Risques fournisseurs sous contrôle avec la nouvelle loi cybersécurité UK

Le nouveau projet de loi britannique sur la cybersécurité et la résilience cible le risque fournisseur

Les cyberattaques évoluent rapidement, plus vite que la plupart des systèmes existants ou des organismes de réglementation ne peuvent suivre. Au Royaume-Uni, le gouvernement fait enfin quelque chose d’utile dans ce domaine. Le nouveau projet de loi sur la cybersécurité et la résilience s’attaque directement à l’un des problèmes les plus négligés en matière de cybersécurité : le risque lié à la chaîne d’approvisionnement. Plus précisément, il définit des attentes réglementaires pour plus de 900 fournisseurs de services gérés qui soutiennent les systèmes des secteurs public et privé. Ces entreprises sont situées juste à l’extérieur du cœur de l’infrastructure critique, mais elles détiennent les clés de tout.

Il ne s’agit pas d’un formulaire de conformité que vous pouvez remplir et oublier. Vous êtes face à un paysage de menaces de plus en plus large où les attaquants ne passent pas par la porte d’entrée, ils trouvent l’équipe informatique tierce qui gère les mises à jour pour les hôpitaux ou le petit MSP qui héberge des services cloud pour les opérateurs de réseaux électriques. C’est ainsi que les systèmes sont compromis à grande échelle. Ce projet de loi indique que les régulateurs n’ignorent plus ce maillon faible et, honnêtement, il était plus que temps.

Il s’agit ici de clarifier les responsabilités. Si votre entreprise touche des services nationaux essentiels, directement ou par l’intermédiaire d’un contrat, on vous demande de faire un pas en avant. Les réglementations incluent désormais la transparence sur la manière dont vous gérez la détection des intrusions, la correction des vulnérabilités et le signalement des incidents. Si votre partenaire laisse tomber, c’est tout votre écosystème qui est exposé. Vous n’êtes pas obligé d’aimer les règles, mais vous pouvez certainement les ignorer à vos dépens.

Et soyons clairs, il ne s’agit pas seulement de cocher des cases. Tim Pfaelzer, SVP et GM chez Veeam (Europe, Moyen-Orient et Afrique), l’a bien compris lorsqu’il a déclaré que ce projet de loi est un appel à la collaboration, et pas seulement à la conformité. Les meilleures entreprises n’attendront pas qu’on leur dise comment agir. Elles prendront les devants. Elles examineront leurs propres dépendances vis-à-vis des fournisseurs, mettront en place des systèmes d’audit continu et partageront des données en temps réel sur les risques. C’est ainsi que les leaders du marché conservent leur avance, en faisant de la résilience leur paramètre par défaut, et non un élément du rapport trimestriel.

C’est la bonne direction à prendre. Introduisez des règles strictes et applicables. Tenez les fournisseurs pour responsables. Construire des écosystèmes qui ne sont pas fragiles de par leur conception. Nous n’envisageons pas les problèmes futurs, nous répondons aux menaces actuelles.

Le projet de loi renforce l’importance de la sécurisation des fournisseurs de tierce partie et de quatrième partie pour protéger les infrastructures vitales.

La plupart des entreprises sous-estiment à quel point elles sont exposées par l’intermédiaire de tiers. Vous pouvez protéger votre propre périmètre, les pare-feu, l’authentification, la conformité, mais la vraie question est : quel est le niveau de sécurité de vos fournisseurs et des leurs ?

Le projet de loi britannique sur la cybersécurité et la résilience impose cette question dans les réunions stratégiques. Elle n’est plus facultative. Si vos fournisseurs gèrent des systèmes informatiques pour les soins de santé, les services publics ou les transports, s’ils stockent des données sur les citoyens ou traitent les dossiers des clients, ils font désormais partie des infrastructures critiques. C’est important. Les acteurs de la menace ne perdent pas de temps avec les cibles difficiles. Ils se concentrent sur les fournisseurs non préparés, dont la détection est faible, les audits minimaux et les temps de réponse médiocres.

Mike Smith, partenaire – Sécurité chez TXP, a été très clair : la surface d’attaque du secteur s’est considérablement accrue parce que trop de fournisseurs ne parviennent pas à tenir la ligne. Les services d’assistance, les bureaux informatiques hors site, l’infrastructure basée sur Cloud, tout cela est vulnérable. Lorsque ces services secondaires tombent en panne, les dommages se répercutent sur les systèmes primaires. Si la défaillance entraîne une perte de données, des interruptions de service ou des violations de la vie privée, les contrats seront menacés. Ce n’est pas une hypothèse. C’est en train de se produire.

Le projet de loi ne se contente pas d’exiger des contrôles plus stricts des risques. Il attend des preuves mesurables. Les entreprises doivent montrer qu’elles effectuent régulièrement des tests de pénétration, qu’elles mènent des exercices d’équipe rouge et qu’elles mettent en œuvre des protocoles de signalement en temps réel. Ce niveau de préparation change la donne. Il pousse les chefs d’entreprise à aligner leurs décisions d’achat sur la posture de cybersécurité, et pas seulement sur le prix et la rapidité.

Pour les dirigeants, il s’agit également d’un défi opérationnel. Vous ne pouvez pas évoluer à l’aveuglette. Chaque nouveau contrat avec un fournisseur doit désormais être examiné sous l’angle de la cyber-résilience. Il ne s’agit pas seulement d’obtenir le contrat, mais d’être en mesure de le défendre. Les conseils d’administration devront commencer à considérer la sécurité des fournisseurs comme un atout stratégique, et non comme une note technique secondaire.

