Les États membres de l’UE, avec le soutien de la Commission européenne et de l’ENISA, l’Agence de l’UE pour la cybersécurité, ont publié ce jour un rapport sur la cybersécurité du RAN ouvert. Ce nouveau type d’architecture de réseau 5G offrira, dans les années à venir, une méthode alternative de déploiement de la partie accès radio des réseaux 5G fondée sur des interfaces ouvertes. Il s’agit là d’une nouvelle étape importante dans les travaux coordonnés au niveau de l’UE sur la cybersécurité des réseaux 5G, qui témoigne d’une ferme volonté de continuer à répondre conjointement aux défis des réseaux 5G en matière de sécurité et de suivre l’évolution de la technologie et de l’architecture 5G.
Les citoyens et les entreprises de l’UE utilisant les applications sophistiquées et innovantes rendues possibles par la 5G et les futures générations de réseaux de communications mobiles devraient pouvoir bénéficier des normes de sécurité les plus élevées. Dans le prolongement des travaux coordonnés déjà menés au niveau de l’UE pour renforcer la sécurité des réseaux 5G grâce à la boîte à outils de l’UE pour la cybersécurité de la 5G, les États membres ont analysé les implications du RAN ouvert sur la sécurité.
Margrethe Vestager, vice-présidente exécutive pour une Europe adaptée à l’ère du numérique, a déclaré: « Notre priorité et notre responsabilité communes consistent à assurer le déploiement en temps utile des réseaux 5G en Europe, tout en veillant à ce qu’ils soient sûrs. Les architectures « RAN ouvert » créent de nouvelles possibilités sur le marché, mais le rapport d’aujourd’hui montre qu’elles posent également des problèmes de sécurité importants, en particulier à court terme. Il sera important que tous les participants consacrent suffisamment de temps et d’attention à l’atténuation de ces problèmes, afin que les promesses du RAN ouvert puissent devenir réalité. »
Thierry Breton, commissaire au marché intérieur, a déclaré quant à lui: « Avec le déploiement du réseau 5G dans l’ensemble de l’UE, et alors que nos économies dépendent de plus en plus des infrastructures numériques, il est plus important que jamais d’assurer un niveau élevé de sécurité de nos réseaux de communication. C’est ce que nous avons fait avec la boîte à outils pour la cybersécurité de la 5G. Et c’est ce que nous faisons aujourd’hui, avec les États membres, en présentant ce nouveau rapport, à propos du RAN ouvert. Le choix d’une technologie n’appartient pas aux pouvoirs publics. Mais il est de notre responsabilité d’évaluer les risques associés aux différentes technologies. Ce rapport montre que le RAN ouvert offre un certain nombre de possibilités, mais aussi que cette technologie pose des problèmes de sécurité non négligeables qui restent sans réponse et ne doivent pas être sous-estimés. Le déploiement potentiel du RAN ouvert dans les réseaux 5G européens ne devrait en aucun cas entraîner de nouvelles vulnérabilités. »
Guillaume Poupard, directeur général de l’Agence nationale française de cybersécurité (ANSSI), a déclaré: « Après la boîte à outils de l’UE sur la cybersécurité 5G, ce nouveau rapport marque une nouvelle étape dans les efforts déployés par le groupe de coopération SRI en matière de coordination et d’atténuation des risques pour la sécurité de nos réseaux 5G. Cette analyse approfondie du RAN ouvert en matière de sécurité contribue à faire en sorte que notre approche commune suive le rythme des nouvelles tendances et des problèmes de sécurité qui y sont associés. Nous poursuivrons nos efforts pour relever ensemble ces défis. »
Le rapport conclut que le RAN ouvert pourrait présenter des opportunités en matière de sécurité, pour autant que certaines conditions soient remplies. Grâce à une plus grande interopérabilité entre les composants RAN issus de fournisseurs différents, le RAN ouvert pourrait permettre une plus grande diversification des fournisseurs au sein de réseaux situés dans la même zone géographique. Cela pourrait contribuer à la mise en œuvre de la recommandation de la boîte à outils de l’UE pour la 5G, selon laquelle chaque opérateur devrait disposer d’une stratégie multifournisseur appropriée pour éviter ou limiter toute dépendance majeure à l’égard d’un seul fournisseur. Le RAN ouvert pourrait également contribuer à accroître la visibilité du réseau grâce à l’utilisation d’interfaces et de normes ouvertes, à réduire les erreurs humaines grâce à une automatisation accrue et à accroître la flexibilité grâce au recours à la virtualisation et à des solutions en nuage.
Toutefois, le concept de RAN ouvert manque encore de maturité et la cybersécurité reste un défi de taille. En particulier à court terme, en augmentant la complexité des réseaux, le RAN ouvert aggraverait un certain nombre de risques pour la sécurité. Parmi ces risques figurent une surface d’attaque plus grande et davantage de points d’entrée pour les acteurs malveillants, un risque accru de mauvaise configuration des réseaux et des incidences potentielles sur d’autres fonctions de réseau en raison du partage des ressources. Le rapport note également que les spécifications techniques, telles que celles élaborées par l’alliance O-RAN, ne sont pas suffisamment matures ni sécurisées dès leur conception. Le RAN ouvert pourrait entraîner des dépendances critiques nouvelles, ou aggraver des dépendances existantes, par exemple dans le domaine des composants et de l’informatique en nuage.
