5G : Bruxelles veut « évaluer les risques de cybersécurité », sans bannir Huawei
Caresser d'une main, fouetter de l'autre
Le 27 mars 2019 à 15h09
9 min
Sciences et espace
Sciences
La Commission européenne a décidé de ne pas bannir les équipementiers chinois ou Huawei, mais de laisser le choix à ses États membres. Elle demande à chaque pays de procéder à une évaluation des risques et présente des « mesures opérationnelles » pour renforcer la sécurité des réseaux.
Les réseaux 5G sont voués à remplacer à terme la 4G, elle-même étant une évolution de la 3G ; bref le cycle de la vie des télécoms. Mais la 5G promet davantage plus que des débits plus élevés : elle ouvre l'accès à de nouveaux services grâce à des latences bien plus faibles pour des besoins critiques (voitures autonomes, télémédecine, etc.) et la prise en charge d'une multitude d'objets connectés.
La Commission européenne estime ainsi que la 5G sera « l'épine dorsale de nos sociétés et de nos économies [...] y compris dans des secteurs critiques comme l'énergie, les transports, les banques et la santé, ainsi que des systèmes de contrôle industriel qui véhiculent des informations sensibles et étayent des dispositifs de sécurité ». Il en est de même pour des « processus démocratiques, tels que les élections ».
Bref, autant de raisons de « remédier à toute vulnérabilité dans ce domaine ». La Commission propose ainsi « une série de mesures concrètes visant à évaluer les risques de cybersécurité qui pèsent sur les réseaux 5G et à renforcer la prévention ».
L'Europe ne veut « aucune “porte dérobée” de nature technique ou juridique »
Pour Andrus Ansip, vice-président de la Commission européenne, « nous ne pouvons accepter que cette transformation se produise sans présenter intrinsèquement les garanties d'une sécurité totale. Il est donc essentiel que les infrastructures 5G dans l'UE soient résilientes et ne présentent absolument aucune “porte dérobée” de nature technique ou juridique ».
La Commission fait référence aux équipementiers chinois, accusés par les États-Unis d'installer des portes à la demande de Pékin.
Huawei est particulièrement visée, mais la société s'est toujours défendue sur ce point : « La protection des données et la cybersécurité sont l’un des piliers fondateurs de Huawei. Notre business model est basé sur le transfert de savoir-faire chez le client pour qu’il maîtrise directement la solution. Huawei n’a donc pas accès au réseau », affirmait récemment Shi Weiliang, patron du géant chinois en France. « Ces soupçons non fondés surviennent dans un climat de tensions commerciales et géopolitiques » ajoutait le dirigeant.
Huawei a d'ailleurs contre-attaqué en portant plainte contre les États-Unis : « Le Congrès américain n'a jamais pu fournir la moindre preuve pour justifier ses restrictions visant les produits Huawei. Nous sommes contraints de prendre cette action en justice en dernier recours ». Dans tous les cas, cela n'empêche pas Huawei de bien se porter avec un chiffre d'affaires en hausse de 36 % sur les deux premiers mois de l'année.
La Commission présente ses « mesures opérationnelles »
Dans son communiqué, la Commission européenne prône une vision d'ensemble : « toute vulnérabilité dans les réseaux 5G ou toute cyberattaque qui ciblerait les futurs réseaux dans un État membre affecterait l'Union ». Des mesures doivent donc être prises à la fois au niveau national, mais aussi européen avec une concertation des membres.
Cette annonce intervient alors que le président chinois Xi Jinping est justement en visite officielle à Paris. À cette occasion, Angela Merkel, Emmanuel Macron et Jean-Claude Juncker en profitent pour afficher une unité européenne face à Pékin, qui préfère généralement des échanges en tête à tête. Dans tous les cas, le message est le même : l'Europe veut être vue comme un ensemble.
La Commission est par contre obligée de faire avec les susceptibilités de chacun : « chaque État membre devrait procéder à une évaluation nationale des risques liés aux infrastructures des réseaux 5G d'ici à la fin du mois de juin 2019 », puis la transmettre à la Commission et à l'Agence de l'Union européenne pour la cybersécurité au plus tard le 15 juillet.
Cette base servira ensuite à « actualiser les exigences de sécurité existantes pour les fournisseurs de réseaux et les assortir de conditions garantissant la sécurité des réseaux publics ». Une piste parmi d'autres : « l'obligation renforcée, pour les fournisseurs et les opérateurs, de garantir la sécurité des réseaux ». Rappelons que le risque zéro est impossible à garantir dans ce domaine.
La décision de bannir déléguée aux États membres
Plus intéressant, la Commission affirme que « les États membres de l'UE ont le droit d'exclure de leurs marchés, pour des raisons de sécurité nationale, des entreprises qui ne respectent pas leurs normes et leur législation ». En clair, Bruxelles ne prend pas de décision globale de procéder ou non à un bannissement de Huawei ou d'un autre équipementier, elle renvoie la balle à chaque pays. Une manière de résister à la pression des États-Unis (en laissant la porte ouverte au bannissement tout de même) et de jouer l'apaisement avec la Chine.
