La disposition de la FCC visant à se débarrasser des équipements de réseau chinois pour des raisons de sécurité nationale

En tête des dispositions liées au cyberespace dans le projet de loi 2025 sur la défense

L'initiative de la Federal Communications Commission (FCC), communément appelée « Rip and Replace », a récemment pris une place centrale dans le débat sur la cybersécurité aux États-Unis. Intégrée au projet de loi de défense nationale pour l'année fiscale à venir, cette disposition vise à éliminer les équipements de télécommunications d'origine chinoise jugés menaçants pour la sécurité nationale, tout en renforçant la résilience des infrastructures technologiques américaines.

En 2022, la FCC a présenté de nouvelles règles qui interdisaient la vente et l'importation d'équipements de communication fabriqués par les entreprises chinoises Huawei et ZTE. La FCC a déclaré que l'utilisation de ces équipements par les entreprises américaines comportait des « risques inacceptables pour la sécurité nationale des États-Unis ». En outre, ces directives restreignaient l'utilisation de certains systèmes de vidéosurveillance fabriqués en Chine.

Le projet de loi annuel sur la politique de défense, signé par le président Joe Biden lundi, alloue 3 milliards de dollars pour aider les entreprises de télécommunications à retirer et à remplacer les équipements non sécurisés en réponse aux récentes incursions de pirates informatiques liés à la Chine.

La loi d'autorisation de la défense nationale pour l'exercice 2025 définit la politique du Pentagone et les priorités du budget militaire pour l'année, et comprend également des mesures non liées à la défense qui ont été ajoutées lorsque le Congrès a terminé ses travaux en décembre. Le projet de dépenses de 895 milliards de dollars a été adopté par le Sénat et la Chambre des représentants avec un large soutien bipartisan.

Les 3 milliards de dollars seraient consacrés à un programme de la Commission fédérale des communications, communément appelé « rip and replace », visant à se débarrasser des équipements de réseau chinois pour des raisons de sécurité nationale.

Ce programme a été créé en 2020 pour mettre au rebut les équipements fabriqués par le géant des télécommunications Huawei. L'investissement initial s'élevait à 1,9 milliard de dollars, soit environ 3 milliards de dollars de moins que ce que les experts estimaient nécessaire pour éliminer la vulnérabilité potentielle.

Les appels à réalimenter le fonds se sont multipliés récemment à la suite de deux campagnes de piratage menées par la Chine, baptisées Volt Typhoon et Salt Typhoon, au cours desquelles des pirates ont inséré des codes malveillants dans des infrastructures américaines et se sont introduits dans au moins huit entreprises de télécommunications.

Une Cyber Force américaine et la création d'un programme de hackathon du ministère de la défense

Le projet de loi comprend également une exigence atténuée pour le ministère de la Défense de faire appel à un tiers indépendant pour étudier la faisabilité de la création d'une force cybernétique américaine, ainsi qu'une « évaluation des modèles organisationnels alternatifs pour les forces cybernétiques » des branches de l'armée.

Le compromis final ne fixe aucune date limite pour la remise du rapport et supprime la quasi-totalité du texte approuvé en début d'année par la Chambre des représentants et le Sénat, qui prévoyait une étude axée sur la création d'un nouveau service militaire numérique.

La NDAA (loi sur la défense nationale) fera du Joint Force Headquarters-Department of Defense Information Networks (JFHQ-DODIN), responsable de la défense des réseaux du Pentagone dans le monde entier, un « commandement unifié subordonné » au U.S. Cyber Command. Cette mesure met l'organisation sur un pied d'égalité avec la Cyber National Mission Force, plus offensive, qui a été promue en 2022.

Les négociateurs de la loi ont rejeté une demande du ministère de la défense visant à supprimer cette proposition.

Le NDAA de cette année contient une disposition visant à créer un programme de hackathon du ministère de la défense, dans le cadre duquel des événements seraient organisés quatre fois par an.


Projet de loi sur le renseignement ajouté sans modification de la loi FISA

Comme c'est devenu une tradition ces dernières années, le projet de loi annuel sur le renseignement a été ajouté à la loi sur la défense nationale (NDAA).

Une disposition du Sénat visant à mettre un frein à une loi sur la surveillance adoptée en début d'année a été laissée sur le carreau.

La version sénatoriale de la loi aurait modifié la réautorisation de l'article 702 de la loi sur la surveillance du renseignement étranger (FISA) en renforçant la définition des « fournisseurs de services de communication électronique » (ECSP) qui peuvent être contraints de fournir des informations au gouvernement.

Le projet de loi de la Chambre des représentants n'incluait pas cette correction et la question n'a pas été résolue à huis clos en raison de la résistance des républicains de la Chambre des représentants, selon plusieurs sources du Congrès.

La mesure charge également le secrétaire d'État et le directeur du renseignement national de désigner les ransomwares qui menacent les infrastructures essentielles des États-Unis et répertorie plus d'une douzaine de groupes criminels notoires -...