FCC rolls back cybersecurity rules for telcos, despite state-hacking risks

FCC Revient sur les Règles de Cybersécurité des Télécoms Américaines

La Commission Fédérale des Communications (FCC) a annulé une décision antérieure qui imposait des mesures de cybersécurité renforcées aux opérateurs de télécommunications américains. Cette décision intervient malgré les risques persistants de piratage par des acteurs étatiques, tels que le groupe Salt Typhoon, lié à la Chine.

Initialement, en janvier 2025, la FCC avait exigé des entreprises de télécommunications qu’elles créent et appliquent des plans de gestion des risques de cybersécurité, qu’elles soumettent des certifications annuelles de conformité, et qu’elles considèrent la cybersécurité du réseau comme une obligation légale. Ces mesures faisaient suite à des piratages massifs par Salt Typhoon qui avaient compromis plusieurs opérateurs, dont AT&T, Verizon, et T-Mobile, dans le but d’espionner des communications privées et d’accéder à des plateformes de surveillance gouvernementales.

Suite à des pressions de l’industrie des télécommunications, qui jugeait le cadre précédent trop lourd et coûteux, la FCC a déclaré la règle antérieure “inflexible” et l’a rétractée. L’agence, désormais sous une nouvelle direction, affirme que les fournisseurs de services ont déjà pris des mesures pour renforcer leur sécurité et qu’ils continueront à le faire de manière coordonnée.

Cette décision a suscité des critiques, notamment de la commissaire Anna M. Gomez, qui a voté contre la révocation. Elle a exprimé sa préoccupation quant à la dépendance de l’auto-évaluation des entreprises et a souligné que les tentatives d’infiltration par des acteurs étatiques persistent et que les réseaux de télécommunications demeurent des cibles de grande valeur. Des sénateurs ont également exprimé leur opposition à l’assouplissement des mesures de protection.

Points Clés:

• La FCC a annulé une décision qui imposait des exigences de cybersécurité aux opérateurs télécoms.
• La décision initiale avait été prise suite aux piratages du groupe Salt Typhoon, lié à la Chine.
• Les piratages auraient permis d’accéder à des systèmes de surveillance gouvernementale.
• L’industrie des télécommunications a fait pression pour l’annulation, invoquant le poids et le coût des mesures.
• La FCC justifie son annulation en jugeant la règle précédente inflexible et inefficace.
• Des critiques soulignent que les risques persistent et que la nouvelle approche repose sur l’auto-évaluation des entreprises.

Vulnérabilités (mentionnées implicitement par les attaques):

• Compromission de systèmes centraux de télécommunications.
• Accès à des plateformes de surveillance gouvernementales.
• Potentiel d’interception de communications sensibles, y compris celles de fonctionnaires gouvernementaux.
• (Pas de CVE spécifiques mentionnés dans l’article pour ces attaques.)

Recommandations (précédemment imposées et critiquées pour leur retrait):

• Mise en place et application de plans de gestion des risques de cybersécurité.
• Soumission de certifications annuelles à la FCC prouvant la mise en œuvre de ces plans.
• Considération de la cybersécurité du réseau comme une obligation légale.

Source