Sécurité des réseaux 5G: les États membres de l’UE terminent leur évaluation des risques coordonnée | Commission européenne – Communiqué de presse

Communiqué de presse par la Commission européenne et la présidence finnoise du Conseil de l’UE

Les États membres ont publié ce jour, avec le soutien de la Commission européenne et de l’Agence européenne pour la cybersécurité un rapport sur l’évaluation coordonnée pour l’UE des risques liés à la cybersécurité des réseaux de cinquième génération (5G). Cette étape majeure s’inscrit dans le cadre de la mise en œuvre de la recommandation de la Commission européenne adoptée en mars 2019 en vue d’assurer un niveau élevé de cybersécurité des réseaux 5G dans toute l’UE.

Les réseaux 5G constituent la future cheville ouvrière de nos économies et sociétés de plus en plus numérisées. Des milliards d’objets et de systèmes connectés sont concernés, y compris dans des secteurs critiques tels que l’énergie, les transports, la banque et la santé, ainsi que les systèmes de contrôle industriel, vecteurs d’informations sensibles, et les systèmes de sécurité y afférent. Il est donc essentiel de garantir la sécurité et la résilience des réseaux 5G.

Le rapport est fondé sur les résultats des évaluations nationales des risques en matière de cybersécurité effectuées par tous les États membres de l’UE. Il recense les principales menaces et acteurs malveillants, les actifs les plus sensibles, les principales vulnérabilités (techniques et autres) et plusieurs risques stratégiques.

Cette évaluation sert de base pour définir des mesures d’atténuation pouvant être appliquées aux niveaux national et européen.

Principaux enseignements de l’évaluation coordonnée des risques au niveau de l’Union

Le rapport indique plusieurs défis importants en matière de sécurité qui sont susceptibles de se poser ou de s’accentuer dans les réseaux 5G par rapport à la situation sur les réseaux existants:

Ces défis en matière de sécurité sont principalement liés:

  • à des innovations clés associées à la technologie 5G (qui apporteront également plusieurs améliorations spécifiques en matière de sécurité), en particulier la part importante des logiciels et le large éventail de services et d’applications rendus possibles par la 5G;
  • au rôle des fournisseurs dans la construction et l’exploitation des réseaux 5G et le degré de dépendance envers certains fournisseurs.

Plus précisément, la mise en place des réseaux 5G devrait avoir les effets suivants:

  • Une exposition accrue aux attaques et la multiplication des points d’entrée potentiels pour les assaillants: Les réseaux 5G étant de plus en plus fondés sur des logiciels, les risques liés à des failles de sécurité majeures, telles que celles découlant de la médiocrité des processus de développement des logiciels au sein des fournisseurs, gagnent en importance. Cela pourrait également permettre aux acteurs malveillants d’insérer des portes dérobées dans les produits, ce qui rendrait leur détection plus difficile.
  • En raison des nouvelles caractéristiques de l’architecture des réseaux 5G et des nouvelles fonctionnalités, certains équipements ou fonctions de réseau deviennent plus sensibles, notamment les stations de base et les fonctions clés de gestion technique des réseaux.
  • Une exposition accrue aux risques liés à la dépendance des opérateurs de réseaux mobiles à l’égard des fournisseurs. Cela entraînera également un nombre plus élevé de voies d’attaque susceptibles d’être exploitées par des acteurs malveillants et augmentera la gravité potentielle de l’impact de ces attaques. Parmi les divers acteurs potentiels, les États tiers et les entités soutenues par un État sont considérés comme les plus puissants et les plus susceptibles de cibler les réseaux 5G.
  • Dans ce contexte d’exposition accrue aux attaques facilitées par des fournisseurs, le profil de risque de chaque fournisseur prendra une importance particulière, notamment la probabilité que le fournisseur subisse des ingérences d’un pays tiers.
  • Risques accrus liés aux fortes dépendances envers des fournisseurs: une forte dépendance à l’égard d’un seul fournisseur accroît l’exposition à une éventuelle interruption de l’approvisionnement, aboutissant par exemple à une défaillance commerciale, et à ses conséquences. Elle aggrave également l’incidence potentielle des faiblesses ou vulnérabilités et de leur exploitation possible par des acteurs malveillants, en particulier lorsque la dépendance concerne un fournisseur qui présente un niveau de risque élevé.
  • Les menaces pesant sur la disponibilité et l’intégrité des réseaux vont devenir un enjeu de sécurité majeur: outre les menaces sur la confidentialité et la vie privée, l’évolution prévue qui fera des réseaux 5G la cheville ouvrière de nombreuses applications informatiques critiques aura pour conséquence que l’intégrité et la disponibilité de ces réseaux deviendront un élément essentiel de la sécurité nationale et constituera un défi majeur de sécurité à l’échelon de l’UE.

Tous ces défis créent un nouveau paradigme de sécurité qui impose de réévaluer le cadre actuel d’action et de sécurité applicable au secteur et à son écosystème, et fait de l’adoption de mesures d’atténuation une nécessité impérative pour les États membres.

Inventaire des menaces par l’Agence européenne pour la cybersécurité: Afin de compléter le rapport des États membres, l’Agence européenne pour la cybersécurité est occupée à finaliser un inventaire des menaces liées aux réseaux 5G qui examine plus en détail certains aspects techniques abordés dans le rapport.

Prochaines étapes

D’ici au 31 décembre 2019, le groupe de coopération devrait convenir d’une «boîte à outils» de mesures d’atténuation pouvant être prises pour parer aux risques de cybersécurité recensés au niveau national et européen.

D’ici le 1er octobre 2020, les États membres, en coopération avec la Commission, devraient évaluer les effets de la recommandation en vue de déterminer si des mesures supplémentaires s’imposent. Cette évaluation devrait tenir compte du résultat de l’évaluation coordonnée des risques au niveau européen et de l’efficacité des mesures.

Contexte

Le 26 mars 2019, ayant reçu l’appui du Conseil européen, la Commission a adopté une recommandation sur la cybersécurité des réseaux 5G appelant les États membres à mener à bien des évaluations nationales des risques, à réexaminer les mesures nationales et à collaborer à l’échelon de l’UE en vue d’une évaluation coordonnée des risques et d’une boîte à outils commune pour des mesures d’atténuation.

Au niveau national, chaque État membre a effectué une évaluation nationale des risques liés aux infrastructures de réseau 5G et a transmis les résultats à la Commission et à l’ENISA, l’Agence de l’UE pour la cybersécurité. Les évaluations nationales des risques ont porté en particulier sur les principales menaces et les principaux acteurs malveillants touchant les réseaux 5G, les actifs 5G sensibles, ainsi que les vulnérabilités pertinentes, notamment, en conformité avec la recommandation de la CE, celles de nature technique et d’autres telles que celles qui pourraient découler de la chaîne d’approvisionnement 5G.