Le 23 mars 2026, la Federal Communications Commission (FCC) a publié une note qui fera date. En mettant à jour sa Covered List pour y inclure tous les routeurs grand public fabriqués dans des pays étrangers, l’autorité américaine franchit un seuil stratégique. Certes, la question de la sécurité des équipements réseau n’est pas nouvelle. Cependant, jamais une administration n’avait assumé aussi clairement son rôle de régulateur souverain en décidant quels équipements peuvent — ou ne peuvent plus — entrer sur son marché pour des raisons de sécurité nationale.
Cette décision s’appuie sur les évaluations des agences américaines de sécurité nationale, qui considèrent que ces routeurs présentent un risque « inacceptable » pour les infrastructures critiques et les citoyens. Et pourtant, pendant longtemps, ces équipements ont été perçus comme de simples objets du quotidien, relégués au rang de commodités techniques. Néanmoins, leur rôle réel est autrement plus stratégique.
Le routeur est en effet un organe vital du réseau : tout le trafic Internet, entrant comme sortant, transite par lui. Il relie des environnements multiples — réseau local, Internet, réseau invité, parfois même réseaux OT/IT en entreprise — ce qui en fait un composant structurant de toute architecture numérique. Un routeur compromis permet de surveiller, modifier ou rediriger le trafic, ouvrant la voie à des attaques de l’homme du milieu, à l’espionnage ou au vol d’identifiants. Certes, les experts le répètent depuis des années, et de nombreux guides du NIST, de l’ANSSI ou d’autres agences nationales insistent sur le fait que les routeurs sont des gatekeepers, des gardiens de première ligne. Cependant, cette réalité n’avait jamais été traduite avec une telle force dans une décision réglementaire.
La FCC, en inscrivant ces équipements sur la Covered List, ne se contente pas d’émettre une recommandation technique. Elle affirme que la sécurité nationale passe désormais par une maîtrise stricte de la chaîne d’approvisionnement numérique. Et pourtant, cette décision n’a pas d’impact juridique direct pour les organisations situées hors des États‑Unis. Néanmoins, elle constitue un signal puissant, un marqueur de l’évolution des exigences internationales en matière de cybersécurité.
Pour les entreprises et institutions étrangères, cette annonce doit être intégrée dans les stratégies d’achat, les politiques de sécurité et la gestion des risques liés aux infrastructures réseau. Certes, rien n’oblige aujourd’hui un acteur européen ou asiatique à suivre la position américaine. Cependant, la dynamique est lancée : la souveraineté numérique devient un enjeu géopolitique majeur, et la confiance dans les équipements réseau ne peut plus être présumée, elle doit être démontrée.
En définitive, la décision de la FCC marque un moment historique. Elle consacre l’idée que les équipements réseau ne sont plus de simples produits technologiques, mais des actifs stratégiques dont la provenance, la conception et la gouvernance doivent être maîtrisées. Et pourtant, ce n’est probablement qu’un début. Néanmoins, il appartient dès aujourd’hui aux organisations de s’y préparer, car la souveraineté numérique se joue aussi — et peut‑être surtout — dans ces boîtiers discrets qui contrôlent nos flux numériques.