Afin d’atténuer ces risques et de tirer parti des possibilités potentielles du RAN ouvert, le rapport recommande un certain nombre d’actions fondées sur la boîte à outils de l’UE pour la 5G, en particulier:
- recourir aux pouvoirs réglementaires pour pouvoir contrôler les plans de déploiement du RAN ouvert à grande échelle par les opérateurs mobiles et, si nécessaire, restreindre, interdire et/ou imposer des exigences ou conditions spécifiques pour la fourniture, le déploiement à grande échelle et l’exploitation de l’équipement du réseau de RAN ouvert;
- renforcer les contrôles techniques clés tels que l’authentification et l’autorisation, et adapter la conception de la surveillance à un environnement modulaire dans lequel chaque composant est surveillé;
- évaluer le profil de risque des fournisseurs de RAN ouvert, des prestataires de services externes liés au RAN ouvert, des fournisseurs de services/d’infrastructures en nuage et des intégrateurs de systèmes, et étendre à ces prestataires les contrôles et restrictions applicables aux prestataires de services gérés;
- remédier aux lacunes dans l’élaboration des spécifications techniques: le processus devrait respecter les principes fondateurs de l’Organisation mondiale du commerce (OMC)/des obstacles techniques au commerce (OTC) pour l’élaboration de normes internationales[1] et les lacunes en matière de sécurité devraient être comblées;
- inclure les composantes du RAN ouvert au stade le plus précoce possible dans le futur système de certification de cybersécurité de la 5G, en cours d’élaboration.
En ce qui concerne la préservation et la consolidation des capacités de l’UE sur ce marché, il convient de maintenir une réglementation neutre sur le plan technologique pour stimuler la concurrence. Dans ce cadre, les financements européens et nationaux en faveur de la recherche et de l’innovation dans le domaine de la 5G et de la 6G pourraient être utilisés pour aider les acteurs de l’UE à se concurrencer sur un pied d’égalité. Au-delà du RAN, il importe également de remédier aux dépendances potentielles ou au manque de diversité dans l’ensemble de la chaîne de valeur de la communication aux fins de la diversification de l’approvisionnement.
D’une manière générale, le rapport recommande une approche prudente pour progresser vers cette nouvelle architecture. Toute coexistence avec des technologies fiables existantes et toute transition à partir de ces technologies devraient laisser suffisamment de temps et de ressources pour évaluer les risques à l’avance, mettre en œuvre des mesures d’atténuation appropriées et définir clairement les responsabilités en cas de défaillance ou d’incident.
Contexte
Le déploiement en temps utile de réseaux 5G sécurisés est une priorité majeure pour l’Union européenne. Pour contribuer à cet objectif, les États membres de l’UE, avec le soutien de la Commission européenne et de l’ENISA, ont élaboré une approche concertée de la cybersécurité des réseaux 5G. Grâce à cette approche concertée, les États membres de l’UE ont évalué conjointement les principaux risques liés aux réseaux 5G (« Évaluation coordonnée des risques au niveau de l’UE ») et ont défini une approche globale et fondée sur les risques sous la forme de la boîte à outils de l’UE pour la 5G adoptée en janvier 2020. La boîte à outils de l’UE pour la 5G recommande un ensemble de mesures communes d’atténuation des risques.
La boîte à outils de l’UE pour la 5G comprend des mesures stratégiques et techniques et des actions correspondantes visant à renforcer leur efficacité. Les principales mesures proposées visent à renforcer les exigences de sécurité, évaluer les profils de risque des fournisseurs, appliquer des restrictions utiles aux fournisseurs considérés comme à haut risque, y compris en procédant aux exclusions nécessaires pour les actifs essentiels considérés comme critiques et sensibles (tels que les fonctions de cœur de réseau), et mettre en place des stratégies pour assurer la diversification des fournisseurs.
Afin de poursuivre et d’approfondir le processus de coordination de l’UE en matière de cybersécurité de la 5G, la stratégie de cybersécurité de l’UE de décembre 2020 repose sur trois objectifs clés: 1) assurer une plus grande convergence des approches en matière d’atténuation des risques dans l’ensemble de l’UE, 2) soutenir l’échange continu de connaissances et le renforcement des capacités, et 3) promouvoir la résilience de la chaîne d’approvisionnement et d’autres objectifs de sécurité stratégique de l’UE.
Dans le cadre de ces objectifs clés, le groupe de coopération SRI continuera à suivre et à évaluer les questions liées aux nouvelles tendances et aux évolutions dans la chaîne d’approvisionnement de la 5G. Étant donné que le RAN ouvert correspond à une tendance du marché dans l’évolution des architectures 5G et 6G, les États membres ont décidé de procéder à une analyse approfondie des implications du RAN ouvert en matière de sécurité, afin de compléter l’analyse coordonnée des risques liés à la 5G.
Le communiqué est à retrouver ici.