Pour rappel, en France le gouvernement avait déposé un amendement « anti-Huawei » (lire notre analyse). Il a été rejeté, mais est revenu sous la forme d'une proposition de loi. Selon certaines sources, le Royaume-Uni considérerait pour le moment les risques de cybersécurité comme étant « gérables ».
En Allemagne, Angela Merkel a demandé des garanties supplémentaires à Huawei. Pour Dieter Kempf, président de la Fédération de l'industrie allemande, une interdiction générale de certaines entreprises « n'aurait aucun sens, réduirait le choix des vendeurs et pourrait affecter les coûts. Plus important encore, il y aurait des conséquences politiques : la Chine pourrait être tentée de prendre des mesures de représailles contre les entreprises allemandes ».
Une évaluation européenne des risques avant octobre
La Commission ajoute que les États membres devront s'échanger leurs informations et mener « à bien une évaluation coordonnée des risques au plus tard le 1er octobre 2019 », avec le soutien de l'Agence de l'Union européenne pour la cybersécurité (ENISA). « Sur cette base, les États membres s'accorderont sur un ensemble de mesures d'atténuation pouvant être prises au niveau national ».
Il est notamment question d'inclure « des exigences de certification, des essais, des contrôles, ainsi que le recensement des produits ou fournisseurs jugés potentiellement non sûrs ». Là encore, aucun nom au pays n'est directement cité.
« La recommandation présentée aujourd'hui s'appuiera sur une vaste panoplie d'instruments déjà en place ou adoptés en vue de renforcer la coopération contre les cyberattaques et de donner à l'UE les moyens d'agir collectivement pour protéger l'économie et la société européennes », affirme la Commission.
Pêle-mêle il est question de la première législation européenne en matière de cybersécurité et de la nouvelle réglementation en matière de télécommunications. Dans le domaine de la cybersécurité, citons « le futur cadre européen de certification » qui « devrait constituer un instrument d'appui essentiel pour promouvoir des niveaux de sécurité cohérents ».
La Commission rappelle enfin que dans le domaine des télécommunications, « les États membres sont tenus de garantir l'intégrité et la sécurité des réseaux de communications publics, en veillant à ce que les opérateurs prennent des mesures techniques et organisationnelles pour gérer de manière appropriée les risques pesant sur la sécurité des réseaux et des services ».
Prochaine étape fin 2019 et en octobre 2020
La suite des événements est déjà connue. En se basant sur les retours nationaux et l'évaluation européenne des risques, « le groupe de coopération de la directive SRI [sécurité des réseaux et des systèmes d'information, ndlr] devrait convenir de mesures pouvant être prises pour atténuer les risques de cybersécurité recensés aux niveaux national et européen », avant le 31 décembre 2019.
Enfin, avant le 1er octobre 2020, « les États membres, en coopération avec la Commission, devraient évaluer les effets de la recommandation en vue de déterminer si des mesures supplémentaires s'imposent ». Rappelons qu'à cette date la 5G aura normalement déjà commencé à être exploitée commercialement par les opérateurs français.
Dans tous les cas, les risques présentés ici sont relatifs aux équipements physiques servant au déploiement de la 5G, mais il ne faut pas oublier que la virtualisation pointe aussi le bout de son nez. Comme l'expliquait l'Arcep dans une étude, « certains opérateurs français pourraient choisir de réaliser certaines de ces activités en dehors du territoire national, soit pour des raisons de coût, soit pour les mutualiser avec les activités similaires de filiales ou de sociétés sœurs exerçant dans d’autres pays ».
Le régulateur rappelle que la réglementation prévoit que certaines opérations puissent avoir lieu sur le territoire national, « notamment la mise en œuvre des moyens nécessaires aux interceptions de correspondances ». La délocalisation des serveurs pourrait également « avoir un impact sur la capacité de l’État à mettre en œuvre ses capacités en matière de détection de cyberattaques ou de réaction en cas de crise ».
Bref, la bataille de la 5G ne fait que commencer... alors que l'ouverture des réseaux commerciaux est prévue pour l'année prochaine et que les expérimentations sont déjà nombreuses, y compris en France avec des équipements Huawei.
5G : Bruxelles veut « évaluer les risques de cybersécurité », sans bannir Huawei
-
L'Europe ne veut « aucune “porte dérobée” de nature technique ou juridique »
-
La Commission présente ses « mesures opérationnelles »
-
La décision de bannir déléguée aux États membres
-
Une évaluation européenne des risques avant octobre
-
Prochaine étape fin 2019 et en octobre 2020
Commentaires (22)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 28/03/2019 à 00h13
Je me disais aussi que la commission européenne ne prenait pas une décision sans une histoire de gros sous derrière.
Le 28/03/2019 à 06h33
La Commission européenne partage le pouvoir exécutif avec le conseil des chefs d’État et de gouvernement. Donc la France est bien souveraine sur son propre territoire. C’est de la coopération d’États.
La question à se poser est plutôt : dans chaque État, quelle institution détient cette “souveraineté” : le gouvernement ? les citoyens ?
