Menu

Publication d'un rapport sur l'évaluation coordonnée des risques liés à la sécurité des réseaux 5G

EU2019FI 9.10.2019 15.30
Communiqué
Photo: Elena Uskola, Secrétariat général du gouvernement, Finlande

Les États membres, avec le soutien de la Commission et de l'Agence de l'Union européenne pour la cybersécurité (ENISA), ont publié le 9 octobre un rapport sur l'évaluation coordonnée, à l'échelle de l'UE, des risques liés à la sécurité des réseaux de cinquième génération (5G). Il s'agit d'une avancée majeure dans l'application de la recommandation de la Commission européenne adoptée en mars 2019 pour garantir un niveau élevé de cybersécurité des réseaux 5G dans toute l'UE.

Les réseaux 5G constitueront l'épine dorsale de nos économies et de nos sociétés toujours plus numériques. Ils relieront des milliards d'objets et systèmes, y compris dans des secteurs critiques comme l'énergie, les transports, les banques et la santé, ainsi que des systèmes de contrôle industriel qui véhiculent des informations sensibles et étayent des dispositifs de sécurité. Il est donc essentiel de garantir la sécurité et la résilience des réseaux 5G.

Le rapport se base sur les résultats des évaluations nationales des États membres des risques liés à la cybersécurité. Il identifie les menaces les plus courantes et leurs acteurs, les ressources les plus sensibles et leurs principales vulnérabilités (techniques ou autres), ainsi que plusieurs risques stratégiques.

Ainsi, il sera possible de déterminer des mesures de mitigation des risques, applicables aux niveaux national et européen.

Principaux éléments de l'évaluation coordonnée des risques

Le rapport identifie un certain nombre de défis en matière de sécurité, qui risquent d'apparaître ou de gagner en importance avec le déploiement des réseaux 5G.

Ces défis sont principalement liés:

  • aux innovations clés dans le domaine de la 5G (qui apportent également leur lot d'améliorations spécifiques de la sécurité), en particulier concernant le rôle important des logiciels et la gamme étendue de services et d'applications qu'elle permettra d'avoir;
  • au rôle des fournisseurs dans la mise en place et l'utilisation des réseaux 5G, ainsi qu'au degré de dépendance par rapport à des fournisseurs spécifiques.

Le déploiement de la 5G devrait avoir en particulier les effets suivants:

  • Une exposition accrue aux attaques et une multiplication des points d'entrée potentiels pour un attaquant. Les réseaux 5G reposent toujours plus sur des bases logicielles. Les risques liés aux failles de sécurité majeures, par exemple en raison d'un développement logiciel de qualité insuffisante chez les fournisseurs, deviendront donc plus importants. Il pourrait également être plus facile pour un acteur malveillant d'insérer des portes dérobées dans les produits et de rendre leur détection plus complexe.
  • Les nouvelles caractéristiques et fonctionnalités de l'architecture des réseaux 5G rendent certains équipements réseaux (comme les stations de base) et certaines fonctions (comme les fonctions essentielles de gestion technique des réseaux) plus sensibles.
  • Une plus grande exposition aux risques en raison de la dépendance des opérateurs de réseaux mobiles par rapport aux fournisseurs. Cela entraîne également un accroissement du nombre de chemins d'attaques exploitables, ainsi que la gravité de l'impact possible de ces attaques. Parmi les acteurs potentiels, on considère que les plus dangereux et ceux qui risquent le plus de cibler les réseaux 5G sont les pays tiers ou les acteurs soutenus par des États.
  • Dans un contexte d'exposition accrue aux attaques, le profil de risque individuel des fournisseurs deviendra particulièrement important, notamment pour déterminer la possibilité que le fournisseur soit soumis à l'interférence d'un État non membre de l'UE.
  • Des risques accrus de dépendance majeure vis-à-vis des fournisseurs; une telle dépendance vis-à-vis d'un seul fournisseur augmente le risque de coupure du service résultant par exemple d'un échec commercial, ainsi que les conséquences qui en découlent. Cela accroît également l'impact potentiel de points faibles ou de vulnérabilités et leur exploitation par des acteurs malveillants, en particulier dans les cas où cette dépendance est établie vis-à-vis d'un fournisseur à haut risque.
  • La disponibilité et l'intégrité des réseaux deviendront des préoccupations majeures en matière de sécurité: outre les menaces pour la confidentialité et la vie privée, l'intégrité et la disponibilité des réseaux 5G, qui devraient devenir l'épine dorsale de nombreuses applications informatiques critiques, deviendront une préoccupation fondamentale en termes de sécurité nationale et un défi majeur pour la sécurité à l'échelle européenne.

Ces défis, combinés, créent un nouveau paradigme en matière de sécurité. Il est donc nécessaire de réévaluer les politiques et cadre pour la sécurité contemporains concernant ce secteur et son écosystème. De même, il est essentiel que les États membres prennent les mesures d'atténuation nécessaires.

Paysage des menaces de l'ENISA: L'ENISA finalise une cartographie du panorama des menaces spécifiques liées aux réseaux 5G, afin de compléter le rapport des États membres et d'analyser plus en détails certains de ses aspects techniques. 

Prochaines étapes

D'ici au 31 décembre 2019, le groupe de coopération devrait s'entendre sur le principe d'une boîte à outils de mesures d'atténuation pour faire face aux risques de cybersécurité identifiés aux niveaux national et européen.

D'ici au 1er octobre 2020, les États membres, en coopération avec la Commission, devraient évaluer les effets de la recommandation pour déterminer s'il est nécessaire d'aller plus loin. Pour ce faire, ils devraient prendre en compte les résultats de l'évaluation coordonnée des risques et l'efficacité des mesures recommandées.   

Contexte

Le 26 mars 2019, après avoir reçu l'approbation du Conseil européen, la Commission a adopté une recommandation sur la cybersécurité des réseaux 5G, en invitant les États membres à compléter une évaluation nationale des risques et actualiser les mesures nationales, ainsi qu'à coopérer au niveau européen pour mettre en place une évaluation coordonnée des risques et une boîte à outils commune contenant des mesures d'atténuation.

Tous les États membres ont complété une évaluation nationale des risques liés aux infrastructures des réseaux 5G et transmis ses résultats à la Commission et à l'Agence de l'Union européenne pour la cybersécurité. Ces évaluations nationales des risques portaient en particulier sur les menaces principales et les acteurs malveillants pouvant affecter les réseaux 5G, ainsi que sur les ressources 5G sensibles et leurs vulnérabilités majeures, techniques ou autres, comme celles découlant de la chaîne de fourniture de la 5G, conformément à la recommandation de la Commission.