Ignorer aujourd’hui les risques liés aux tierces et aux quatrièmes parties, c’est s’exposer à des conséquences directes demain. Cette législation montre la direction que prend le Royaume-Uni, et si vous n’élevez pas ces normes dans votre écosystème, votre modèle d’entreprise risque de ne pas suivre.

Le projet de loi appelle à une transformation des pratiques de gestion de l’identité et de l’accès dans les systèmes d’infrastructures critiques.

Le contrôle d’accès est défaillant dans de nombreuses organisations. Elles s’appuient sur des systèmes obsolètes, des identifiants statiques, des VPN partagés, des clés SSH persistantes. Ces méthodes ne sont pas évolutives et ne sont pas conçues pour résister aux menaces actuelles. Le projet de loi britannique sur la cybersécurité et la résilience s’attaque de front à ce problème en poussant les entreprises à repenser la manière dont elles gèrent les identités et les accès, en particulier dans les environnements critiques.

Il ne s’agit pas seulement d’être prêt pour l’audit. Il s’agit d’éliminer les poids morts, les processus manuels, les lacunes en matière de sécurité, les informations d’identification qui n’expirent jamais. Le projet de loi encourage les entreprises à s’orienter vers un accès basé sur l’identité avec un approvisionnement juste à temps. Cette approche donne aux équipes ce dont elles ont besoin quand elles en ont besoin, ferme l’accès lorsque le travail est terminé et construit des barrières plus solides autour des systèmes sensibles.

Pour les équipes dirigeantes, c’est l’occasion de simplifier l’infrastructure et de renforcer la sécurité en même temps. Moins d’identifiants statiques signifie moins de fuites. Des audits plus propres signifient moins d’énergie perdue à gérer des patchworks de conformité. Il y a moins de place pour l’erreur humaine lorsque l’authentification est directement liée à l’accès basé sur les tâches et aux métadonnées d’identité immuables. Et avec l’intégration croissante de l’IA, disposer d’un plan de contrôle évolutif et précis pour savoir qui accède à quoi et quand n’est plus un luxe. Il s’agit d’un élément fondamental.

Ev Kontsevoy, PDG de Teleport, a clairement expliqué que le projet de loi n’est pas un simple exercice de conformité. Il s’agit d’un moteur pratique qui incite les entreprises à abandonner l’architecture héritée qui crée des risques et à passer à des flux de travail plus serrés, plus rapides et conçus pour obtenir des résultats réels en matière de sécurité. Les avantages ne sont pas seulement réglementaires, ils sont aussi opérationnels. Plus de rapidité, des journaux plus propres, une réduction de l’utilisation abusive des informations d’identification.

Si vous dirigez une entreprise qui s’appuie sur une infrastructure technique, vous êtes directement concerné. Les modèles basés sur l’identité rendent vos équipes plus rapides et votre empreinte plus défendable. En vous engageant dans cette voie, vous ne vous contenterez pas de satisfaire aux exigences du projet de loi, mais vous rendrez votre organisation plus résistante dans un environnement de menaces de plus en plus bruyant.

Principaux faits marquants

Renforcer la surveillance des fournisseurs de services gérés : Le projet de loi britannique sur la cybersécurité et la résilience impose de nouvelles exigences réglementaires à plus de 900 fournisseurs de services gérés, ce qui marque une évolution vers la responsabilisation des fournisseurs d’infrastructures indirectes. Les dirigeants doivent s’assurer que les fournisseurs respectent les normes cybernétiques nationales en constante évolution, faute de quoi ils risquent des retombées opérationnelles et contractuelles.
Évaluez et sécurisez l’ensemble de la chaîne d’approvisionnement : Alors que les régulateurs ciblent les vulnérabilités des tierces et des quatrièmes parties, les dirigeants doivent aller au-delà des vérifications superficielles. Les relations avec les fournisseurs doivent désormais inclure des audits proactifs, des critères de sécurité clairs et des rapports structurés afin d’éviter de devenir un point de défaillance unique.
Moderniser les systèmes de contrôle d’accès : Le projet de loi incite les entreprises à abandonner les anciennes cartes d’identité et à adopter des modèles d’accès basés sur l’identité et juste à temps. Les dirigeants devraient donner la priorité à ces mises à niveau afin de réduire les risques de violation, de diminuer les frais d’audit et de mettre en place une infrastructure qui s’adapte à la sécurité, et non qui la contrecarre.

Alexander Procter

décembre 31, 2025

9 Min

Leadership et management
Comment certaines équipes tirent vraiment parti de l’IA
Jan 5, 2026

13 min
Leadership et management
Créer de la valeur en unifiant MOps et CreativeOps
Jan 5, 2026

14 min
Leadership et management
Comprendre son stack martech sera la compétence clé de demain
Jan 5, 2026

15 min

Risques fournisseurs sous contrôle avec la nouvelle loi cybersécurité UK

Le nouveau projet de loi britannique sur la cybersécurité et la résilience cible le risque fournisseur

Le projet de loi renforce l’importance de la sécurisation des fournisseurs de tierce partie et de quatrième partie pour protéger les infrastructures vitales.

Le projet de loi appelle à une transformation des pratiques de gestion de l’identité et de l’accès dans les systèmes d’infrastructures critiques.

Principaux faits marquants

Comment certaines équipes tirent vraiment parti de l’IA

Créer de la valeur en unifiant MOps et CreativeOps

Comprendre son stack martech sera la compétence clé de demain

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Spark! Une étincelle d’innovation.

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps

Accélérez votre transformation digitale

Spark, une étincelle d’innovation !