Ce que le projet de loi sur les télécommunications (sécurité) signifie pour l’industrie britannique
8 min read
Compte tenu du rythme rapide des développements dans le secteur de la technologie, ainsi que des menaces croissantes posées par la criminalité en ligne, une nouvelle législation sur les télécommunications est à l’horizon depuis un certain temps. Suivant le Examen de l’infrastructure future des télécommunications et le Examen de la chaîne d’approvisionnement des télécommunications au Royaume-Uni, le gouvernement a identifié trois domaines clés qui devaient être améliorés :
- Nouvelles exigences de sécurité.
- Gérer le risque de sécurité posé par les fournisseurs.
- Cadre législatif renforcé pour la sécurité dans les télécommunications.
En novembre 2020, le Projet de loi sur les télécommunications (sécurité) a été présenté à la Chambre des communes par le député Matt Warman, sous-secrétaire parlementaire à la Direction du numérique, de la culture, des médias et du sport (DCMS). Le projet de loi vise à donner au gouvernement de nouveaux pouvoirs pour renforcer les normes de sécurité des réseaux de télécommunications du Royaume-Uni et éliminer la menace posée par les fournisseurs identifiés par le gouvernement comme étant à haut risque. Ceci est réalisé par le projet de loi étendant les pouvoirs législatifs de l’actuel Loi de 2003 sur les communications.
Warman explique : « La prochaine étape est la consultation sur un code de pratique qui définira comment l’Ofcom et les fournisseurs travailleront ensemble pour répondre aux détails précis de ces responsabilités, afin que les choses soient proportionnées, raisonnables et respectent le bon équilibre entre consommateurs et entreprises, mais aussi clarté et prévisibilité pour les prestataires.
Le projet de loi se concentre sur les fournisseurs de réseaux et services de communications électroniques (PECN/PECS), c’est-à-dire toute entreprise impliquée en tout ou partie dans le secteur des télécommunications. Les objectifs du projet de loi peuvent être décomposés en quatre éléments clés :
- Fournir de nouvelles obligations de sécurité juridique pour PECN/PECS afin d’assurer une sécurité adéquate des réseaux.
- Élargir les tâches de l’Ofcom pour promouvoir la sécurité et la résilience au PECN/PECS.
- Donner le pouvoir délégué d’élaborer une législation secondaire, énonçant des sous-obligations et des exigences de sécurité détaillées afin de définir plus précisément les actions prioritaires à entreprendre par le PECN/PECS.
- Donner au secrétaire d’État du DCMS le pouvoir d’établir de nouveaux codes de pratique en matière de sécurité afin d’aider l’Ofcom et les PECN/PECS concernés à remplir ces nouvelles obligations supplémentaires.
Bien que tous les appareils connectés à Internet, des systèmes de vidéosurveillance aux compteurs intelligents, communiquent efficacement entre eux, le projet de loi sur les télécommunications (sécurité) ne couvre que les services de communication vocale et textuelle. “Ce projet de loi est très étroitement axé sur le réseau de télécommunications”, explique Warman.
Sécurité des appareils IoT
Cependant, la sécurité des appareils de l’Internet des objets (IoT) est également envisagée. « Dans le discours de la Reine, nous avons annoncé le projet de loi sur la sécurité des produits et l’infrastructure des télécommunications, dont une partie concerne la lutte contre les appareils intelligents », ajoute Warman. « Il est encore beaucoup trop facile d’acheter un appareil intelligent dont le mot de passe est « mot de passe », ou pire encore, vous ne pouvez pas du tout changer le mot de passe. »
Au cœur du projet de loi sur les télécommunications (sécurité) se trouve l’obligation pour PECN/PECS de prendre des mesures de sécurité pour protéger leurs réseaux et services. Ceci est couvert par l’article 105A, où il est dit : « Le fournisseur d’un réseau public de communications électroniques ou d’un service public de communications électroniques doit prendre les mesures appropriées et proportionnées aux fins de :
- Identifier les risques de compromission de sécurité.
- Réduire les risques de compromission de la sécurité.
- Se préparer à la survenance de compromis de sécurité.
Un « compromis de sécurité » peut être défini au sens large comme tout ce qui empiète sur les performances et la fonctionnalité d’un réseau de télécommunications. La définition complète, qui comprend sept définitions distinctes d’un compromis de sécurité, est donnée au paragraphe 2 de l’article 105A. Bien que cela puisse sembler interminable, le projet de loi tente d’englober toutes les formes de vulnérabilités, se préparant ainsi à l’avenir.
« Cela représente un changement important dans la façon dont le gouvernement supervise la sécurité, et avec le projet de loi NS&I, une position plus proactive est adoptée, ce qui pourrait changer la façon dont un fournisseur gère son réseau », a déclaré Andrew Kernahan, responsable des affaires publiques de ISPA. “Nous pensons que toutes les mesures qui vont au-delà des pratiques commerciales habituelles doivent être examinées avec soin, avec des garanties mises en place.”
De plus, PECN/PECS devra prendre certaines mesures en réponse à un compromis de sécurité. Le paragraphe 2 de l’article 105C stipule : « Le fournisseur du réseau ou du service doit prendre les mesures appropriées et proportionnées dans le but de prévenir les effets néfastes (sur le réseau ou le service ou autre) résultant de la compromission de la sécurité. »
Vulnérabilités de sécurité
Dans le cadre de leur réponse, PECN/PECS devra informer les deux Ofcom et leurs utilisateurs de toute faille de sécurité. Le paragraphe 2 de l’article 105J stipule : « Le fournisseur du réseau ou du service doit prendre des mesures raisonnables et proportionnées dans le but de porter les informations pertinentes, exprimées dans un langage clair et simple, à l’attention des personnes qui utilisent le réseau ou service et peut être affecté par le compromis de sécurité.
