Depuis mars de cette année, les États membres de l'UE ont pris des mesures concrètes pour soutenir une approche à l'échelle de l'UE pour sécuriser les réseaux 5G, en commençant par une évaluation conjointe des risques qui doit être diffusée ce mois-ci. Le rapport mettra probablement en lumière les points de vue et les expériences des États membres sur les actifs, les menaces et les vulnérabilités liés à l'infrastructure 5G et constituera la base d'une «boîte à outils» pour atténuer les nouveaux risques.
Comme nous l'avons souligné dans plusieurs rapports ECIPE, la 5G offre des avantages sans précédent, tout en exposant la société à de nouvelles menaces économiques, techniques et géostratégiques. De tels risques sont raisonnablement isolés dans les réseaux d'aujourd'hui par des moyens techniques, la complexité de la 5G rend nos réseaux plus vulnérables aux erreurs humaines, aux acteurs des menaces et aux défauts de conception.
Il met en évidence une nouvelle question de confiance: sommes-nous convaincus qu'un fournisseur mettra en avant les intérêts des opérateurs, des utilisateurs et de l'Europe – quelles que soient les conditions ou les circonstances? Contrairement à la sécurité qui peut être vérifiée en testant l'équipement, la confiance ne peut pas être «testée» techniquement.
(Cliquez ici pour agrandir l'image)
Ce qui a mûri dans le débat européen, c'est que la «sécurité» et la «confiance» sont en fait deux concepts distincts et séparés – et un fournisseur 5G doit cocher les deux cases. Un déficit de confiance ne peut pas être atténué par les ingénieurs ou les codeurs – et parfois même pas par le fournisseur lui-même. La nouvelle boîte à outils de l'UE contiendra des outils pour faire face à de telles situations en cas de perte de confiance.
Certains pays européens (notamment la France, le Royaume-Uni, l'Allemagne) ont pris des mesures législatives en vertu de leur législation nationale pour faire face au problème du déficit de confiance. Ces mesures comprennent (et combinent), la diversification des fournisseurs (interdiction à un fournisseur d'établir un monopole sur un réseau ou une «monoculture») ou l'exclusion de fournisseurs non fiables dans des zones géographiques sensibles et des parties du réseau (telles que les fonctions principales du réseau) . Pourtant, la diversification et l'exclusion partielle limitent simplement les dommages potentiels dus à des violations ou des perturbations, mais n'éliminent pas les risques.
Pendant que nous travaillons sur une publication à paraître sur les risques 5G, nous avons développé les schémas suivants pour illustrer les distinctions entre les problèmes de confiance et de sécurité et ce que leurs différences impliquent en termes de responsabilités et de méthodes d'atténuation.
