Une nouvelle loi pour la cybersécurité à Hong Kong

Renforcer la cybersécurité à Hong Kong

Cette nouvelle loi devrait obliger les opérateurs à renforcer leurs systèmes informatiques et à signaler les incidents de cybersécurité, sous peine de sanctions pouvant atteindre 5 millions de HKD (640.000 USD). Cette loi, entrera en vigueur en 2026 d’après les déclarations de Chris Tang, Secrétaire de la sécurité à Hong Kong. "Il ne s'agit absolument pas de cibler les informations personnelles ou les secrets commerciaux", a-t-il ajouté.

La loi est nécessaire car toute perturbation ou sabotage des systèmes informatiques au cœur des infrastructures critiques constitue un risque pour la société et l'économie, a expliqué le représentant du Bureau de la sécurité au Conseil législatif. De tels incidents pourraient avoir "un effet domino affectant toute la société, compromettant gravement l’économie, les moyens de subsistance, et la sécurité publique et même la sécurité nationale", a précisé ce dernier.

Les secteurs concernés et oblogations

La loi couvre huit secteurs d’infrastructure allant de la banque et des services financiers aux technologies de l'information, en passant par l’énergie, les transports, la santé et les communications. Les autorités vont devoir identifier les opérateurs concernés mais ne révéleront pas leur identité pour éviter qu’ils ne deviennent des cibles potentielles. Le texte s’applique également aux grands sites sportifs et de spectacles ainsi qu’aux parcs de recherche et développement.

Il impose notamment une évaluation annuelle des risques en matière de sécurité, un audit de cybersécurité indépendant tous les deux ans ainsi qu’un délai de deux heures pour signaler les incidents graves. Le non-respect des obligations peut entraîner des amendes allant de 500.000 HKD à 5 millions HKD (64.000 à 640.000 USD), avec des pénalités journalières supplémentaires en cas de non-conformité persistante.
George Chen, co-président de la division numérique du cabinet de conseil The Asia Group à Washington, a averti que l’augmentation des coûts de conformité pour les centres de données pourrait décourager des investisseurs étrangers. Il a exprimé son inquiétude face à un potentiel excès de législation en faisant référence aux lois sur la sécurité nationale adoptées en 2020 et 2024, ajoute qu’il est important de maintenir un environnement réglementaire stable pour assurer les investissements étrangers à Hong Kong.

Une dynamique pour la cybersécurité 

Cette nouvelle loi s’inscrit dans une dynamique de légifération dans de nombreux pays avec l'augmentation des attaques en ligne et la prise de conscience de la sensibilité des données privées. En 2023, l’Union Européenne avait déjà initié une démarche de réforme par rapport à ce type d’infrastructure notamment les systèmes énergétiques, les réseaux de santé et les services de transport, après des attaques répétées. Cette réforme, nommée Network & Information Security 2 (NIS 2) a été mise en place afin de renforcer la résilience en matière de cybersécurité et harmoniser les réglementations au sein de l’UE et son délai d'implémentation a pris fin en octobre dernier.

Les Etats Unis sont également en plein processus de légifération concernant leur sécurité : en mai 2024, le gouvernement américain a annoncé que plusieurs mesures de stratégie nationale par rapport à la cybersécurité allaient être mises en place ou renforcées. Ces mesures contiennent par exemple des exercices de simulation de cyberattaques pour aider les opérateurs d’infrastructures critiques à se préparer aux menaces étatiques et criminelles. Ces nouvelles lois concernent également la sécurisation des nouveaux achats d’appareils connectés dans un objectif d’utilisation. Singapour a également mis en place de nouveaux textes législatifs l’année passée pour augmenter la sécurité autour des infrastructures telles que les feux de trafics, les systèmes de contrôles d’énergie.