Royaume-Uni : Une hausse record d'incidents cybernétiques non divulgués affecte les services d'eau potable

En 2024, le Royaume-Uni a enregistré un nombre sans précédent d'incidents cybernétiques affectant ses infrastructures d'eau potable, avec au moins six incidents majeurs signalés entre janvier et octobre, contre un maximum de deux les années précédentes. Ces incidents, dont la nature exacte reste confidentielle, s'inscrivent dans le cadre des réglementations NIS (Network and Information Systems) qui imposent aux entreprises d'infrastructures critiques de signaler tout incident significatif au gouvernement sous peine d'une amende pouvant atteindre 17 millions de livres sterling.

Le Centre National de Cybersécurité britannique (NCSC) a confirmé une augmentation de 50% des incidents d'importance nationale par rapport à l'année précédente, les secteurs des transports et de l'eau potable étant les plus touchés. Cette situation préoccupante fait écho aux avertissements répétés des autorités américaines concernant la vulnérabilité du secteur de l'eau face aux cyberattaques, suggérant une tendance internationale inquiétante.

Face à ces défis, le gouvernement britannique prépare le Cyber Security and Resilience Bill, une nouvelle législation visant à moderniser le cadre réglementaire de 2018. Cette loi prévoit notamment d'introduire une obligation de transparence envers les clients lors d'incidents compromettant significativement l'intégrité des services numériques essentiels, et d'élargir la définition des incidents à signaler pour inclure ceux susceptibles d'impacter la continuité des services.

Le projet de loi propose également de réduire le délai de signalement des incidents de trois jours à 24 heures, reflétant l'urgence croissante de la réponse aux menaces cybernétiques. Les experts, dont Ciaran Martin, ancien directeur du NCSC, soulignent l'importance de trouver un équilibre entre la transparence nécessaire et la protection des informations sensibles pouvant être exploitées par des acteurs malveillants.

Cette évolution réglementaire répond à une lacune importante du système actuel, où de nombreuses cyberattaques échappent aux critères de déclaration actuels, basés uniquement sur l'impact direct sur les services essentiels plutôt que sur la profondeur de la compromission des réseaux. Cette approche renouvelée vise à améliorer la visibilité des autorités sur les menaces ciblant les infrastructures critiques et à renforcer la résilience globale du système.

Source : The Cyber Post