# Le Royaume-Uni assouplit ses protections de cybersécurité pour les télécoms sous la pression de l'industrie La Grande-Bretagne aurait dilué des protections critiques de cybersécurité pour ses réseaux de télécommunications, des mesures initialement conçues en réponse directe à la campagne d'espionnage **Salt Typhoon**. Des documents examinés par Recorded Future News indiquent que ce recul est intervenu après que des entreprises de télécommunications ont fait pression contre les exigences proposées, invoquant des préoccupations de coût et de faisabilité. Bien que ni le gouvernement britannique ni l'industrie des télécommunications n'aient confirmé de compromissions au sein des réseaux britanniques par la campagne **Salt Typhoon** liée à la Chine, le **National Cyber Security Centre (NCSC)** a précédemment déclaré que des pirates chinois ciblaient « mondialement des organisations dans des secteurs critiques », avec « un cluster d'activité observé au Royaume-Uni ». ## Une tension plus large en matière de sécurité nationale Cette décision met en évidence une tension récurrente décrite par les responsables occidentaux de la sécurité et du renseignement : une industrie qui recherche l'aide du gouvernement contre les pirates soutenus par des États, mais qui résiste ensuite aux accès et aux obligations nécessaires pour une défense efficace. Un haut responsable d'un allié de l'OTAN a raconté un scénario où une grande entreprise de télécommunications a demandé de l'aide contre des pirates chinois présumés, pour ensuite refuser l'accès au réseau à l'agence d'assistance. Historiquement, il n'en était pas ainsi. **Ciaran Martin**, fondateur du **NCSC**, a noté que lorsque le cadre de sécurité des télécommunications a été développé pour la première fois, les dirigeants de l'industrie ont activement recherché la réglementation, la considérant comme un mandat légal pour justifier les investissements en sécurité auprès des actionnaires. ## La genèse des nouvelles mesures Les mesures de cybersécurité désormais assouplies ont été initialement proposées en août dernier par le **Department for Science, Innovation and Technology (DSIT)**. Elles faisaient partie d'une consultation pour un code de pratique mis à jour régissant la manière dont les fournisseurs de télécommunications doivent sécuriser leurs réseaux. L'initiative a été lancée en réponse aux attaques liées à des États contre les réseaux de télécommunications américains, qui ont été révélées après les incidents **Salt Typhoon**. Des entreprises telles que **BT**, **VMO2**, **VodafoneThree**, **Sky**, **Ericsson** et **Amazon Web Services** ont soumis leurs réponses à la consultation. **TechUK**, l'organisme professionnel de l'industrie, a coordonné une soumission collective. Bien que **TechUK** ait déclaré sa participation active au développement du Code, affirmant que le cadre était « approprié, proportionné et techniquement réalisable », aucune des entreprises n'a fourni de déclaration au moment de la publication. Lorsque le gouvernement a répondu à la consultation la semaine dernière, bon nombre de ses mesures les plus importantes ont été soit abandonnées, soit retardées. Ces reculs, non signalés auparavant, doivent entrer en vigueur à la mi-juillet, sauf opposition du Parlement. Le Code est émis en vertu du **Telecommunications (Security) Act 2021**, qui oblige les fournisseurs à mettre en œuvre des mesures de sécurité appropriées et proportionnées. Bien qu'il s'agisse de directives plutôt que de lois directes, **Rob Bratby**, associé gérant de **Bratby Law**, explique qu'il sert de « référence » critique. S'en écarter sans raison défendable, note-t-il, pourrait entraîner des amendes allant jusqu'à dix pour cent du chiffre d'affaires. ## Protections clés abandonnées ou retardées Plusieurs protections cruciales ont été soit abandonnées, soit repoussées : * **Systèmes indépendants de détection d'intrusion de signalisation :** Une exigence pour les fournisseurs de déployer un système distinct – idéalement d'un fournisseur différent – pour surveiller le trafic sortant afin de détecter les contrôles contournés a été abandonnée. Ces systèmes étaient conçus pour détecter les méthodes d'exfiltration de données caractéristiques de la campagne **Salt Typhoon**, qui a touché plus de 80 pays. * **Signalisation entrante non fiable :** L'obligation pour les entreprises de télécommunications de traiter la signalisation entrante comme non fiable par défaut a également été supprimée. Les attaquants exploitent fréquemment les protocoles de télécommunications qui supposent que les messages