisations adoptent des méthodologies de gestion quantitative des risques plus sophistiquées. Le NCSC a fourni des conseils sur les raisons pour lesquelles l'adoption d'une approche quantitative et axée sur les données en matière de gestion des risques améliore la résilience et la sécurité.

Les raisons d'adopter la quantification des risques de cybersécurité selon le NCSC :

  • Une meilleure communication dans des termes qui intéressent les parties prenantes
  • Permettre l'analyse coûts-avantages et la comparation/priorisation des risques
  • Transparence accrue

En adoptant ces priorités stratégiques, les entreprises britanniques peuvent aller au-delà de la conformité aux cases à cocher pour développer une véritable cyberrésilience, la capacité à résister aux cyberincidents, à y répondre et à s'en remettre, tout en conservant les fonctions critiques et en protégeant les informations sensibles.

Passer de la conformité à la résilience

 

Comme l'ont démontré les incidents majeurs survenus chez Southern Water, le ministère de la Défense, le NHS et Transport for London, les cyberattaques entraînent des perturbations opérationnelles sans précédent, des pertes financières et, dans certains cas, des dommages personnels.

 

L'impact financier à lui seul est impressionnant : 32,7 millions de livres sterling pour Synnovis, plus de 30 millions de livres sterling pour Transport for London et 4,5 millions de livres sterling pour Southern Water. Ces chiffres soulignent que la cybersécurité n'est plus seulement une préoccupation informatique, mais un risque commercial fondamental qui nécessite l'attention du conseil d'administration et des investissements stratégiques.

La cybersécurité doit passer d'un exercice de conformité à une fonction commerciale stratégique qui permet aux organisations de comprendre, de communiquer et de gérer le risque numérique en termes commerciaux. En adoptant des approches de quantification des risques fondées sur les données, les organisations britanniques peuvent renforcer la résilience nécessaire pour prospérer.

C-Risk peut aider votre organisation à naviguer avec succès dans cet environnement difficile grâce à son expertise en matière de gestion des risques axée sur les données et de CRQ. Si vous souhaitez discuter de votre stratégie de cybersécurité ou de gestion des risques, planifiez un rendez-vous ici.

Priorités stratégiques du Royaume-Uni en matière de cybersécurité 2025

Qu'est-ce que le programme de certification Cyber Essentials du Royaume-Uni ?

Cyber Essentials est une certification de cybersécurité destinée aux organisations de toutes tailles. Cette certification renouvelable chaque année prouve que vous avez mis en œuvre cinq contrôles techniques essentiels pour vous protéger contre les menaces courantes liées à Internet. Les organisations britanniques dont le chiffre d'affaires est inférieur à 20 millions de livres sterling bénéficient d'une assurance responsabilité cyber automatique lors de la certification de l'ensemble de leur organisation. La certification d'entrée de gamme implique une auto-évaluation vérifiée par un évaluateur qualifié.

Quelle est l'importance de la réglementation britannique sur les réseaux et les systèmes d'information de 2018 ?

La réglementation NIS 2018 est la principale législation intersectorielle du Royaume-Uni en matière de cybersécurité, conçue pour protéger les infrastructures nationales critiques. Ils établissent des exigences de sécurité obligatoires pour les opérateurs de services essentiels dans cinq secteurs : les transports, l'énergie, l'eau potable, la santé et les infrastructures numériques, ainsi que pour certains fournisseurs de services numériques. Appliquées par douze autorités réglementaires, ces réglementations sont essentielles pour maintenir la résilience cyber et physique des services vitaux du Royaume-Uni, bien qu'elles nécessitent des mises à jour régulières pour faire face à l'évolution des menaces.

Comment le projet de loi sur la cybersécurité et la résilience proposé par le Royaume-Uni améliorera-t-il la cybersécurité et la résilience nationales ?

Le projet de loi sur la cybersécurité et la résilience proposé par le Royaume-Uni renforcera la cybersécurité nationale en élargissant la portée des réglementations existantes pour couvrir davantage de secteurs, notamment les chaînes d'approvisionnement critiques et les services numériques. Il donne aux régulateurs des pouvoirs accrus pour appliquer les normes, enquêter sur les menaces et exiger le signalement des incidents, en particulier pour les cyberattaques majeures telles que les rançongiciels. Le projet de loi met également l'accent sur l'amélioration de la résilience en imposant des pratiques plus strictes en matière de gestion des risques et de sécurité de la chaîne d'approvisionnement. Dans l'ensemble, il vise à mieux préparer le Royaume-Uni à faire face à l'évolution des cybermenaces.

Dans cet article
Utilisez la CRQ pour une meilleure prise de décision

Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.

En savoir plus

Articles associés

En savoir plus sur les cyber-risques, les attaques par ransomware, la conformité réglementaire et la cybersécurité.

Voir tous les articles
Protection des données de santé - C-Risk

Protection des données de santé : menaces et solutions en matière de cybersécurité

Comprenez pourquoi il est essentiel de mettre en place de solides stratégies de protection des données de santé.

Melissa Parsons

10/4/2024
normes et cadres de cybersécurité - C-Risk

Normes et cadres essentiels en matière de cybersécurité pour 2024

Explorez les principales normes et cadres de cybersécurité pour 2024, notamment la norme ISO 27001, le NIST CSF et les directives spécifiques à l'IA.

Melissa Parsons

11/7/2024

C-Risk est un expert reconnu dans la quantification des risques cyber selon la méthodologie FAIR™. Nous proposons des solutions de CRQ, des services de conseil et des formations à la quantification des risques.

Cas d'usage
RSSI - Risques Majeurs et Priorisation des ContrôlesCommuniquez avec le conseil d’administration et la directionDimensionnez, catégorisez et justifiez votre budget infosecÉvaluez les risques liés à l'IAOptimisez votre assurance cyber risquesFacilitez la conformité réglementaireGestion des risques cyber liés aux tiersFusion & Acquition
Nos services
Consulting & AdvisoryDDRM as a Service CRQ as a Service
Nos solutions
Plateforme CRQ SAFE OnePlateforme SAFE One Third party
Formations
Formation CRQFormation E-learning
Votre rôle
ComexCadres dirigeantsProfessionnels du risque
Ressources
BlogActualitésVidéosWebinaires
À propos
A propos de C-riskCarrièrePartenairesC-Risk dans la presse
Contact
Contactez-nous
Langue
C-Risk France
110 Esplanade du Général de Gaulle
92931 Paris La Défense
C-Risk USA
990 Biscayne Blvd
Office 701
Miami, Florida 33132
C-Risk UK
4/4a BloomsburySquare
London WC1A2RP
C-Risk Irlande
9 Exchange Place
Dublin 1 - D01 X8H2
C-Risk Allemagne
Bergheimer Strasse 147 EG
F-Section
69115 Heidelberg
Created by Sales Odyssey
Mentions légalesPolitique de confidentialité