Cybersécurité 5G : l’Europe montre les dents

La Commission européenne a publié une communication largement médiatisée sur la cybersécurité des réseaux 5G.
En cause ? La protection des ces réseaux, vu comme des infrastructures critiques de l’UE, face à des risques jugés comme systémiques.
Bien que le rapport ne le nomme pas, c’est bien la Chine qui est visée. Même si l'UE ouvre la porte à une 5G chinoise, contrairement à ce que souhaitent les États-Unis, elle pose des règles drastiques.
Que contient exactement ce rapport qui érige la cybersécurité  de ces réseaux 5G comme une préoccupation éminemment européenne et qui appelle une réponse coordonnée ?

• A lire sur securiteinterieure.fr : La cybersécurité et la résilience des réseaux 5G restent plus que jamais une préoccupation pour l'UE (20e rapport sur la sécurité)

Quelle est la philosophie de l’action de l’UE ?

Le texte note que la dépendance de nombreux services critiques à l’égard des réseaux 5G rendrait les conséquences de perturbations systémiques et généralisées particulièrement graves.
En outre, les écosystèmes numériques étant interconnectés, les répercussions au-delà des frontières nationales pourraient être considérables.

Garantir la cybersécurité des réseaux 5G revêt donc une importance stratégique pour l’Union, à l’heure où le nombre de cyberattaques ne cesse de croître et alors que ces attaques, plus sophistiquées que jamais, émanent d’une grande variété d’acteurs malveillants, en particulier des acteurs étatiques ou soutenus par un État extérieurs à l’UE.
En ce qui concerne la sécurité des infrastructures critiques telles que les réseaux 5G, la démarche choisie consiste à définir, pour la première fois, une approche européenne commune.

Cette approche européenne visant à une approche commune de la cybersécurité des réseaux 5G dans l’UE sous la houlette du groupe de coopération SRI.
Créé par la directive du 6 juillet 2016 dite « SRI », ce groupe vise à assurer la coopération stratégique et l’échange d’informations entre les États membres de l’UE dans le domaine de la cybersécurité
Une telle approche se caractérise par :

• une évaluation coordonnée des risques au niveau de l’UE
• la création d’une « boîte à outil pour la cybersécurité 5G »

D’où vient-on ? Une évaluation coordonnée des risques

En 2016, la Commission a adopté le plan d’action pour la 5G en Europe, qui vise à faire en sorte que l’Union dispose des infrastructures de connectivité nécessaires à sa transformation numérique à partir de 2020, et que celles qui sont requises pour déployer la 5G dans les zones urbaines et le long des principaux axes de transport soient disponibles d’ici à 2025.

Dans ses conclusions du 22 mars 2019, le Conseil européen a appelé à une approche concertée en matière de sécurité des réseaux 5G. Le 26 mars 2019, la Commission a adopté la recommandation sur la cybersécurité des réseaux 5G .
Cette recommandation invitait les États membres à mener à bien des évaluations nationales des risques, à établir un bilan des mesures nationales, à travailler ensemble au niveau de l'UE sur une évaluation coordonnée des risques et à élaborer une «boîte à outils» de mesures d'atténuation.

Tous les États membres, réunis au sein du groupe de coopération SRI , ont mené à bien leur propre évaluation nationale des risques liés à leurs infrastructures de réseau 5G et ont transmis les résultats à la Commission et à l’ENISA, l’Agence de l’Union européenne pour la cybersécurité, au début du mois de juillet 2019.

Sur la base de ces évaluations nationales des risques, le groupe de coopération SRI, composé de représentants des États membres, de la Commission et de l’ENISA, a publié le 9 octobre 2019 un rapport sur l’évaluation coordonnée au niveau de l'UE des risques liés à la cybersécurité des réseaux 5G. Ce rapport

• inventorie les principales menaces et acteurs malveillants, les actifs les plus sensibles et les principales vulnérabilités (techniques et autres) concernant les réseaux 5G.
• recense aussi un certain nombre de catégories de risques revêtant une importance stratégique du point de vue de l’UE, illustrées par des scénarios de risque concrets.

Le rapport sur l’évaluation coordonnée des risques au niveau de l’UE :

• conclut que tous les risques qui pèsent sur les réseaux 5G créent un nouveau paradigme de sécurité qui impose de réévaluer le cadre actuel d’action et de sécurité applicable au secteur de la 5G et à son écosystème,
• fait de l’adoption de mesures d’atténuation une nécessité impérative pour les États membres.

Dans ses conclusions du 3 décembre 2019, le Conseil a soutenu les conclusions de l’évaluation coordonnée des risques. Il a :

• souligné l’importance d’une approche coordonnée afin d’éviter la fragmentation du marché unique. À
• a invité les États membres, la Commission et l’ENISA à prendre toutes les mesures nécessaires, pour assurer la sécurité des réseaux 5G,
• à continuer de consolider une approche coordonnée pour s’attaquer aux défis en matière de sécurité liés aux technologies 5G.

On en est-on ? L’élaboration d’une boîte à outil pour la cybersécurité 5G

Le 29 janvier 2020, le groupe de coopération SRI a présenté la boîte à outils de l’UE, une panoplie de mesures destinées à atténuer les risques.
Elle apporte une réponse à tous les risques recensés dans le rapport d’évaluation coordonnée des risques.

La boîte à outils de l’UE inventorie et décrit un ensemble de mesures stratégiques et techniques assorties de mesures de soutien destinées à renforcer leur efficacité, qui peuvent être mises en place afin d’atténuer les risques recensés.

