Les États membres ont publié, mercredi 9 octobre, un « rapport de consensus » sur la sécurité des réseaux 5G. Comme EUROPE l'annonçait déjà la semaine passée, ce document se refuse de nommer directement Huawei au rang des menaces (EUROPE 12340/9). Toutefois, il note que la menace la plus importante provient d'acteurs étatiques ou soutenus par un État tiers.
« Certains commentaires ont dit que c’était une faiblesse de ne pointer personne. Mais moi, à l’inverse, je trouve que c’est une force : nous sommes résolus à ne pas mettre la charrue avant les bœufs et nous avons décidé de nous lancer dans une analyse fondée sur les preuves », a indiqué, en conférence de presse, le commissaire européen à la Sécurité, Julian King.
Une conclusion immédiatement saluée par Huawei, qui souligne, dans son communiqué de presse, qu'en plus d'être une entreprise privée, elle est très engagée en matière de sécurité (sous-entendu, quoi qu'en disent les Américains).
Une évaluation commune « très vague »
Ce document, rédigé par les États membres en coopération avec la Commission européenne et l'Agence de cybersécurité (ENISA), s'appuie sur l'évaluation des risques qu'a menée chaque État membre sur son territoire (EUROPE 12300/5). Il met en avant le fait que les réseaux de cinquième génération présentent plus de points d'entrée pour une attaque, notamment via les mises à jour requises par les logiciels et la décentralisation des fonctionnalités aux extrémités du réseau, et le risque de dépendance des opérateurs vis-à-vis des fournisseurs de réseau.
Il note que plusieurs États membres ont identifié que « certains pays non membres de l'UE constituaient une menace cybernétique particulière pour leurs intérêts nationaux, sur la base du mode opératoire utilisé par le passé par certaines entités ou de l'existence d'un programme cybernétique offensif d'un État tiers spécifique contre eux ».
C'est en effet l'une des principales conclusions du rapport, qui indique que les acteurs tiers représentent la menace la plus importante, après la présence d'un 'initié' parmi les opérateurs télécoms (ou d'un subcontractant) qui serait susceptible de compromettre la confidentialité et la disponibilité du réseau ou encore l'action d'un groupe du crime organisé qui compromettrait la confidentialité des réseaux. Pourquoi ? Parce que ce sont eux qui sont les plus à même d'avoir « la motivation, l'intention et, surtout, la capacité de conduire des attaques persistantes et sophistiquées sur les réseaux 5G (...) Ces acteurs peuvent causer des pannes à grande échelle et entraîner d'importantes perturbations en exploitant des fonctions non documentées ou en attaquant des infrastructures critiques interdépendantes ».
Huawei dans le viseur
Cette évaluation coordonnée doit évidemment être lue dans le contexte du conflit (politique et commercial) qui oppose aujourd'hui les États-Unis à la Chine. L'administration Trump fait en effet campagne depuis plusieurs mois contre Huawei, qu'elle accuse de mener des activités d'espionnage pour le compte des autorités chinoises. Elle a d'ailleurs placé l'équipementier et ses filiales sur liste noire, empêchant ainsi les entreprises américaines de commercer avec le groupe, et a choisi d'empêcher les agences fédérales américaines d'acquérir du matériel Huawei (EUROPE 12331/7).
Dans le rapport des Européens, Huawei est seulement cité une seule fois, lorsque les États membres listent les principaux fournisseurs de réseaux. « Certains de ces fournisseurs ont leur siège dans l’UE (Ericsson et Nokia), tandis que d'autres sont basés hors de l'UE. Leur gouvernance d'entreprise présente des différences notables, par exemple, en termes de niveau de transparence et de type de structure de propriété ». Parmi les fournisseurs étrangers, seuls les chinois Huawei et ZTE sont cités, quand l'américain Cisco, également cité, propose seulement un réseau d'accès radio virtualisé.
Les États-Unis en embuscade
À une question d'une journaliste espagnole s'interrogeant sur le risque d'espionnage des sociétés américaines, le commissaire King a indiqué qu'il ne s'épancherait pas plus sur les entreprises américaines que sur les chinoises. Il a tout de même lâché : « Nous avons des arrangements avec les États-Unis, où les citoyens européens ont des possibilités de recours ». De son côté, la Présidence finlandaise, à la tête du groupe de travail chargé de cette évaluation (le groupe de coordination NIS), a indiqué que le document avait été élaboré sans intervention d'un pays tiers. « Les États-Unis ont demandé à pouvoir informer les États membres et cette possibilité, qui existe aussi pour d'autres États, leur a été accordée ».
Soulignons que le groupe de coordination NIS est présidé par la Finlande, aux côtés des Pays-Bas, de la Roumanie, de la France, de la République tchèque, de l'Estonie et de l'Italie, qui ont manifesté un intérêt pour la question.
Des mesures plus concrètes en décembre
Ce rapport d'évaluation, prévu par la recommandation de mars 2019 de la Commission, ne représente cependant qu'une étape dans le processus de réflexion européen (EUROPE 12222/23). Il doit être complété, dans les prochaines semaines, par une analyse de l'Agence européenne de cybersécurité. D'après une source proche du dossier, cette étude portera davantage sur les aspects techniques de la sécurité des réseaux. Lors de la conférence de presse, la commissaire Mariya Gabriel, chargée de l'Économie et la Société numériques, a aussi fait savoir que l'organe des régulateurs européens des communications allait également publier son avis.
Finalement, le processus devra aboutir à l'élaboration d'une boite à outils de mesures destinées à gérer les risques possibles d'une manière « appropriée, effective et proportionnée », en vue d'atténuer les risques identifiés par les États membres. Il s'agira de mesures à destination tant des États membres que des opérateurs de télécommunications.
« Il reviendra aux États membres de prendre leurs responsabilités : s'ils prennent des mesures en ligne avec notre évaluation, ils auront des arguments clairs pour les justifier. S'ils veulent prendre une autre direction, ils devront s'expliquer publiquement », a commenté le commissaire King.
Dans ce qui ressemble à un conflit sino-américain, aucun État membre n'a encore officiellement pris position. Mais la Pologne a clairement semblé pencher vers un côté en signant, début septembre, un accord bilatéral avec les États-Unis, qui souligne la nécessité de n'autoriser que des acteurs « fiables et dignes de confiance ». Lien vers le rapport : http://bit.ly/2M3MB9D (Sophie Petitjean)