Le régulateur financier britannique (FCA) introduit de nouvelles exigences destinées à harmoniser la manière dont les institutions financières déclarent les incidents cyber et évaluent leurs fournisseurs technologiques. Cette réforme intervient dans un contexte où plus de 40 % des incidents cyber signalés en 2025 impliquaient un prestataire externe, révélant une dépendance accrue des services financiers aux infrastructures cloud et aux chaînes d’approvisionnement numériques. Les récentes pannes survenues chez des acteurs essentiels comme AWS ou Cloudflare ont montré la rapidité avec laquelle un incident isolé peut se répercuter sur de multiples entreprises.

Les nouvelles règles prévoient un portail unique de déclaration partagé par la FCA, la Banque d’Angleterre et la Prudential Regulation Authority, remplaçant un système auparavant fragmenté. Les seuils de déclaration et les définitions des incidents ont été clarifiés afin d’améliorer la qualité et la rapidité des notifications. La plupart des entreprises pourront désormais déposer des rapports plus synthétiques. Le dispositif s’appliquera à partir de mars 2027, avec une période de préparation d’un an pour les entités concernées.

Cette évolution réglementaire reflète un glissement du risque cyber, qui se déplace des attaques directes vers les maillons faibles des chaînes de fournisseurs. Les entreprises britanniques sont de plus en plus exposées à ces vecteurs, alors que les cybercriminels utilisent l’IA pour identifier plus vite les vulnérabilités. IBM fait état d’une hausse de 44% des attaques exploitant des systèmes exposés à internet, souvent en raison de protections d’accès insuffisantes ou de failles logicielles non corrigées.

Le projet de Cyber Security and Resilience Bill, actuellement examiné au Parlement britannique, suit la même logique de renforcement en étendant la supervision aux data centers et aux fournisseurs critiques, et en imposant un délai de notification d’incident ramené à 24 heures.

Source : 18/03/2026, City AM