Les mesures stratégiques comprennent des mesures relatives au renforcement des pouvoirs réglementaires des autorités en matière d’examen des procédures de marché et de déploiement liés aux réseaux en vue d'éviter des risques systémiques de dépendance à long terme.
Les mesures techniques comprennent des mesures visant à renforcer la sécurité des réseaux et équipements 5G en s’attaquant aux risques liés aux technologies, aux processus, et aux facteurs humains et physiques.

En outre, pour chacun des domaines de risque recensés dans l’évaluation coordonnée des risques au niveau de l’UE, la boîte à outils prévoit des plans d’atténuation des risques fondés sur les mesures dont l’efficacité est maximale.

Pour soutenir leur mise en œuvre dans l’ensemble de l’UE, l’évaluation coordonnée des risques au niveau de l’UE et la boîte à outils de l’UE fournissent des orientations concernant :

• l’analyse du profil de risque des fournisseurs
• la sensibilité des éléments et des fonctions de réseau. 

Tant l’évaluation coordonnée des risques au niveau de l’UE que les mesures prévues par la boîte à outils couvrent les risques liés aux fournisseurs d’équipements et de services de réseau 5G.

Et que contient concrètement cette boîte à outil ?

La boîte à outils prévoit :

• que tous les États membres :
• devraient veiller à ce que des mesures soient prises (notamment des compétences conférées aux autorités nationales) pour réagir aux risques recensés,
• renforcer les exigences de sécurité pour les opérateurs de réseau mobile (contrôles d’accès stricts par exemple);
• évaluer les profils de risque des fournisseurs et appliquer des restrictions pour les fournisseurs considérés comme à haut risque ;
• d’assurer le filtrage des investissements directs étrangers concernant les actifs clés pour la 5G et en évitant les distorsions du marché de l’offre de la 5G dues à d’éventuelles pratiques de dumping ou subventions;
• de faciliter la coordination entre les États membres dans le domaine de la normalisation afin de promouvoir des produits et des processus plus sûrs grâce à, des systèmes de certification européens ;
• de réexaminer périodiquement les évaluations des risques au niveau national et au niveau de l’UE concernant la sécurité des réseaux 5G et post-5G,
• d’élaborer des lignes directrices et l’échange de bonnes pratiques.

Et où va-t-on ? Le suivi des mesures clés nationales

Il appartient aux États membres de décider de la pertinence d’une mesure donnée en fonction des circonstances nationales.
Toutefois, les mesures clés sont établies dans chaque État membre, conformément aux recommandations du groupe de coopération SRI et, pour certaines de ces mesures, au niveau de l’UE, afin de parer aux risques constatés.
Il s’agit pour les Etats membres de prendre, pour le 30 avril 2020 au plus tard, des mesures visant mettre en œuvre l’ensemble de telles mesures clés.

Le 30 juin 2020 au plus tard, un rapport sera élaboré par le groupe de coopération SRI sur l’état d'avancement de la mise en œuvre, dans chaque État membre, de ces mesures clés.
Un suivi régulier sera assuré notamment au sein du groupe de coopération SRI, avec l’aide de la Commission et de l’ENISA.

Le cœur du dispositif : exclusion des fournisseurs et sous-traitants à risque

Comme il est indiqué dans l’évaluation coordonnée des risques au niveau de l’UE, les profils de risque des différents fournisseurs peuvent être évalués sur la base de plusieurs facteurs.
Toutefois, il convient que cette évaluation se fonde exclusivement sur des considérations de sécurité et des critères objectifs.
Pour favoriser une approche coordonnée de la mise en œuvre de ces mesures, la boîte à outils comprend une recommandation invitant les États membres à échanger des informations sur les approches et meilleures pratiques nationales.

La Commission considère au demeurant que cette action devrait figurer parmi les premières priorités de la prochaine phase des travaux menés au sein du groupe de coopération SRI en coopération avec la Commission et l’ENISA.
Outre les restrictions imposées aux fournisseurs considérés comme présentant un risque élevé, des exclusions peuvent être utilisées pour atténuer les risques, de même que les mesures visant à éviter la dépendance à l’égard de ces fournisseurs.
Une intervention au stade le plus précoce est envisageable. Les procédures d’octroi des licences pour les fréquences 5G renforceront la prévisibilité pour les acteurs du marché.

Les États membres pourraient envisager d'établir des plans de mise en œuvre prévoyant des périodes de transition pour les opérateurs de réseau.
Dans ce cas, les périodes de transition devraient être définies de manière à à renforcer les incitations à investir dans des équipements de réseau modernes, (en remplaçant les équipements 4G existants).

Par ailleurs, en raison de la complexité des réseaux 5G logiciels, les opérateurs de télécommunications risquent de recourir de plus en plus souvent à des tiers.
Comme il s’agit là d’une source de risques sérieux pour la sécurité, il sera procédé à une analyse de sécurité approfondie du profil de risque des fournisseurs chargés de ces services.
C’est le cas en particulier lorsque les tâches en question ne sont pas réalisées dans l’UE.
Des restrictions au sein des parties sensibles des réseaux 5G peuvent être envisagées. Une exclusion des organismes à haut risque est également envisageable.


synthèse du texte par Pierre Berthelet alias securiteinterieure.fr 

• Communication de la Commission européenne
• Communiqué de presse 
• Fiche d'information
• Questions et réponse
   

A lire sur securiteinterieure.fr :

• La cybersécurité et la résilience des réseaux 5G restent plus que jamais une préoccupation pour l'UE (20e rapport sur la sécurité)
• Cybersécurité et vulnérabilités des infrastructures numériques : la 5G est au cœur des préoccupations européennes (18e rapport sur la sécurité)
  

Votre attention est le carburant de ma passion.

  Merci pour votre fidélité !