Routeurs étrangers interdits aux USA : et vos risques cyber ?

En mai 2024, la FCC — l'autorité américaine des télécommunications — a pris une décision radicale : interdire l'importation et la vente de nouveaux équipements réseau provenant de certains fabricants étrangers, notamment chinois. La raison invoquée ? Un risque trop élevé sur la chaîne d'approvisionnement, autrement dit la crainte que ces appareils soient conçus pour espionner ou perturber les réseaux qu'ils sont censés protéger. Cette décision peut sembler lointaine pour un dirigeant de PME à Lyon, Bordeaux ou Rennes. Elle ne l'est pas. Car le routeur qui connecte votre entreprise à Internet est peut-être, en ce moment même, un maillon faible que vous n'avez jamais vérifié.

Pourquoi la décision américaine nous concerne directement

Les États-Unis n'ont pas agi par excès de prudence. Depuis plusieurs années, des agences de sécurité américaines, européennes — et françaises avec l'ANSSI — documentent des intrusions dans des réseaux d'entreprises qui ont toutes un point commun : elles transitaient par des équipements réseau compromis dès la fabrication. Un routeur infecté avant même d'avoir été déballé, c'est une porte dérobée permanente dans votre système. Le risque cyber chaîne approvisionnement, c'est exactement ça : la menace ne vient pas d'un pirate qui attaque votre réseau de l'extérieur, mais d'un équipement livré directement dans vos locaux avec une faille intégrée. En France, les PME représentent la cible numéro un des cyberattaques selon le rapport annuel de l'ANSSI. Et la grande majorité d'entre elles utilisent des routeurs grand public ou des équipements achetés sans vérification d'origine ni mise à jour régulière. C'est précisément ce que les États-Unis ont décidé de ne plus tolérer sur leur territoire.

Le routeur : un équipement critique souvent négligé

Imaginez votre routeur comme la porte d'entrée de votre entreprise. Chaque donnée envoyée ou reçue — un email, une facture, une connexion à votre logiciel de gestion — passe par lui. Maintenant imaginez que cette porte ait été fabriquée avec une serrure défectueuse, ou pire, avec une copie de clé remise à un tiers à votre insu. C'est exactement le scénario que redoutent les autorités américaines avec certains équipements étrangers. Pour la sécurité réseau entreprise, le routeur n'est pas qu'un simple boîtier qui clignote dans un coin. C'est le premier rempart — et souvent le plus exposé. Or, dans beaucoup de PME françaises, ce boîtier n'a pas été mis à jour depuis l'installation, son mot de passe par défaut n'a jamais été changé, et personne ne sait exactement qui l'a configuré ni comment. La FCC a choisi d'agir au niveau des fabricants. Vous, en tant que dirigeant, vous pouvez agir au niveau de l'usage.

Ce que révèle cette décision sur les nouvelles règles du jeu cyber

La décision de la FCC envoie un signal clair : la cybersécurité ne se limite plus à installer un antivirus. Elle commence avant même que l'équipement soit branché. C'est ce qu'on appelle la sécurité par conception — s'assurer que les outils numériques qu'on utilise sont fiables depuis leur fabrication jusqu'à leur mise au rebut. En Europe, la directive NIS2 — qui s'applique progressivement aux entreprises françaises depuis 2024 — va exactement dans ce sens. Elle impose aux organisations de mieux contrôler leur chaîne d'approvisionnement numérique, y compris les équipements réseau. Pour le dirigeant de PME, cela se traduit par une question simple mais fondamentale : savez-vous d'où viennent vos équipements réseau, qui les a configurés, et quand ils ont été mis à jour pour la dernière fois ? Si la réponse est « non », vous partagez la même vulnérabilité que les réseaux que la FCC cherche à protéger.

Ce que vous pouvez faire dès maintenant

Pas besoin d'être ingénieur réseau pour agir. Voici cinq actions concrètes à engager cette semaine pour améliorer la sécurité routeur de votre PME :

1. Identifiez votre routeur. Notez la marque, le modèle et l'âge de votre équipement réseau principal. Si vous ne savez pas de quoi il s'agit, demandez à votre prestataire informatique — c'est une information que vous devez avoir.

2. Vérifiez les mises à jour du firmware. Le firmware, c'est le logiciel interne du routeur. Un firmware obsolète contient souvent des failles connues. Connectez-vous à l'interface d'administration de votre routeur (votre prestataire peut le faire pour vous) et vérifiez qu'il est à jour.

3. Changez les mots de passe par défaut. La majorité des routeurs sortent d'usine avec des identifiants génériques du type « admin / admin ». Si ce n'est pas déjà fait, changez-les immédiatement avec un mot de passe robuste.

4. Posez la question de l'origine à votre fournisseur. Lors de votre prochain renouvellement d'équipement, demandez explicitement quelle est la politique de sécurité du fabricant, si l'équipement bénéficie de mises à jour régulières, et s'il est certifié par des organismes reconnus.

5. Faites auditer votre réseau. Un prestataire cybersécurité peut réaliser un audit rapide de votre installation réseau. Cela prend quelques heures et peut révéler des failles critiques avant qu'un attaquant ne les exploite. C'est un investissement bien moins coûteux qu'une cyberattaque.