Les opérateurs télécoms dépassent chaque année entre 15 et 19 milliards de dollars par an en cybersécurité, selon la GSMA, l'organisation mondiale qui représente l'écosystème mobile. Elle déplore qu'une partie importante se perde en paperasse administrative.
Un nouveau rapport de la GSMA, rendu public ce jeudi révèle un dysfonctionnement majeur dans la réglementation cybersécurité des opérateurs mobiles. Malgré des investissements colossaux qui devraient doubler d'ici 2030, une part significative des budgets s'évapore, la faute aux réglementations jugées contradictoires. Car pendant qu'ils cochent des cases pour satisfaire les régulateurs, les vraies menaces, elles, progressent tranquillement.
Des milliards investis par les télécoms dans un labyrinthe réglementaire inefficace
Les opérateurs de téléphonie mobile investissent massivement dans la protection de leurs réseaux. Normal, quand on sait que ces infrastructures transportent nos conversations, nos paiements mobiles et nos données les plus sensibles. Mais l'ampleur des sommes en jeu (entre 15 et 19 milliards de dollars dépensés chaque année à l'échelle mondiale) interpelle.
Le pire, c'est que ce budget pourrait doubler d'ici 2030 pour atteindre 40 à 42 milliards de dollars par an. Une inflation vertigineuse, expliquée par la sophistication croissante des cyberattaques et la multiplication des menaces. Mais aussi, comme le révèle le rapport de la GSMA , par un phénomène plus pernicieux, à savoir l'empilement désordonné des réglementations.
Concrètement, un opérateur présent dans plusieurs pays doit composer avec un patchwork kafkaïen. Il y a les règles nationales qui se contredisent, les directives européennes interprétées différemment selon les États membres, et des obligations sectorielles qui s'empilent sans cohérence. Certains incidents de sécurité (et les télécoms français n'ont pas été épargnés depuis un an et demi sur le sujet) doivent être déclarés plusieurs fois, dans des formats différents, à des autorités distinctes qui ne se parlent même pas entre elles.
La conformité administrative dévore les équipes de sécurité
L'un des opérateurs interrogés dans le cadre de l'étude révèle que jusqu'à 80% du temps de son équipe opérationnelle de cybersécurité est consacré aux audits et à la conformité. Autrement dit, l'essentiel de l'énergie de ces spécialistes sert à prouver qu'ils font leur travail plutôt qu'à détecter les menaces ou répondre aux incidents.
La GSMA dénonce une aberration qui selon elle et les opérateurs découle de réglementations trop rigides, du type « case à cocher ».Certains pays imposent des technologies ou des processus précis, mais dans un domaine qui évolue à la vitesse de l'éclair, ces prescriptions deviennent vite obsolètes.
Dans enquête menée avec le cabinet Frontier Economics auprès de 14 opérateurs répartis sur tous les continents, on décèle un double danger. D'abord, un gaspillage colossal de ressources qui pourraient servir à renforcer vraiment la sécurité. Ensuite, un risque plus paradoxal, qui est de dire qu'en détournant l'attention des équipes des vraies menaces, la bureaucratie peut finalement augmenter l'exposition aux cyberattaques.
Les six piliers d'une réglementation cybersécurité intelligente selon la GSMA
La GSMA insiste pour dire qu'elle ne demande pas moins de régulation. Mais elle en réclame une meilleure. Son rapport propose six principes pour sortir de l'impasse, avec d'abord l'idée d'harmoniser les règles en s'alignant sur des standards internationaux reconnus comme ISO ou NIST, plutôt que de réinventer la roue dans chaque pays.
La deuxième piste consiste à assurer la cohérence entre les différentes réglementations pour éviter les doublons. Puis vient l'approche par les résultats plutôt que par les moyens, qui laisserait aux opérateurs la liberté d'innover dans leurs solutions de sécurité. La GSMA insiste aussi sur la collaboration, avec des plateformes de partage d'informations sur les menaces qui fonctionnent réellement.
Michaela Angonius, responsable de la politique à la GSMA, nous dit que « les cadres de cybersécurité fonctionnent mieux lorsqu'ils sont harmonisés, fondés sur les risques et basés sur la confiance. Mal menée, la réglementation risque de mobiliser des ressources critiques non pas pour améliorer réellement la sécurité, mais uniquement pour satisfaire aux exigences de conformité. » Au final, derrière cette bataille réglementaire, c'est bien la sécurité de nos réseaux mobiles qui est en jeu.
