• L’annulation de la décision de janvier 2025 fait suite à une campagne de piratage — connue sous le nom de « Salt Typhoon » — qui a compromis plusieurs grands opérateurs télécoms. 
  • La FCC affirme désormais qu’elle s’appuiera sur des mesures plus ciblées et flexibles plutôt que sur des règles de cybersécurité prescriptives — un changement qui, selon les experts en cybersécurité, risque de créer une protection inégale entre les réseaux. 

Ce qui s’est passé: la FCC vote 2-1 pour abroger la décision de 2025 sur la cybersécurité des télécommunications

Plus tôt ce mois-ci, la FCC a voté à 2 contre 1 pour annuler une décision déclaratoire rendue en janvier 2025 qui obligeait les opérateurs de télécommunications américains à protéger leurs réseaux contre les accès ou interceptions non autorisés. En vertu de cette règle, les opérateurs étaient légalement tenus de renforcer leurs défenses réseau — en réponse à une vague de cyberattaques attribuée à la campagne de piratage Salt Typhoon, qui avait compromis plusieurs grandes entreprises, dont Verizon et AT&T. 

L’abrogation a été menée par le président de la Federal Communications Commission (FCC), Brendan Carr, qui a soutenu que la décision antérieure « dépassait l’autorité de l’agence » et ne fournissait pas un cadre de cybersécurité suffisamment efficace ou adaptable. La justification publiée par la commission note que de nombreux opérateurs ont depuis pris des mesures pour durcir leur infrastructure de manière indépendante, incitant les régulateurs à remplacer l’exigence générale par des règles plus « ciblées » et « flexibles », par exemple en obligeant les exploitants de câbles sous-marins à mettre en œuvre des plans de gestion des risques de cybersécurité. 

Lire aussi: L’accord de Paramount avec Trump critiqué par un commissaire de la FCC
Lire aussi: Les commissaires de la FCC Simington et Starks démissionnent

Pourquoi c’est important

L’abrogation intervient à un moment précaire pour la sécurité des télécommunications. La campagne Salt Typhoon n’était pas une intrusion mineure — selon les critiques, elle a infiltré plus de 200 entreprises de télécommunications et d’Internet à travers les États-Unis, compromettant prétendument les registres d’appels, interceptant les systèmes d’interception légale et permettant des opérations de surveillance à grande échelle. En abandonnant les exigences de base générales, la FCC risque de laisser des lacunes dans la protection qui pourraient être exploitées par des pirates soutenus par des États ou des cybercriminels.

Les experts en cybersécurité ont exprimé leur inquiétude. Par exemple, la RSSI d’une grande entreprise de sécurité a fait valoir que les règles obligatoires avaient entraîné de réelles améliorations: déploiement d’architectures zéro confiance, meilleure segmentation du réseau et vérification plus rigoureuse de la chaîne d’approvisionnement. La suppression de ces exigences, a-t-elle averti, « crée un patchwork de défenses sur des réseaux interconnectés — garantissant que les adversaires exploiteront les maillons les plus faibles. »

D’un autre côté, les partisans de l’abrogation — y compris les grands opérateurs — soutiennent que les règles d’origine étaient trop prescriptives et coûteuses, que de nombreux fournisseurs ont déjà renforcé leurs défenses et qu’une réglementation plus flexible et basée sur les risques est préférable. 

Cette tournure des événements soulève des questions cruciales: si les protections de base ne sont plus obligatoires, comment la surveillance et l’application fonctionneront-elles en pratique ? Les opérateurs individuels maintiendront-ils volontairement une sécurité solide — ou la pression concurrentielle et les préoccupations de coûts mèneront-elles à une protection inégale sur les réseaux ? À une époque de sophistication croissante des cybermenaces, les conséquences potentielles pour la vie privée des consommateurs, la sécurité nationale et la confiance dans l’infrastructure de communication ne doivent pas être sous-estimées.