Publié le 2025-10-14 01:07:00. Face à l’intensification des cyberattaques, le gouvernement britannique exhorte les dirigeants des plus grandes entreprises du pays à élever la cybersécurité au rang de responsabilité stratégique, en l’inscrivant au cœur des décisions du conseil d’administration.
- Prioriser le cyber-risque au sein des conseils d’administration, en s’appuyant sur un code de bonnes pratiques.
- S’inscrire gratuitement au service d’alerte précoce du Centre national de cybersécurité (NCSC).
- Imposer la certification Cyber Essentials aux fournisseurs afin de renforcer la chaîne d’approvisionnement.
Dans un contexte où les cybermenaces se font plus virulentes, fréquentes et sophistiquées, le Royaume-Uni fait face à des préjudices financiers et sociaux considérables pour ses entreprises et ses citoyens. Le gouvernement reconnaît l’ampleur de ces risques pour la sécurité économique et nationale, mais souligne que la lutte contre ces agressions ne peut être menée à bien sans une mobilisation de l’ensemble du secteur privé. Une lettre adressée aux PDG et présidents des grandes entreprises britanniques lance un appel à l’action pour protéger individuellement les organisations et, par extension, l’économie nationale.
La cyber-résilience est désormais considérée comme un pilier essentiel de la croissance économique, favorisant un environnement propice à l’investissement et à l’innovation. Les récents incidents cybernétiques ayant perturbé de manière significative les opérations et la rentabilité des entreprises mettent en lumière la nécessité d’une préparation rigoureuse. Les organisations qui anticipent et s’entraînent à répondre aux scénarios les plus graves démontrent une capacité de rétablissement supérieure.
Pour renforcer cette protection, trois mesures concrètes sont proposées aux dirigeants d’entreprise :
1. Faire du cyber-risque une priorité du conseil d’administration
Une gouvernance solide des cyber-risques est la pierre angulaire de la résilience organisationnelle. Les administrateurs, qu’ils soient exécutifs ou non exécutifs, sont invités à intégrer cette dimension dans leurs décisions stratégiques. Le gouvernement met à disposition le Code de bonnes pratiques en matière de cybergouvernance, élaboré en collaboration avec les acteurs du secteur. Ce guide détaille les mesures fondamentales pour une gestion efficace des cyber-risques. Une formation gratuite est également proposée pour accompagner les membres des conseils dans leur rôle de surveillance. La planification et l’exercice des réponses à d’éventuels incidents majeurs sont également soulignés comme des composantes cruciales de cette gouvernance.
2. S’inscrire au service d’Alerte précoce du NCSC
Le Centre national de cybersécurité (NCSC) offre un service gratuit, baptisé Alerte précoce. Ce dispositif permet aux organisations d’être informées des cyberattaques potentielles visant leur réseau, offrant ainsi un laps de temps précieux pour réagir avant qu’un incident ne prenne de l’ampleur. Il est vivement conseillé aux entreprises et à leurs fournisseurs de souscrire à ce service.
3. Exiger Cyber Essentials dans la chaîne d’approvisionnement
Les attaques par la chaîne d’approvisionnement sont en hausse, alors que seulement 14 % des entreprises britanniques évaluent les cyber-risques associés à leurs fournisseurs directs. Le programme Cyber Essentials, soutenu par le gouvernement, certifie que les organisations disposent des protections essentielles contre les cyberattaques courantes. Cette norme de sécurité minimale est associée à une réduction significative des sinistres d’assurance cyber. Le gouvernement impose déjà cette certification à la majorité de ses fournisseurs. Il est demandé aux dirigeants des plus grandes entreprises de faire de même pour leurs propres chaînes d’approvisionnement et d’implémenter les contrôles techniques de Cyber Essentials en interne.
Le gouvernement travaille également sur un nouveau projet de loi, le Cyber Security and Resilience Bill, destiné à renforcer la protection des services essentiels et numériques. Parallèlement, le Cadre d’évaluation de la cybersécurité (CAF) du NCSC peut être utilisé pour améliorer la résilience des services critiques, même pour les entreprises non directement concernées par le nouveau projet de loi. Les trois actions préconisées constituent des étapes fondamentales, inspirées des leçons tirées d’attaques passées.
Plus de 90 % des conseils d’administration reconnaissent désormais la cybersécurité comme une priorité. L’heure est à la traduction de cette prise de conscience en actions concrètes pour consolider la résilience du pays. Des événements seront organisés dans les mois à venir pour renforcer ce partenariat entre le gouvernement et l’industrie et recueillir les retours du secteur.
Pour manifester leur engagement dans cette démarche collective, les dirigeants sont invités à confirmer la réception de cette lettre à [adresse e-mail] et à partager le contact principal chargé de cette question. La lettre est signée par plusieurs ministres ainsi que par les dirigeants du NCSC et de l’Agence nationale contre la criminalité.