provenant d'autres réseaux sont dignes de confiance. * **Redémarrages mensuels des équipements réseau :** Une exigence de redémarrer les équipements réseau mensuellement, conçue pour effacer les malwares sophistiqués résidant uniquement en mémoire, a été jugée irréalisable par les fournisseurs. Les règles révisées ne recommandent désormais les redémarrages « que lorsque cela est possible ». * **Sécurité des comptes de service :** Les exigences relatives à la sécurisation des comptes de service – comptes automatisés en arrière-plan avec un accès étendu, identifiés par le gouvernement comme une « cible de choix pour la compromission » – ont été repoussées de fin 2028 à fin 2029. * **Cartographie des vulnérabilités et tests de défense :** Les mesures exigeant des fournisseurs de cartographier leurs vulnérabilités, de tester leurs défenses et de documenter la communication des systèmes avec le monde extérieur ont également été retardées de manière similaire. Le rapport de sécurité de l'**Ofcom** de décembre 2025 avait déjà indiqué que certains des plus grands fournisseurs britanniques étaient susceptibles de manquer les délais existants pour les mesures de gestion des identités et des accès, un domaine qui comprend la sécurité des comptes de service. **Rob Bratby** s'est dit préoccupé par le retard concernant les comptes de service, déclarant qu'il est difficile de concilier cela avec la propre évaluation de la menace du gouvernement. « Les comptes de service sont précisément là où un attaquant capable veut être... et le gouvernement le dit dans sa réponse. » ## Un calcul de proportionnalité unilatéral En réponse à Recorded Future News, un porte-parole du **DSIT** a déclaré : « Le Royaume-Uni possède déjà l'un des cadres de sécurité des télécommunications les plus solides au monde... Nous avons travaillé en étroite collaboration avec le **NCSC** pour nous assurer que les commentaires de l'industrie sont pris en compte... ainsi que l'évolution de la menace de sécurité, et les coûts et les aspects pratiques de la mise en place de ces nouvelles mesures d'orientation. » Cependant, les évaluations de proportionnalité pour chaque recul ont systématiquement suivi un schéma : une mesure a été proposée, les fournisseurs ont objecté à son coût ou à sa faisabilité, et la mesure a ensuite été abandonnée, assouplie ou retardée. De manière cruciale, aucune des évaluations publiées n'a pris en compte le coût potentiel d'une intrusion réussie par un État hostile dans l'infrastructure de télécommunications britannique. Sept des plus grands fournisseurs britanniques ont soumis des estimations de coûts confidentielles dans une enquête supplémentaire, qui n'ont pas été publiées. **Rob Bratby** a soutenu que la norme légale du gouvernement exige une comptabilité plus complète. « Un exercice de proportionnalité qui ne compte que ce que coûte la conformité à l'industrie, et non ce qu'un incident coûterait au pays, est incomplet en soi. » **Ciaran Martin**, désormais professeur à l'**Université d'Oxford Blavatnik School of Government**, a fait écho à ces préoccupations : « Vous êtes censé évaluer ces mesures par rapport au coût des dommages probables à la sécurité nationale. Contre quoi d'autre mesurez-vous ? » Bien que le gouvernement ait déjà publié de telles évaluations pour d'autres législations – estimant que les cyberattaques coûtent à l'économie britannique 14,7 milliards de livres sterling (19,7 milliards de dollars) par an pour soutenir le **Cyber Security and Resilience Bill** – aucune analyse équivalente n'a été produite pour le secteur des télécommunications. **Ollie Whitehouse**, directeur de la technologie du **NCSC**, avait précédemment identifié cela comme un problème systémique dans un article de blog de juin 2025. Il a soutenu que les décisions d'investissement en cybersécurité sous-estiment souvent les coûts en aval, car ces coûts sont supportés par les clients et le public, et non par les entreprises qui réalisent l'investissement initial. « Le coût de la sous-estimation en cybersécurité est finalement supporté non pas par les fournisseurs, mais en aval par les clients, les assureurs, le gouvernement et la société en général », a-t-il écrit. Bien que certains reculs puissent être expliqués comme le résultat normal du processus de consultation, l'industrie démontrant des méthodes de conformité alternatives, l'ampleur des changements et l'absence d'une analyse coûts-avantages complète soulèvent des préoccupations importantes quant à la préparation du Royaume-Uni face aux cybermenaces sophistiquées soutenues par des États.