Options Mon compte Next INpact
Affichage
Modifications sauvegardées
  • Smileys
  • Images
  • Commentaires par actu
  • Commentaires sous les news
  • Désactiver la version mobile
  • Taille de police
Close

Vous consultez la version mobile de ce contenu.

Cliquez ici pour être redirigé vers la version complète, ou attendez 5 secondes. Fermez ce pop-up pour continuer sur la version mobile.

5
secondes
5G : Bruxelles veut « évaluer les risques de cybersécurité », sans bannir Huawei
Stockage Crédits : cokada/iStock

5G : Bruxelles veut « évaluer les risques de cybersécurité », sans bannir Huawei

Caresser d'une main, fouetter de l'autre
7 min

La Commission européenne a décidé de ne pas bannir les équipementiers chinois ou Huawei, mais de laisser le choix à ses États membres. Elle demande à chaque pays de procéder à une évaluation des risques et présente des « mesures opérationnelles » pour renforcer la sécurité des réseaux.

Les réseaux 5G sont voués à remplacer à terme la 4G, elle-même étant une évolution de la 3G ; bref le cycle de la vie des télécoms. Mais la 5G promet davantage plus que des débits plus élevés : elle ouvre l'accès à de nouveaux services grâce à des latences bien plus faibles pour des besoins critiques (voitures autonomes, télémédecine, etc.) et la prise en charge d'une multitude d'objets connectés.

La Commission européenne estime ainsi que la 5G sera « l'épine dorsale de nos sociétés et de nos économies [...] y compris dans des secteurs critiques comme l'énergie, les transports, les banques et la santé, ainsi que des systèmes de contrôle industriel qui véhiculent des informations sensibles et étayent des dispositifs de sécurité ». Il en est de même pour des « processus démocratiques, tels que les élections ».

Bref, autant de raisons de « remédier à toute vulnérabilité dans ce domaine ». La Commission propose ainsi « une série de mesures concrètes visant à évaluer les risques de cybersécurité qui pèsent sur les réseaux 5G et à renforcer la prévention ».

L'Europe ne veut « aucune “porte dérobée” de nature technique ou juridique »

Pour Andrus Ansip, vice-président de la Commission européenne, « nous ne pouvons accepter que cette transformation se produise sans présenter intrinsèquement les garanties d'une sécurité totale. Il est donc essentiel que les infrastructures 5G dans l'UE soient résilientes et ne présentent absolument aucune “porte dérobée” de nature technique ou juridique ».

La Commission fait référence aux équipementiers chinois, accusés par les États-Unis d'installer des portes à la demande de Pékin.

Huawei est particulièrement visée, mais la société s'est toujours défendue sur ce point : « La protection des données et la cybersécurité sont l’un des piliers fondateurs de Huawei. Notre business model est basé sur le transfert de savoir-faire chez le client pour qu’il maîtrise directement la solution. Huawei n’a donc pas accès au réseau », affirmait récemment Shi Weiliang, patron du géant chinois en France. « Ces soupçons non fondés surviennent dans un climat de tensions commerciales et géopolitiques » ajoutait le dirigeant.

Huawei a d'ailleurs contre-attaqué en portant plainte contre les États-Unis : « Le Congrès américain n'a jamais pu fournir la moindre preuve pour justifier ses restrictions visant les produits Huawei. Nous sommes contraints de prendre cette action en justice en dernier recours ». Dans tous les cas, cela n'empêche pas Huawei de bien se porter avec un chiffre d'affaires en hausse de 36 % sur les deux premiers mois de l'année. 

La Commission présente ses « mesures opérationnelles »

Dans son communiqué, la Commission européenne prône une vision d'ensemble : « toute vulnérabilité dans les réseaux 5G ou toute cyberattaque qui ciblerait les futurs réseaux dans un État membre affecterait l'Union ». Des mesures doivent donc être prises à la fois au niveau national, mais aussi européen avec une concertation des membres.

Cette annonce intervient alors que le président chinois Xi Jinping est justement en visite officielle à Paris. À cette occasion, Angela Merkel, Emmanuel Macron et Jean-Claude Juncker en profitent pour afficher une unité européenne face à Pékin, qui préfère généralement des échanges en tête à tête. Dans tous les cas, le message est le même : l'Europe veut être vue comme un ensemble. 

La Commission est par contre obligée de faire avec les susceptibilités de chacun : « chaque État membre devrait procéder à une évaluation nationale des risques liés aux infrastructures des réseaux 5G d'ici à la fin du mois de juin 2019 », puis la transmettre à la Commission et à l'Agence de l'Union européenne pour la cybersécurité au plus tard le 15 juillet.

Cette base servira ensuite à « actualiser les exigences de sécurité existantes pour les fournisseurs de réseaux et les assortir de conditions garantissant la sécurité des réseaux publics ». Une piste parmi d'autres : « l'obligation renforcée, pour les fournisseurs et les opérateurs, de garantir la sécurité des réseaux ». Rappelons que le risque zéro est impossible à garantir dans ce domaine. 

