Le 23 mars 2026, la FCC (Federal Communications Commission) américaine a ajouté à sa Covered List les routeurs grand public produits dans des pays étrangers. Concrètement, cela veut dire que les nouveaux modèles concernés ne peuvent plus obtenir d’autorisation de la FCC, donc ne peuvent plus entrer normalement sur le marché américain. En revanche, la mesure ne retire pas du marché les équipements déjà autorisés ni ceux déjà achetés.
Vu de loin, cette décision semble nous dire que le risque viendrait d’abord de l’origine du matériel. Mais vu de près, le texte de la FCC parle d’un risque d’intégrité de la chaîne d’approvisionnement et d’un danger pour la sécurité nationale. Il cible, en effet, les routeurs produits à l’étranger “quelle que soit la nationalité du producteur”. Washington ne règle donc pas un problème technique précis, mais esquisse une nouvelle doctrine de confiance fondée sur le lieu de production.
Une décision politique plus qu’une réponse opérationnelle
Et cette mesure bloque d’emblée de nouvelles autorisations, avec toutefois une possibilité d’exception si le Department of War ou le DHS accordent une “Conditional Approval”. Les industriels peuvent donc encore tenter d’obtenir un feu vert, à condition de démontrer qu’ils ne présentent pas de risque inacceptable et qu’ils s’inscrivent dans une logique de capacité de production jugée fiable pour les États-Unis.
Et là, le signal est double. D’un côté, les équipements réseau grand public sont désormais traités comme des objets stratégiques. De l’autre, la cybersécurité sert de levier de politique industrielle. Le document qui accompagne l’annonce insiste d’ailleurs sur la résilience de la supply chain et sur l’établissement d’une capacité de fabrication “de confiance” aux États-Unis.
La gouvernance des équipements réseau
Un routeur n’est pourtant pas dangereux parce qu’il est étranger. Il le devient surtout lorsqu’il échappe à l’inventaire, aux correctifs, à la supervision et aux contrôles d’accès. La CISA (Cybersecurity and Infrastructure Security Agency) rappelle régulièrement que ce type d’équipements sont des cibles privilégiées en raison de leur position centrale dans le réseau et de leurs liens avec les mécanismes d’administration et d’identité. Elle insiste aussi sur le risque que représentent les interfaces de gestion exposées sur Internet et sur la nécessité d’améliorer la visibilité sur les actifs.
Or, beaucoup d’organisations appliquent des exigences fortes aux postes de travail, aux identités ou au cloud, mais laissent encore une partie de l’infrastructure réseau sans protection. Un routeur mal maintenu, un pare-feu administrable à distance sans protection suffisante, ou des journaux techniques mal centralisés offrent des points d’ancrage parfaits à un attaquant.
Zero Trust ne s’arrête pas aux utilisateurs
Les routeurs et équipements réseau doivent donc être traités comme des actifs critiques d’une architecture Zero Trust. Le NIST (National Institute of Standards and Technology) rappelle que cette approche ne repose plus sur une confiance implicite liée à l’emplacement réseau, mais sur une vérification continue des utilisateurs, des actifs et des ressources. En clair, un équipement comme un routeur ne doit pas être présumé fiable parce qu’il est “dans le réseau” ou acheté auprès d’un fournisseur jugé acceptable.
La souveraineté d’achat peut peut-être réduire certains risques géopolitiques, mais elle ne remplace ni l’hygiène de sécurité, ni la gestion des accès privilégiés, ni la journalisation, ni la capacité à prouver qu’un équipement est correctement gouverné.
L’interdiction américaine a, au moins, le mérite d’ouvrir un vrai débat. Car qui, parmi nos entreprises, est réellement capable de démontrer que son infrastructure réseau est digne de confiance ?
