Avec le soutien de la Commission et de l'Agence de cybersécurité de l'UE, les États membres ont adopté mercredi un Rapport sur l'évaluation des risques coordonnée au niveau de l'UE en matière de cybersécurité dans les réseaux de 5e génération (5G) publié.

Les réseaux 5G sont la future colonne vertébrale des économies et des sociétés de plus en plus numérisées. Ils relieront des milliards d'objets et de systèmes, y compris dans des secteurs critiques comme l'énergie, les transports, la banque et la santé, mais aussi dans les systèmes de contrôle industriels qui traitent des informations sensibles et soutiennent les systèmes de sécurité. Il est donc primordial de garantir la sécurité et la résilience des réseaux 5G.

Le rapport se fonde sur les résultats des évaluations nationales des risques de cybersécurité réalisées par tous les États membres de l'UE. Il identifie les principales menaces et leurs auteurs, les installations et les équipements les plus vulnérables, les principales vulnérabilités (techniques et autres) et une série de risques stratégiques.

Cette évaluation sert de base à l'identification des mesures de réduction des risques qui peuvent être prises au niveau national et européen.

Principales conclusions

Le rapport identifie plusieurs grands problèmes de sécurité qui apparaissent dans les réseaux 5G ou qui, par rapport aux réseaux existants, sont susceptibles d'y être plus importants.

Ces problèmes de sécurité sont principalement liés à

• grandes innovations de la technologie 5G (qui apportent en même temps un certain nombre d'améliorations spécifiques en matière de sécurité), notamment dans le domaine important des logiciels et dans le large éventail de services et d'applications rendus possibles par la technologie 5G ;
• du rôle de la Fournisseurs dans le déploiement et l'exploitation des réseaux 5G et le degré de dépendance vis-à-vis des différents fournisseurs.

Concrètement, on peut s'attendre à ce que le déploiement des réseaux 5G ait les conséquences suivantes :

• Une un risque d'attaque accru et davantage de points d'entrée potentiels pour les attaquantsLes réseaux 5G étant de plus en plus basés sur des logiciels, les risques liés à des failles de sécurité importantes augmentent, par exemple en raison de processus de développement de logiciels défectueux chez les fournisseurs. Cela pourrait également faciliter la tâche des attaquants qui souhaitent intégrer des portes dérobées dans les produits et rendre leur détection plus difficile.
• En raison des nouvelles caractéristiques de l'architecture de réseau 5G et des nouvelles fonctions 5G certains équipements ou fonctions de réseau deviennent plus vulnérablesLes réseaux de téléphonie mobile sont des réseaux d'accès à l'information, tels que les stations de base ou les fonctions techniques importantes de gestion des réseaux.
• Risques accrus liés à la Dépendance des opérateurs de réseaux mobiles vis-à-vis de leurs fournisseurs. Cela permettra également de nombre de points d'attaque susceptibles d'être exploités par les pirateset la gravité potentielle des conséquences de telles attaques. Parmi les différents acteurs potentiels, les menaces les plus importantes proviennent d'États non membres de l'UE ou d'organisations soutenues par l'État, qui viseront en outre très probablement les réseaux 5G.
• Dans ce contexte de risque d'attaque accru, favorisé par les fournisseurs, le Profil de risque de chaque fournisseuront une signification particulière, car ils indiquent la probabilité que le fournisseur subisse l'influence d'un pays non membre de l'UE.
• Risques accrus en raison d'une plus grande dépendance vis-à-vis des fournisseursUne forte dépendance à l'égard d'un seul fournisseur augmente le risque d'éventuelles ruptures d'approvisionnement, ce qui peut par exemple entraîner des pertes d'activité avec toutes leurs conséquences. Ainsi, elle aggrave également les conséquences possibles des faiblesses et des vulnérabilités et de leur éventuelle exploitation par des attaquants, en particulier en cas de dépendance vis-à-vis d'un fournisseur présentant un risque élevé.
• Les menaces sur la disponibilité et l'intégrité des réseaux susciteront de grandes inquiétudes en matière de sécurité.Les réseaux 5G étant appelés à devenir l'épine dorsale de nombreuses applications informatiques indispensables, l'intégrité et la disponibilité de ces réseaux deviendront, outre la confidentialité et la protection de la vie privée, une question importante pour les intérêts de sécurité nationale et un défi majeur pour l'UE en matière de politique de sécurité.

Ensemble, tous ces défis créent un nouveau paradigme de sécurité qui nécessite de revoir le cadre politique et de sécurité actuellement applicable à ce secteur et à son écosystème, afin que les États membres puissent prendre les mesures de réduction des risques nécessaires.

L'état de la menace du point de vue de l'Agence européenne de cybersécurité : En complément du rapport des États membres, la Agence de cybersécurité de l'UE vient de terminer son aperçu de la menace spécifique liée aux réseaux 5G, dans lequel elle aborde plus en détail certains aspects techniques du rapport.

Prochaines étapes

D'ici le 31 décembre 2019, la Groupe de coopération s'accorder sur un ensemble de mesures d'atténuation des risques pour répondre aux risques de cybersécurité identifiés au niveau national et au niveau de l'Union.

Au plus tard le 1er octobre 2020, les États membres - en collaboration avec la Commission - devraient évaluer l'impact de la recommandation afin de déterminer si des mesures supplémentaires sont nécessaires. Cette évaluation devrait tenir compte des résultats de l'évaluation européenne coordonnée des risques et de l'efficacité des mesures.

Source : Commission européenne, représentation en Allemagne