La Federal Communications Commission (FCC) a voté jeudi par 2 voix contre 1 en faveur de la suppression des exigences en matière de cybersécurité pour les principales sociétés américaines de téléphonie et d’Internet. Cette décision, portée par la majorité républicaine de la FCC, annule les règles précédemment adoptées par l’administration Biden visant à sécuriser les réseaux de télécommunications contre les accès illégaux. Cette décision intervient dans un contexte d’inquiétudes persistantes concernant l’espionnage et la surveillance menés par des groupes de piratage soutenus par la Chine.
Les règles renversées et les hacks récents
Les réglementations supprimées exigeaient que les opérateurs de télécommunications prennent des mesures concrètes pour protéger leurs réseaux contre l’interception non autorisée des communications. Cette action fait suite aux révélations d’une campagne de piratage informatique qui a duré plusieurs années, surnommée « Salt Typhoon », qui a compromis plus de 200 entreprises de télécommunications américaines, dont des géants de l’industrie comme AT&T, Verizon et Lumen. Les pirates se sont concentrés sur la surveillance à grande échelle des responsables américains et, dans certains cas, ont ciblé les systèmes d’écoute électronique utilisés par les forces de l’ordre.
Le moment choisi pour prendre cette décision est crucial car il affaiblit les défenses alors que les menaces restent actives. Le recul de la FCC suggère de donner la priorité à la flexibilité de l’industrie plutôt qu’aux garanties de sécurité nationale. Les règles précédentes étaient conçues pour garantir un niveau de protection de base, en particulier à la lumière de l’escalade des cybermenaces émanant d’acteurs parrainés par l’État.
Réactions des législateurs et de l’industrie
La décision de la FCC a immédiatement suscité des critiques de la part des législateurs démocrates. Le sénateur Gary Peters, membre éminent de la commission sénatoriale de la sécurité intérieure, a exprimé sa consternation face au recul des « garanties de base en matière de cybersécurité ». Le sénateur Mark Warner, de la commission sénatoriale du renseignement, a fait valoir que ce changement laisse les États-Unis sans plan viable pour remédier aux failles de sécurité exploitées par des groupes comme Salt Typhoon.
Pendant ce temps, la NCTA, représentant l’industrie des télécommunications, a salué cette décision, qualifiant les règles originales de « prescriptives et contre-productives ». Cela met en évidence une tension fondamentale entre la surveillance réglementaire et la résistance de l’industrie aux coûts de mise en conformité.
Les limites de la coopération volontaire
La commissaire de la FCC, Anna Gomez, la seule démocrate du panel, était en désaccord avec le vote. Gomez a averti que s’appuyer sur une coopération volontaire avec les entreprises de télécommunications ne suffirait pas sans normes applicables.
« Des accords de poignée de main sans mordant n’arrêteront pas les pirates informatiques parrainés par l’État… Ils n’empêcheront pas la prochaine violation. »
Sa déclaration souligne la réalité selon laquelle les groupes de hackers soutenus par l’État opèrent avec une détermination persistante et que la cybersécurité nécessite plus que de la bonne volonté. Le manque de mise en application crée un environnement dans lequel les vulnérabilités restent non résolues, laissant les réseaux exposés.
La décision d’abroger ces règles soulève des questions sur les priorités de la FCC et son engagement à protéger les infrastructures critiques. En donnant la priorité aux préférences de l’industrie plutôt qu’à la sécurité nationale, l’agence a effectivement abaissé la barre en matière de normes de cybersécurité à une époque où les menaces exploitent activement les faiblesses des réseaux de télécommunications américains.
