La conférence de Prague sur la cybersécurité, organisée les 2 et 3 mai par le ministère tchèque des Affaires étrangères, s'est clôturée par l'adoption d'une déclaration de cinq pages suffisamment vague pour rester consensuelle. Le document rappelle l'importance de tenir compte du risque global d'influence d'un fournisseur tiers, tout en soulignant que cette responsabilité appartient aux États.
Une initiative tchèque, avec des intervenants mondiaux
« Protéger nos réseaux 5G, c'est protéger notre capacité à exister. Nous avons besoin de trois choses : sensibiliser à l'importance de la cybersécurité, changer notre manière de coopérer et préparer nos infrastructures », a déclaré le Premier ministre tchèque, Andrej Babiš, précisant que les enchères pour l'attribution des fréquences 5G devaient démarrer en 2019 en République tchèque pour un déploiement en 2020.
Sont intervenus au cours de ces deux jours de réunion des représentants américains, australiens, japonais, israéliens et britanniques. Les commissaires Věra Jourová (Justice) et Julian King (Union de la sécurité) se sont également exprimés – le dernier à travers une vidéo préenregistrée – au nom de l'UE.
Les principes de Prague
La déclaration, intitulée 'Les propositions de Prague', reprend une série de recommandations non contraignantes afin d'assurer que les réseaux de cinquième génération soient introduits en toute sécurité. Ces recommandations s'articulent autour de quatre volets thématiques, conformément aux ateliers de la réunion : la politique (1), la technologie (2), l'économie (3) ainsi que la sécurité, la confidentialité et la résilience (4).
En guise de préambule, le texte réitère dans le chapitre politique que, conformément au droit international, chaque pays est libre de définir ses propres exigences en matière de sécurité nationale et de maintien de l'ordre. Il ajoute toutefois, faisant écho aux discussions actuelles sur l'équipementier chinois Huawei, qu'il convient de prendre en compte le risque global d'influence d'un tiers sur un fournisseur, « notamment en ce qui concerne son modèle de gouvernance, l'absence d'accords de coopération en matière de sécurité ou des arrangements similaires, tels que des décisions d'adéquation, en matière de protection des données ou si ce pays est partie à des accords multilatéraux, internationaux ou bilatéraux sur la cybersécurité, la lutte contre la cybercriminalité ou la protection des données ».
Plus loin, dans le chapitre lié à la sécurité, la confidentialité et la résilience, le texte indique que la sécurité et les évaluations de risque des vendeurs et des technologies doivent tenir compte de l'État de droit, de l'environnement sécuritaire, des malversations des vendeurs et du respect avec des normes ouvertes, interopérables et sûres ainsi que des bonnes pratiques de la profession.
L'intervention remarquée du Royaume-Uni
Lors de son intervention, le commissaire chargé de l'Union de la sécurité, Julian King, a rappelé le calendrier fixé par l'UE : 1) d'ici la fin juin, des évaluations (techniques et non techniques) nationales ; 2) d'ici à octobre, un cadre européen ; 3) d'ici la fin de l'année, la présentation par la Commission d'une boîte à outils permettant d'atténuer les risques. Il a aussi indiqué, avant que la vidéo ne s'interrompe brutalement pour ne jamais repartir, que ladite recommandation ne ciblait pas un pays spécifique ou une compagnie en particulier, sous-entendu la Chine et Huawei.
Mais c'est l'intervention de Ciaran Martin, le directeur général du centre britannique de cybersécurité (CSC) qui a été la plus remarquée après la décision de Theresa May, la veille, de limoger son ministre de la Défense, qu'elle accuse d'avoir fait fuiter des informations sur le comportement que Londres compte adopter vis-à-vis de Huawei (EUROPE 12246/12). « Le gouvernement britannique envisage actuellement de revoir son cadre politique. Il est au milieu d'une procédure menée par son département numérique, procédure qui n'est pas encore terminée », a-t-il fait savoir, coupant court aux rumeurs selon lesquelles le Royaume-Uni aurait déjà décidé d'autoriser Huawei. Et d'ajouter : « La technologie 5G est importante, mais elle est complexe. Les détails comptent : la géographie, le contexte, la densité de population. Il n'y a pas de raison de paniquer : oui, il y a une menace, mais nous savons que laisser place à la peur est mauvais pour la cybersécurité, pour la confiance dans l'économie numérique. Nous devons faire face à cette peur et promouvoir une gestion des risques rationnelle. »
La déclaration de Prague peut être consultée sur : https://bit.ly/2GZoypF. (Sophie Petitjean)