La Federal Communications Commission (FCC) des États-Unis a annoncé des mesures décisives pour obliger les opérateurs de télécommunications à sécuriser leurs réseaux, dans le but de renforcer les communications américaines contre de futures cyberattaques, y compris celles émanant d’acteurs parrainés par l’État en Chine. L’agence veillera à ce que les entreprises de télécommunications sécurisent leurs réseaux.
« La cybersécurité des infrastructures critiques de communication de notre pays est essentielle pour promouvoir la sécurité nationale, la sécurité publique et la sécurité économique », a déclaré Jessica Rosenworcel, présidente de la FCC, dans un communiqué aux médias. « À mesure que la technologie progresse, les capacités des adversaires évoluent également, ce qui signifie que les États-Unis doivent adapter et renforcer leurs défenses. Alors que les homologues de la Commission dans la communauté du renseignement déterminent la portée et l’impact de l’attaque Salt Typhoon, nous devons mettre en place un cadre moderne pour aider les entreprises à sécuriser leurs réseaux et à mieux prévenir et réagir aux cyberattaques à l’avenir.»
Rosenworcel a partagé avec ses collègues commissaires un projet de décision déclaratoire concluant que l’article 105 de la loi sur l’assistance aux communications pour l’application de la loi (CALEA) exige de manière positive que les opérateurs de télécommunications protègent leurs réseaux contre tout accès illégal ou interception de communications. Cette action s’accompagne d’une proposition qui obligerait les fournisseurs de services de communication à soumettre une certification annuelle à la FCC attestant qu’ils ont créé, mis à jour et mis en œuvre un plan de gestion des risques de cybersécurité, qui renforcerait les communications contre de futures cyberattaques.
Si elle est adoptée, la décision déclaratoire entrerait en vigueur immédiatement. En outre, le projet d’avis de projet de réglementation (NOPR) solliciterait des commentaires sur les exigences de gestion des risques de cybersécurité pour un large éventail de fournisseurs de communications. La proposition solliciterait également des commentaires sur des moyens supplémentaires de renforcer la posture de cybersécurité des systèmes et services de communication.
Comme prochaines étapes, la FCC a identifié que ces mesures proposées ont été mises à la disposition des cinq membres de la Commission. Ils peuvent choisir de les voter à tout moment. Si elle est adoptée, la décision déclaratoire entrerait en vigueur immédiatement. Le NOPR, s’il est adopté, ouvrirait aux commentaires du public le cadre de conformité en matière de cybersécurité, qui fait partie d’un effort plus large visant à sécuriser l’infrastructure de communication du pays.
« Le 4 décembre 2024, une agence de sécurité américaine de premier plan a confirmé des informations selon lesquelles des acteurs étrangers, parrainés par la République populaire de Chine, auraient infiltré au moins huit sociétés de communications américaines, compromettant des systèmes sensibles et exposant des vulnérabilités dans des infrastructures de télécommunications critiques », a déclaré la FCC. Fiche d’information détaillée. « Cela faisait partie d’une campagne d’espionnage massive qui a touché des dizaines de pays. »
Des reportages récents ont révélé que le réseau de T-Mobile faisait partie des systèmes compromis lors d’une importante opération de cyberespionnage chinoise. Cette opération visait plusieurs sociétés de télécommunications américaines et internationales, comme le confirment des sources proches du dossier.
Des rapports antérieurs suggéraient que Verizon Communications, AT&T et Lumen Technologies avaient également été victimes des piratages Salt Typhoon, exécutés par des pirates informatiques parrainés par l’État de la République populaire de Chine (RPC). Ces pirates ont spécifiquement ciblé les entreprises de télécommunications américaines, notamment les fournisseurs de services Internet, ce qui a suscité de vives inquiétudes quant aux implications pour les stratégies de réponse fédérales.
En réponse à la cyberattaque Salt Typhoon, une faille complexe attribuée à des acteurs étrangers parrainés par des États, la FCC met en œuvre des mesures décisives pour renforcer les réseaux de télécommunications américains. Ces actions visent à protéger les infrastructures de communication vitales, garantissant ainsi la sécurité nationale, la sécurité publique et la résilience économique à l’avenir.
Les réseaux de télécommunications sont essentiels à la défense, à la sécurité publique et aux systèmes économiques du pays. Tandis que les homologues de la Commission au sein de la communauté du renseignement déterminent la portée et l’impact de l’attaque Salt Typhoon, la FCC peut agir dès maintenant pour renforcer les mesures de protection en matière de cybersécurité et assurer la résilience contre les futures cyberattaques des adversaires. À mesure que la technologie évolue, les tactiques des cyber-adversaires évoluent également. L’attaque Salt Typhoon souligne la nécessité de mesures proactives pour garder une longueur d’avance sur les menaces émergentes.
L’agence a souligné qu’une cyberattaque dans le secteur des communications peut affecter d’autres secteurs, notamment la santé, l’industrie manufacturière, l’énergie et les transports. Garantir une infrastructure de communication sécurisée et fiable renforce la confiance dans la capacité du pays à protéger les systèmes critiques et contribue également à protéger les Américains ordinaires contre les cyberattaques.
Le mois dernier, la Commission a proposé des exigences en matière de plan de gestion des risques de cybersécurité pour les candidats et les titulaires de licence d’atterrissage de câbles sous-marins. En outre, la Commission avait précédemment proposé que les participants au système d’alerte d’urgence et aux alertes d’urgence sans fil maintiennent des plans de gestion des risques liés à la cybersécurité.
Plus tôt cette semaine, les agences mondiales de cybersécurité ont mis en garde contre des acteurs menaçants affiliés à la RPC qui ont compromis les réseaux des principaux fournisseurs de télécommunications mondiaux dans le cadre d’une importante campagne de cyberespionnage. Mardi, ces agences et leurs partenaires internationaux ont publié un guide commun décrivant les meilleures pratiques pour se défendre contre ces pirates informatiques liés à la RPC. Le mois dernier, la CISA et le FBI avaient déjà alerté le public sur cette campagne de piratage.