Le 28/03/2019 à 06h41
Ce que veut dire Methio (si j’ai bien compris), c’est qu’il n’est pas question ici de “vote électronique”. Il est question de “5G” et de “processus démocratiques” (entre autres les élections) : dans une élection, il n’y a pas que le vote en lui-même, il y a des systèmes de communications électroniques qui traitent les données de ces votes.
Le 28/03/2019 à 09h05
Le 28/03/2019 à 09h59
Un autre article que celui de Next inpact :
“Les réseaux de cinquième génération (5G) seront à l’avenir l’épine dorsale de nos sociétés et de nos économies, reliant des milliards d’objets et de systèmes, y compris dans des secteurs critiques comme l’énergie, les transports, les banques et la santé, ainsi que des systèmes de contrôle industriel qui véhiculent des informations sensibles et étayent des dispositifs de sécurité. Les processus démocratiques, tels que les élections, s’appuient de plus en plus sur les infrastructures numériques et les réseaux 5G, d’où la nécessité de remédier à toute vulnérabilité dans ce domaine et l’importance des recommandations formulées par la Commission dans la perspective des élections au Parlement européen en mai prochain.
La 5G, dont les recettes mondiales devraient représenter 225 milliards d’euros en 2025, est un atout majeur de la compétitivité de l’Europe sur le marché mondial et la cybersécurité dans ce domaine est essentielle pour garantir l’autonomie stratégique de l’Union.”
>> https://www.idcite.com/La-Commission-europeenne-recommande-une-approche-commune-…
Le 28/03/2019 à 10h08
Pourquoi citer tout cela ? Cela n’a rien à voir avec mon objection. Et ce n’est pas parce que la Commission Européenne affirme des approximations qu’elles sont vraies.
J’avais bien lu ces points et au départ, c’est moi qui ai objecté sur le rapprochement entre élections et réseau 5G.
Je maintiens que la sécurité des élections n’a rien à voir avec la sécurité des réseaux 5G.
Croire que la 5G remplacera les réseaux fixes est une idiotie.
Le 28/03/2019 à 10h51
Il est tellement plus simple de manipuler l’opinion, les gens sont si influençables… Trafiquer les votes laissera forcément des traces.
Le 28/03/2019 à 17h28
Merci pour la clarification. J’étais à côté 😳
Le 28/03/2019 à 17h45
Je cite tout l’article parce qu’il est court et que je sais que personne ne suit le lien quand on en met un. Et j’ai pensé que ce serait plus facile à comprendre le contexte (j’ai même pris la peine de souligner ce qui est important).
Sur le fond, vous parliez de “vote électronique” au départ. Si vous avez changé d’opinion entre temps, il fallait le dire expressément dans votre 2e commentaire. Et pour finir, qu’est-ce que vous en savez que les communications lors d’élections se feront forcément en filaire plutôt qu’en 5G ? Il existe d’autres exemples qui utilisent les réseaux cellulaires pour communiquer (les réseaux de distribution d’électricité d’Enedis avec LInky par exemple)
Le 27/03/2019 à 15h26
La Commission européenne a décidé de ne pas bannir les équipementiers chinois ou Huawei, mais de laisser le choix à ses États membres.
Son Altesse la commision est trop bonne.
Le 27/03/2019 à 15h37
Ben c’est normal, la commission a pleinement autorité pour ces décisions.
Le 27/03/2019 à 15h39
Le 27/03/2019 à 15h46
Heu non, plus depuis l’UE
Le 27/03/2019 à 15h49
La visite de Xi Jinping a eu quelques effets adoucissants on dirait " />
Le 27/03/2019 à 15h51
Le 27/03/2019 à 16h35
Le 27/03/2019 à 16h43
Il en est de même pour des « processus démocratiques, tels que les élections ».
Oui, parce que c’est connu, le vote électronique, surtout à distance ne pose aucun problème de sécurité et de confidentialité. Bandes de bouffons !
Le 27/03/2019 à 18h35
Le gouvernement français, par l’intermédiaire de l’ANSSI et de l’article R226, restreint déjà grandement l’usage de Huawei ainsi que de la virtualisation (NFV/SDN) pour l’utilisation des infra télécom. C’est bientôt tout l’infra 5G (la radio en plus du core) qui sera soumis à autorisation.
Cela pose de vrais problèmes de stratégie et d’investissement pour les petits opérateurs (comprendre les opérateurs autres que Orange, Bouygues, SFR, Free). Cela n’encourage pas la concurrence.
Bref, la plupart des opérateurs français ont, de ce fait, déjà plus d’1 an de retard technologique… Et ce n’est pas prêt de s’arranger.
Le 27/03/2019 à 19h48
Le 27/03/2019 à 21h45
Le 27/03/2019 à 22h32
Désolé pour le lien pourrihttps://xkcd.com/2030/
Le 27/03/2019 à 23h04
Si c’est pour faire des votes sans anonymat, je n’ai pas grand chose à y répondre.
Si l’une des prérogatives est de garantir l’anonymat alors, non je ne fais absolument pas confiance au vote électronique parce que je ne saurai jamais comment contrôler la bonne tenue du scrutin.