EU coordinated risk assessment of the cybersecurity of 5G networks - report from the EU

"EU coordinated risk assessment of the cybersecurity of 5G networks" - report from the EU. NIS Cooperation Group. 9 October 2019.

Retenons quelques lignes de la conclusion de ce rapport:

- avec les réseaux 5G, la surface d'attaque va augmenter considérablement

- la place du logiciel va être plus importante dans la 5G qu'elle ne l'était dans les générations précédentes, ouvrant la porte à de nouveaux risques

- les opérateurs de réseau mobiles seront encore plus dépendants de leurs fournisseurs

- avec la 5G, il y aura donc plus d'opportunités pour des cyber-agresseurs, en particulier de pays non-européens: " This will, in turn, increase the number of attacks paths that could be exploited by threat actors, in particular non-EU state or state-backed actors, because of their capabilities (intent and resources) to perform attacks against EU Member States telecommunications networks, as well as the potential severity of the impact of such attacks".

 

Cette lecture du paysage international peut surprendre. Car elle revient à dire que les Etats membres constitueraient un espace uniquement visé par des attaques venant de l'extérieur.

Pour diminuer les risques il conviendrait d'être prudent quant aux choix des prestataires. Mais encore faudrait-il que des solutions européennes existent, soient assez nombreuses pour constituer des alternatives à des solutions provenant de pays non membres de l'UE. On lit ici, sans que ne soit utilisé le terme dans le rapport, le souhait de technologies souveraines.

 

Europe diverging on critical infrastructure cybersecurity approach

La directive européenne NIS de 2016 semble avoir fait l'objet d'interprétations et mises en application diverses au sein de l'UE. Les Etats n'ont pas su s'entendre sur des définitions communes, sur le périmètre des services essentiels. Les systèmes organisant la cybersécurité sont souvent encore trop complexes. Quant aux sanctions, elles ne sont pas, elles non plus, harmonisées d'un Etat à l'autre. Il en résulte donc une Europe de la cybersécurité divisée. Tels sont les constats que formule un rapport que vient de publier la Commission Européenne (octobre 2019).

 

Le rapport publié le 28 octobre 2019: "Report assessing the consistency of the approaches in the identification of operators of essential services" ou Rapport de la Commission au Parlement Européen et au Conseil, évaluant la cohérence de l'approche adoptée par les États membres pour identifier les opérateurs de services essentiels conformément à l’article 23, paragraphe 1 de la directive 2016/1148/UE concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union". 36 pages.

 

Le rapport en anglais.

 

Le billet de Robert Hart, Europe diverging on critical infrastructure cybersecurity approach, 29 octobre 2019

Projet ANR "UTIC"

A signaler la parution du 8ème et dernier livrable du projet UTIC (ANR). Ce dernier rapport, signé par le prof. Sébastien-Yves Laurent est intitulé "Les gouvernances mondiales fragmentées de l'internet". (25 septembre 2019). L'ensemble des 8 livrables est accessible sur le site du projet UTIC. Accès au site.

Résumé du livrable 8 : "Ce livrable prend pour objet les discours, les pratiques et les structures de gouvernance à l’échelle mondiale de l’Internet. Les deux premières parties sont un état des lieux diachronique de la gouvernance du réseau, bâti aux Etats-Unis (1re partie), qui s’est ensuite mondialisé, favorisant l’intervention de l’ONU avec une vision multilatéralisée de la gouvernance (2e partie). On souligne ensuite la faiblesse de la gouvernance en raison de tentatives inégalement abouties de réguler l’Internet par du hard law, laissant la place au règne des normes et du soft law (3e partie). A cela s’ajoutent la forte polarisation du débat international sur le cyber par les enjeux de cybersécurité (4e partie) et l’échec d’une gouvernance globale par rapport aux idées initiales des Nations Unies (5e partie). L’ensemble a abouti à des gouvernances mondiales fragmentées de l’Internet qui constituent l’un des traits du système international actuel (2019)".