Dire que les mesures annoncées par l'Union européenne pour sécuriser la 5G étaient attendues relève de l'euphémisme. Alors que les opérateurs télécoms - Orange en tête en France - lèvent petit à petit le voile sur leurs projets de couverture du territoire, la question de la sécurisation des échanges des données, mais également des matériels et composants utilisés pour le coeur de réseau de cette technologie, est sur toutes les lèvres. Après avoir d'abord pointé les risques de la 5G en cybersécurité en octobre dernier, l'Union européenne vient finalement de publier une salve de mesures - boite à outils dans le jargon de l'UE - pour permettre à ses membres d'atténuer les risques cyber. « Conformément au rapport coordonné d'évaluation des risques de l'UE, les mesures concernent la sécurité des parties prenantes de l'écosystème 5G, qui sont principalement des opérateurs de réseaux mobiles et leurs fournisseurs, en particulier les fabricants d'équipements de télécommunications, peut-on lire dans un rapport.
La batterie de mesures énoncées par l'Union se répartissent en deux catégories : stratégiques et techniques, complétées par des actions de support ciblées. Chacune de ses mesures est associée à un niveau de risque (très élevé, élevé, moyen et bas) adossé à des facteurs de mise en oeuvre positifs ou négatifs (coûts, impacts économiques sectoriels pour les opérateurs et fournisseurs, impacts économiques et sociétaux plus larges), et le temps requis de mise en place (court, moyen et long).
Vue simplifiée des mesures d'atténuation des risques cyber de la 5G. (crédit : Union Européenne)
Des mesures concrètes attendues avant le 30 avril 2020
Dans le détail, 8 mesures stratégiques d'atténuation des risques cyber de la 5G ont été identifiées : renforcer le rôle des autorités nationales, réaliser des audits sur les opérateurs, évaluer le profil de risque des fournisseurs et application de restrictions pour les fournisseurs considérés à haut risque, contrôler l'utilisation des MSP et des fournisseurs d'équipements, assurer la diversité des fournisseurs pour les opérateurs de réseau mobile, renforcer la résilience au niveau national, identifier les atouts clés, et favoriser un écosystème 5G diversifié et durable et maintenir/renforcer la diversité et les capacités de l'Union dans les futures technologies de réseau. Concernant les mesures d'atténuation au niveau stratégique, l'Union en a identifié 11 : assurer l'application des exigences sécurité de base en conception et architecture réseau, assurer et évaluer la mise en oeuvre des mesures de sécurité dans les standards 5G existants, assurer des contrôles d'accès stricts, augmenter la sécurité des fonctions réseau virtualisées, assurer la gestion, l'exploitation et la surveillance sécurisées du réseau 5G, renforcer la sécurité physique, améliorer l'intégrité des logiciels, mise à jour et gestion des correctifs, relever les normes de sécurité de sourcing fournisseur, utiliser la certification UE pour les composants 5G, équipement client, utiliser la certification de l'Union pour d'autres produits et services TIC dont les terminaux connectés et les services cloud et renforcer les plans de résilience et de continuité.
Au-delà de l'aspect « liste à la Prévert » des mesures annoncées par l'Union européenne, on peut toutefois s'interroger sur le manque de clarté et le caractère évasif de certaines d'entre elles, même si davantage de détails sont fournis dans l'annexe 1 du document.
Nokia et Ericsson choisis pour le coeur de réseau 5G
Une feuille de route a par ailleurs été précisée : les Etats membres sont ainsi invités à prendre d'ici au 30 avril 2020 « des mesures concrètes et quantifiables pour mettre en œuvre l’ensemble de mesures clés selon les recommandations figurant dans les conclusions associées à la boîte à outils de l’UE ». Puis à élaborer avant le 30 juin 2020 « un rapport du groupe de coopération SRI sur l’état d'avancement de la mise en œuvre, dans chaque État membre, de ces mesures clés, en se fondant sur les rapports et le suivi régulier assuré notamment au sein du groupe de coopération SRI, avec l’aide de la Commission et de l’ENISA. »
Cette annonce intervient au moment où, d'après Reuters, les 28 membres de l'Union se seraient mis d'accord pour privilégier des acteurs locaux, Nokia et Ericsson, pour les technologies coeur de réseau 5G, excluant de facto des acteurs comme Huawei, comme a pu l'indiquer ce mercredi matin en ouverture du FIC le directeur général de l'ANSSI, Guillaume Poupard. Ce qui ne signifie pas pour autant une disparition totale des équipements du fabricant chinois qui, par exemple en Angleterre, pourra les proposer pour des parties non sensibles du réseau tout en étant plafonné à hauteur de 35% du marché de la 5G. En Allemagne, cette perspective semble loin d'être d'actualité : d'après le Handelsblatt, le gouvernement allemand a des preuves de la connivence de Huawei avec les services de renseignement chinois.