Retour

Règle de déclaration des incidents cybernétiques pour les infrastructures critiques reportée à 2026

Bureau de lite News 2 min de lecture

En un coup d'œil

  • La règle proposée par la CISA exigerait des rapports d'incidents cybernétiques dans les 72 heures
  • Publication de la règle finale reportée à mai 2026
  • La règle devrait couvrir plus de 300 000 entités d'infrastructure critique

L'Agence de cybersécurité et de sécurité des infrastructures (CISA) élabore de nouvelles réglementations pour le reporting des incidents cybernétiques et des paiements de rançon dans le cadre de la loi sur la déclaration des incidents cybernétiques pour les infrastructures critiques (CIRCIA), promulguée en mars 2022. Les règles proposées visent à renforcer le partage d'informations entre les secteurs d'infrastructure critique.

La CISA a publié un avis de proposition de réglementation (NPRM) le 4 avril 2024, décrivant les exigences pour certaines entités de signaler des incidents cybernétiques substantiels dans les 72 heures et des paiements de rançon dans les 24 heures. Le NPRM définit un incident cybernétique substantiel comme un incident impliquant une perte majeure de confidentialité, d'intégrité ou de disponibilité, des effets opérationnels graves, une perturbation des affaires ou un accès non autorisé par le biais de tiers ou de chaînes d'approvisionnement.

Selon le NPRM, les entités concernées devront soumettre des rapports d'incidents via un formulaire en ligne de la CISA. La règle exige que les organisations effectuent une analyse préliminaire dans les heures suivant un incident pour déterminer si un incident reportable a eu lieu, plutôt que d'attendre plusieurs jours.

Les entités doivent également fournir des rapports complémentaires dans les 24 heures lorsque de nouvelles informations substantielles deviennent disponibles, y compris des détails sur tout paiement de rançon effectué après le rapport initial d'incident. Ces exigences sont conçues pour garantir des mises à jour en temps opportun à mesure que les situations évoluent.

Ce que montrent les chiffres

  • La règle proposée couvre plus de 300 000 entités dans 16 secteurs
  • La CISA estime les coûts de mise en œuvre à 2,6 milliards de dollars sur 11 ans
  • Les pertes dues à la cybercriminalité aux États-Unis sont estimées à plus de 450 milliards de dollars en 2024

La CISA avait initialement prévu de finaliser la règle d'ici octobre 2025, mais la publication a été reportée à mai 2026. Ce retard repousse la date d'entrée en vigueur de la règle au-delà du nouveau calendrier de publication.

Des analyses juridiques ont confirmé l'extension, notant que la date limite a été déplacée de six mois par rapport au calendrier initial. Le retard affecte le moment où les entités concernées devront se conformer aux nouvelles obligations de déclaration.

Jusqu'à ce que la règle finale entre en vigueur, la CISA encourage les organisations à signaler volontairement les incidents cybernétiques. Cette approche vise à améliorer la sensibilisation à la situation et la préparation avant la conformité obligatoire.

Les exigences proposées s'appliqueraient aux organisations répondant aux normes de taille de l'Administration des petites entreprises dans 16 secteurs d'infrastructure critique désignés. Ces secteurs comprennent l'énergie, la santé, les services financiers et d'autres considérés comme vitaux pour la sécurité nationale et la sécurité publique.

* Cet article est basé sur des informations publiquement disponibles au moment de la rédaction.

Sources et pour aller plus loin

Note: Les sources sont en anglais, donc certains liens peuvent être en anglais | Cette section n'est pas fournie dans les flux.

Articles connexes

  1. De nouvelles amendes pour des entrées inexactes dans la base de données de mitigation des robocalls ont été finalisées, selon le régulateur. La recertification annuelle commence en 2026.

  2. Les États-Unis identifient 60 minéraux critiques pour l'énergie propre. L'Australie investit 1,2 milliard AUD pour renforcer ses réserves minérales, selon des rapports.

  3. En mai 2025, les ventes de poupées Labubu dans les magasins du Royaume-Uni ont été suspendues en raison d'incidents de sécurité, selon l'entreprise. Les ventes en ligne continuent sans affectation.

  4. Les infrastructures d'IA évoluent alors que des centres de données plus petits et distribués soutiennent l'entraînement des modèles, réduisant la latence et les coûts, selon des experts du secteur.

  5. Des cliniques en ligne gratuites pour les petites entreprises commenceront le 18 février 2026, selon l'annonce de l'université. Le financement est fourni par Google.

Plus sur Technologie

  1. Des essais récents soutiennent que les grands modèles de langage répondent aux critères de l'intelligence générale artificielle, GPT-4.5 réussissant les tests de Turing, selon Nature.

  2. Des chercheurs ont introduit une batterie quantique à mode bosonique partagé pour améliorer l'efficacité énergétique des ordinateurs quantiques, selon l'étude.

  3. Des drones FPV, des outils d'IA et une diffusion en cloud amélioreront l'expérience des spectateurs lors des Jeux Olympiques d'hiver de 2026, selon des rapports.

  4. SpaceX a reporté sa mission vers Mars prévue pour fin 2026, se concentrant sur des projets lunaires et une infrastructure d'IA, selon des déclarations de l'entreprise.

  5. Une lettre signée par près de 900 employés demande à l'entreprise de rompre ses liens avec les agences d'immigration, selon des rapports.