Ceci en plus d’informer le Commissariat à l’information (ICO) en cas de violation de données.
Bien que le projet de loi prenne des mesures pour intégrer toutes les formes de vulnérabilités en matière de sécurité, il prévient que la législation sur la sécurité n’est pas incluse. L’article 105A stipule : “Mais dans ce chapitre, le ‘compromis de sécurité’ n’inclut pas tout ce qui se produit à la suite d’une conduite requise ou autorisée par ou en vertu d’une loi mentionnée au paragraphe (4).”
Les textes mentionnés à la sous-section 4 sont les suivants :
Il s’agit de s’assurer qu’il n’y a pas de chevauchement législatif. Warman explique : « Garder cette segmentation est important, car cela permet aux forces de l’ordre de continuer à travailler avec les fournisseurs de télécommunications comme elles le font actuellement, et ne commence pas à déplacer les objectifs. Vous ne voudriez pas créer accidentellement un conflit de devoirs à travers trois législations différentes.
Suite à la décision du gouvernement de interdire Technologie Huawei de l’infrastructure de télécommunications britannique, l’article 105Z1 du projet de loi comprend des pouvoirs pour les directions des fournisseurs désignés. Cela permet au secrétaire d’État d’ordonner aux entreprises de restreindre ou d’interdire les achats auprès de certains fournisseurs dans l’intérêt de la sécurité nationale.
En plus de ces dispositions de sécurité, les organisations devront suivre des mesures de sécurité spécifiées (article 105B) et des codes de pratique (article 105E), qui peuvent être émis et retirés par le secrétaire d’État.
À la base de cela se trouve l’article 105Z25, qui donne au secrétaire d’État le pouvoir d’appliquer des mesures de sécurité supplémentaires à certaines informations. « Le projet de loi oblige les fournisseurs de communications, tels que les FAI, à ne pas divulguer le contenu des instructions ou des notifications des fournisseurs sans l’autorisation du secrétaire d’État », a déclaré Kernahan. « Cela signifierait que les FAI ne pourront pas discuter de la situation – et donc demander conseil – avec leurs pairs. »
Interrogé à ce sujet, Warman dit : « La seule raison pour laquelle ces clauses de non-divulgation sont potentiellement là, c’est parce que nous pensons que cela pourrait compromettre la sécurité nationale de rendre ce genre de choses publiques. »
Plus de pouvoirs pour Ofcom
Les articles du projet de loi seront appliqués par l’Ofcom, qui obtiendra ainsi plus de pouvoirs. Parmi ces pouvoirs, l’Ofcom est en mesure d’évaluer la conformité du PECN/PECS avec le projet de loi et d’infliger des sanctions financières en cas de non-conformité. Ces sanctions comprennent jusqu’à 100 000 £ par jour pour non-respect d’une obligation de sécurité et une pénalité maximale de 10 millions de £ pour non-respect d’un code de conduite.
Les coûts de mise en conformité avec le nouveau projet de loi restent à déterminer, en partie à cause de la pandémie de Covid-19. Il a été noté à la page 3 du évaluation de l’impact que les plus gros opérateurs “pourraient encourir des coûts potentiellement importants”. Les opérateurs de niveau 1 pourraient faire face à des coûts de familiarisation allant jusqu’à 200 000 £, tandis que les opérateurs non-niveau 1 pourraient faire face à des coûts de familiarisation allant jusqu’à 2 millions de livres sterling.
Warman ajoute : « Si vous regardez ce que fait ce projet de loi, ainsi que la stratégie de diversification, il vise un paysage des télécommunications plus diversifié, soutenu par un investissement initial de 250 millions de livres sterling. L’un des problèmes que nous avons dans le paysage des réseaux de télécommunications est cette dépendance vis-à-vis d’un petit nombre de fournisseurs. Nous sommes impatients d’utiliser l’ensemble de mesures que nous avons proposé pour promouvoir l’innovation dans un domaine qui n’en a pas, à certains égards, assez.
Le projet de loi sur les télécommunications (sécurité) est un signe des choses à venir. Les entreprises technologiques souhaitant continuer à opérer au Royaume-Uni doivent savoir que d’autres exigences de sécurité leur seront imposées à l’avenir.
« Le projet de loi s’attaque aux lacunes de la législation existante sur la sécurité des télécommunications, mais le projet de loi sur la sécurité des produits et l’infrastructure des télécommunications va ensuite dans d’autres domaines », a déclaré Warman. « Il existe une multitude de produits. Vous n’avez jamais eu à vous soucier de la sécurité de votre réfrigérateur, à part peut-être des animaux domestiques et des enfants. Alors que maintenant, nous devons absolument nous demander si les produits en vente dans ce pays qui sont connectés à Internet offrent ce niveau de sécurité minimum auquel tout le monde peut raisonnablement s’attendre.
Le projet de loi sur les télécommunications (sécurité) est finalement conçu pour renforcer l’infrastructure des télécommunications du Royaume-Uni, mais la responsabilité incombe aux fournisseurs de services de télécommunications. Bien qu’il soit bienvenu que le gouvernement légifère sur le besoin d’une plus grande sécurité, les éléments de coût et de non-divulgation peuvent encore être considérés comme des sujets de préoccupation.
