La Commission européenne affirme depuis des années que la 5G va jouer un rôle central pour la transformation numérique de l’économie et de la société de l’Union européenne, et prévoit 225 milliards d’euros de chiffre d’affaires mondial en 2025 lié à cette technologie*.
La cybersécurité des réseaux 5G est donc un enjeu primordial, et le Conseil de l’Europe adopta le 22 mars 2019 les recommandations de la Commission européenne à ce sujet.
Parmi ces recommandations, il a été demandé à chaque État membre d’évaluer les risques nationaux de leur infrastructure 5G. Ces évaluations furent rendues en juillet, puis synthétisées dans le rapport d’évaluation coordonnée publié en octobre 2019.
Alors que la sécurité de la 5G est améliorée par rapport à celle de la 4G, le rapport présente les défis qui attendent les réseaux 5G :
- Leur exposition aux attaques est accrue par la multiplication des points d’entrée et la dépendance toujours plus grande aux logiciels : on peut craindre par exemple l’insertion de portes dérobées par des acteurs malveillants dans les logiciels des fournisseurs qui ne disposent pas de processus de développement pour garantir la sécurité ;
- Les opérateurs mobiles sont de plus en plus dépendants de leurs fournisseurs, et même souvent d’un unique fournisseur, ce qui aggrave à la fois l’incidence potentielle des vulnérabilités de sécurité, d’une interruption d’approvisionnement ou d’une défaillance commerciale ;
- En plus de la menace sur la confidentialité et la vie privée, des menaces pèsent sur la disponibilité et l’intégrité des réseaux ;
- Certains équipements ou fonctions de réseau deviennent plus sensibles, notamment les stations de base et les fonctions clés de gestion technique des réseaux.
En octobre 2019, l’agence européenne pour la cybersécurité convenait de finaliser l’inventaire des menaces liées aux réseaux 5G, et le groupe de coopération SRI de développer une « boîte à outils » de mesures d’atténuation avant la fin de l’année.
C’est cette boîte à outils qu’approuve aujourd’hui la Commission européenne, qu’elle invite les États membres à mettre en œuvre d’ici au 30 avril 2020, puis à élaborer un rapport conjoint sur leur mise en œuvre d’ici au 30 juin 2020.
Sans surprise, certaines mesures, qui visent, sans la nommer, Huawei, ressemblent fortement aux mesures prises cette semaine par le Royaume-Uni. Les autres fournisseurs potentiels actuels d’infrastructure 5G étant Nokia, Ericsson et Samsung.
Sont mentionnés notamment « l’évaluation des profils de risque des fournisseurs » et « l’application des restrictions utiles aux fournisseurs considérés comme à haut risque, y compris de procéder aux exclusions nécessaires pour les actifs essentiels considérés comme critiques et sensibles (comme les fonctions de cœur de réseau ».
Rappelons que la Commission n’a qu’un rôle de meneuse, les États membres étant compétents pour décider de mesures de sécurité spécifiques.
Elle affirme qu’elle accompagnera la mise en œuvre d’une approche commune en matière de cybersécurité de la 5G, et qu’elle agira, à la demande des États membres, avec les outils dont elle dispose, tels que :
- Les réglementations sur les télécommunications et la cybersécurité ;
- La coordination en matière de normalisation et de certification à l’échelle de l’UE ;
- Le cadre de filtrage des investissements directs étrangers afin de protéger la chaîne d’approvisionnement de la 5G européenne ;
- Les instruments de défense commerciale ;
- Les règles de concurrence ;
- Les procédures de passation des marchés publics, en veillant à ce que les aspects liés à la sécurité soient dûment pris en compte ;
- Les programmes de financement de l’UE, en veillant à ce que les bénéficiaires respectent les exigences de sécurité applicables.
* On se souviendra toutefois des prévisions fantaisistes de l’Union européenne sur l’impact de « l’économie des applications mobiles » en Europe.