UK cyber‑security bill makes data centres national security targets

• Le projet de loi soumettra les centres de données dépassant un seuil de capacité à de nouvelles obligations de signalement et de gestion des risques.
• Le non-respect pourrait entraîner de lourdes amendes et un contrôle plus strict de la part des régulateurs.

Que s'est-il passé: Le Royaume-Uni a soumis les grands centres de données à de nouvelles règles de cybersécurité

Le gouvernement britannique a dévoilé son projet de loi sur la cybersécurité et la résilience (Cyber Security and Resilience Bill), qui étendra la surveillance réglementaire aux centres de données, aux fournisseurs de services gérés et aux chaînes d'approvisionnement clés. Selon les propositions détaillées, les centres de données d'une capacité de 1 MW ou plus — ou de 10 MW ou plus dans le cas des sites réservés aux entreprises — seront soumis aux nouvelles règles. Ces installations devront notifier aux régulateurs leurs opérations, mettre en œuvre des mesures de gestion des risques « appropriées et proportionnées » et signaler les incidents de cybersécurité importants. La déclaration de politique du gouvernement envisage également un régime réglementaire plus cohérent, avec le Department for Science, Innovation and Technology (DSIT) et l'Ofcom partageant la surveillance. Parallèlement, les entreprises seront tenues de signaler les incidents de cybersécurité au National Cyber Security Centre (NCSC) dans les 24 heures suivant la détection, et de fournir un rapport plus complet dans les 72 heures.

À lire aussi: Le Royaume-Uni accélère la planification et l'accès à l'électricité pour une nouvelle zone d'IA
À lire aussi: Les utilisateurs britanniques du haut débit sont invités à réclamer une compensation pour les pannes

Pourquoi c'est important

L'inclusion des centres de données dans cette législation reflète à quel point ces installations sont devenues centrales pour l'infrastructure nationale du Royaume-Uni. Le gouvernement fait valoir que les centres de données permettent tout, des services financiers à l'intelligence artificielle, et sont donc essentiels à la stabilité économique et à la sécurité nationale. En imposant des normes obligatoires de cyber-résilience et de signalement des incidents, le projet de loi vise à réduire le risque de perturbations cybernétiques majeures qui pourraient paralyser les services essentiels. De plus, cette décision signale un changement: les exploitants de centres de données sont désormais assimilés aux infrastructures critiques traditionnelles comme les services publics, ce qui élève les enjeux en matière de sécurité. Voir aussi: Registre des membres disparaissant de l'AfriNIC.

Cependant, les nouvelles règles pourraient s'avérer coûteuses ou difficiles sur le plan opérationnel pour les exploitants, compte tenu des charges de signalement et de la nécessité de mettre en place des systèmes de gestion des risques plus rigoureux. Pour le secteur dans son ensemble, cela pourrait accélérer les investissements dans la sécurité, mais aussi remodeler la manière dont les centres de données sont construits et gérés, poussant peut-être les entreprises à privilégier la résilience et la conformité autant que la capacité et l'efficacité. Voir aussi: AfriNIC: disparition du registre des membres.