La décision de bannir déléguée aux États membres

Plus intéressant, la Commission affirme que « les États membres de l'UE ont le droit d'exclure de leurs marchés, pour des raisons de sécurité nationale, des entreprises qui ne respectent pas leurs normes et leur législation ». En clair, Bruxelles ne prend pas de décision globale de procéder ou non à un bannissement de Huawei ou d'un autre équipementier, elle renvoie la balle à chaque pays. Une manière de résister à la pression des États-Unis (en laissant la porte ouverte au bannissement tout de même) et de jouer l'apaisement avec la Chine.

Pour rappel, en France le gouvernement avait déposé un amendement « anti-Huawei » (lire notre analyse). Il a été rejeté, mais est revenu sous la forme d'une proposition de loi. Selon certaines sources, le Royaume-Uni considérerait pour le moment les risques de cybersécurité comme étant « gérables ».

En Allemagne, Angela Merkel a demandé des garanties supplémentaires à Huawei. Pour Dieter Kempf, président de la Fédération de l'industrie allemande, une interdiction générale de certaines entreprises « n'aurait aucun sens, réduirait le choix des vendeurs et pourrait affecter les coûts. Plus important encore, il y aurait des conséquences politiques : la Chine pourrait être tentée de prendre des mesures de représailles contre les entreprises allemandes ».

Une évaluation européenne des risques avant octobre

La Commission ajoute que les États membres devront s'échanger leurs informations et mener « à bien une évaluation coordonnée des risques au plus tard le 1er octobre 2019 », avec le soutien de l'Agence de l'Union européenne pour la cybersécurité (ENISA). « Sur cette base, les États membres s'accorderont sur un ensemble de mesures d'atténuation pouvant être prises au niveau national ».

Il est notamment question d'inclure « des exigences de certification, des essais, des contrôles, ainsi que le recensement des produits ou fournisseurs jugés potentiellement non sûrs ». Là encore, aucun nom au pays n'est directement cité.

« La recommandation présentée aujourd'hui s'appuiera sur une vaste panoplie d'instruments déjà en place ou adoptés en vue de renforcer la coopération contre les cyberattaques et de donner à l'UE les moyens d'agir collectivement pour protéger l'économie et la société européennes », affirme la Commission.

Pêle-mêle il est question de la première législation européenne en matière de cybersécurité et de la nouvelle réglementation en matière de télécommunications. Dans le domaine de la cybersécurité, citons « le futur cadre européen de certification » qui « devrait constituer un instrument d'appui essentiel pour promouvoir des niveaux de sécurité cohérents ».

La Commission rappelle enfin que dans le domaine des télécommunications, « les États membres sont tenus de garantir l'intégrité et la sécurité des réseaux de communications publics, en veillant à ce que les opérateurs prennent des mesures techniques et organisationnelles pour gérer de manière appropriée les risques pesant sur la sécurité des réseaux et des services ».

Prochaine étape fin 2019 et en octobre 2020

La suite des événements est déjà connue. En se basant sur les retours nationaux et l'évaluation européenne des risques, « le groupe de coopération de la directive SRI [sécurité des réseaux et des systèmes d'information, ndlr] devrait convenir de mesures pouvant être prises pour atténuer les risques de cybersécurité recensés aux niveaux national et européen », avant le 31 décembre 2019.

Enfin, avant le 1er octobre 2020, « les États membres, en coopération avec la Commission, devraient évaluer les effets de la recommandation en vue de déterminer si des mesures supplémentaires s'imposent ». Rappelons qu'à cette date la 5G aura normalement déjà commencé à être exploitée commercialement par les opérateurs français. 

Dans tous les cas, les risques présentés ici sont relatifs aux équipements physiques servant au déploiement de la 5G, mais il ne faut pas oublier que la virtualisation pointe aussi le bout de son nez.  Comme l'expliquait l'Arcep dans une étude, « certains opérateurs français pourraient choisir de réaliser certaines de ces activités en dehors du territoire national, soit pour des raisons de coût, soit pour les mutualiser avec les activités similaires de filiales ou de sociétés sœurs exerçant dans d’autres pays ».

Le régulateur rappelle que la réglementation prévoit que certaines opérations puissent avoir lieu sur le territoire national, « notamment la mise en œuvre des moyens nécessaires aux interceptions de correspondances ». La délocalisation des serveurs pourrait également « avoir un impact sur la capacité de l’État à mettre en œuvre ses capacités en matière de détection de cyberattaques ou de réaction en cas de crise ».

Bref, la bataille de la 5G ne fait que commencer... alors que l'ouverture des réseaux commerciaux est prévue pour l'année prochaine et que les expérimentations sont déjà nombreuses, y compris en France avec des équipements Huawei.

Publiée le 27 mars 2019 à 16:09


Chargement des commentaires