La Commission européenne s'apprête à publier, le 9 octobre, son évaluation coordonnée des risques pesant sur les infrastructures 5G. Le projet de texte consulté par EUROPE, auquel les États membres étaient invités à réagir une ultime fois, identifie les « acteurs étatiques ou soutenus par un État » comme les plus dangereux (niveau 5, soit le plus élevé).
Le document ne fait pas explicitement référence à Huawei, uniquement cité dans la liste des équipementiers, l'une des deux catégories d'acteurs jugées les plus à même de porter atteinte à la cybersécurité. C'est toutefois bien de cette entreprise chinoise qu'il s'agit principalement dans cette analyse.
Neuf scénarios de risque
Le document fait suite à l'analyse des risques réalisée par chaque État membre sur son territoire, conformément à la recommandation de la Commission (2019/534) publiée en mars (EUROPE 12326/14). Il identifie 7 catégories d'acteurs en fonction de leurs capacités (ressources) et de leurs motivations, parmi lesquelles les acteurs étatiques ou soutenus par un État « dont les motivations sont avant tout politiques ». « Les menaces posées par des États ou des acteurs soutenus par les États sont perçues comme étant de la plus haute pertinence. Ils représentent en effet les acteurs potentiels de menaces les plus graves et les plus probables, car ils peuvent avoir la motivation, l'intention et surtout la capacité de mener des attaques persistantes et sophistiquées sur la sécurité des réseaux 5G », note le document, qui souligne que plusieurs États membres ont identifié que certains pays non membres de l'UE constituaient une menace cybernétique particulière pour leurs intérêts nationaux.
Le projet de texte avance aussi 9 scénarios de risques liés tant à l'insuffisance des mesures de sécurité mises en œuvre par les opérateurs de réseau mobile qu'à la chaîne logistique 5G, en passant par le mode de fonctionnement des acteurs menaçants, par l'interdépendance entre réseaux 5G et autres systèmes critiques ou encore aux risques liés aux appareils de l'utilisateur final. À nouveau, l'ombre des équipementiers chinois plane sur le document : selon le scénario 5, « un acteur étatique hostile exerce des pressions sur un fournisseur relevant de sa compétence pour lui donner accès à des actifs de réseau sensibles par le biais de vulnérabilités intégrées (intentionnellement ou non) ».
En conclusion, la Commission semble recommander d'identifier les lacunes potentielles dans les cadres et mécanismes d'application existants, allant de la mise en œuvre de la législation sur la cybersécurité au rôle de supervision des autorités publiques, en passant par le manque d'obligations et de responsabilités des opérateurs et des fournisseurs.
Une boîte à outils en décembre
La Commission européenne doit officiellement présenter son document le 9 octobre, après quoi elle poursuivra son évaluation avant de proposer une boîte à outils contenant des mesures d'atténuation. « Il est bien trop tôt pour venir avec des conclusions et dire que les mesures de décembre seront celles-ci ou celles-là », avait indiqué le commissaire à la sécurité, Julian King, lors d'un événement du Lisbon Council, le 24 septembre dernier. « Il y a tout un tas d'initiatives qui sont prises par les États membres, comme la préautorisation, l'évaluation, les obligations de transparence ou de durabilité. C'est le type de questions qui pourraient être sur la table. »
M. King avait par contre refusé de se prononcer sur le geste de Huawei de partager sa technologie 5G, du moins certains brevets, avec des entreprises américaines (EUROPE 12331/7). (Sophie Petitjean)