19/12
Orange, Free et de nombreux autres opérateurs se plaignent d’investir des milliards dans la cybersécurité pour rien
La GSMA alerte sur la bureaucratie européenne, estimant qu’elle détourne des ressources qu’elle pourrait mieux utiliser pour protéger les infrastructures.
Les opérateurs télécoms dépensent chaque année entre 15 et 19 milliards de dollars pour protéger leurs réseaux contre les cybermenaces, selon un nouveau rapport publié par la GSMA, l’organisation mondiale qui représente l’écosystème mobile et compte parmi ses membres de nombreux grands noms comme Orange, Free, Vodafone… Mais une part importante de ces investissements ne sert pas à renforcer la sécurité : elle se dissout dans un épais brouillard administratif alimenté par des réglementations contradictoires et inefficaces.
La GSMA tire ainsi la sonnette d’alarme: malgré des investissements massifs qui devraient doubler d’ici 2030, atteignant 40 à 42 milliards de dollars par an, les opérateurs se retrouvent piégés dans ce qu’elle décrit comme un « labyrinthe réglementaire » qui détourne des ressources essentielles. Dans un contexte où nos réseaux transportent communications, paiements mobiles et données sensibles, la complexification des menaces cyber impose pourtant une vigilance maximale. Mais l’empilement de normes nationales, européennes et sectorielles transforme la cybersécurité en une succession d’obligations administratives souvent redondantes, voire contradictoires.
Pour un opérateur présent dans plusieurs pays, ce patchwork réglementaire vire au casse-tête. Certains incidents doivent être signalés plusieurs fois, sous des formats différents, à des autorités qui ne communiquent pas entre elles. Exemple frappant rapporté par la GSMA : jusqu’à 80 % du temps des équipes opérationnelles de cybersécurité dans certains groupes est absorbé par les audits et la conformité. Autrement dit, la majorité des efforts vise à démontrer que les tâches sont effectuées… plutôt qu’à neutraliser les menaces réelles ou à répondre aux incidents. Une situation que l’organisation qualifie d’aberrante.
Cette bureaucratie, outre le gaspillage colossal qu’elle génère, présente un danger beaucoup plus insidieux. En mobilisant les experts sur des documents, des cases à cocher et des processus figés, elle détourne l’attention des attaques émergentes et augmente mécaniquement le niveau de risque. Les télécoms français, qui ont connu plusieurs incidents notables ces dix-huit derniers mois, en savent quelque chose.
Face à ce constat, la GSMA ne plaide pas pour moins de régulation, mais pour une meilleure régulation. Elle propose six principes fondamentaux pour réformer les politiques publiques en matière de cybersécurité. En tête de liste : l’harmonisation des règles autour de standards internationaux comme ISO ou NIST, afin d’éviter la fragmentation. L’organisation demande également plus de cohérence entre les textes, une approche centrée sur les résultats plutôt que sur les moyens, et une réelle collaboration entre les régulateurs et les opérateurs pour partager les informations sur les menaces.
Michaela Angonius, responsable de la politique à la GSMA, résume l’enjeu : « Les cadres de cybersécurité fonctionnent mieux lorsqu’ils sont harmonisés, fondés sur les risques et basés sur la confiance. Mal menée, la réglementation risque de mobiliser des ressources critiques non pas pour améliorer réellement la sécurité, mais uniquement pour satisfaire aux exigences de conformité. »