5G et enjeux de cybersécurité

Selon l’Agence nationale des fréquences (ANFR), la 5G “se distingue des générations précédentes en ce qu’elle vise, dès sa conception, à intégrer un nombre de cas d’usages inédits”. Ainsi, la 5G va permettre le développement de nouveaux usages et nouveaux services numériques, qui vont soulever de nouveaux enjeux en matière de cybersécurité. Ces derniers ne doivent pas être négligés.

 

 

Qu’est-ce que la 5G et qu’apporte-t-elle ?

 

« 5G » désigne la cinquième génération de réseaux cellulaires sans fil. Ces dernières années, l’évolution des quatre premières générations (1G à 4G) a permis un niveau de connectivité sans précédent. La 5G vise à poursuivre cette connectivité très haut débit, et répond à une demande croissante de données résultant de l’essor des technologies connectées.

 

En effet, la 5G bénéficie de plusieurs qualités techniques importantes ayant chacune des incidences non négligeables pour les technologies connectées :

 

 

Quels sont les risques en matière de cybersécurité ?

 

La 5G va donc servir de base au développement de nouveaux usages dans une grande variété de domaines : santé, divertissement, industrie, éducation, etc. Ses qualités techniques vont permettre le développement de systèmes répondant à une puissance numérique élevée, hyperconnectés et ayant des incidences concrètes sur le monde physique.

Le développement de l’internet des objets (ou IoT) dans ces multiples secteurs expose toutefois leurs utilisateurs a des risques accrus de cyberattaques (intrusion, usurpation d’identité, espionnage, faille de sécurité, etc.)

Certaines autorités nationales se montrent également inquiètes d’un risque de backdoor (portes dérobées) permettant un accès aux données, voire d’un risque de prise de contrôle à distance. L’exemple du Cloud Act (2018) américain qui autorise la justice américaine à accéder à toutes les données des entreprises ayant une activité aux États-Unis est frappant en la matière. Des enjeux de défense nationale se posent donc également.

 

 

Comment contrer ces risques ?

 

Il convient tout d’abord de noter que le réseau 5G aspire à être plus sécurisé que les réseaux des générations précédentes, et la décentralisation du réseau 5G permet d’adapter le niveau de sécurité aux risques de chaque secteur/utilisateur. Toutefois, compte-tenu des multiples applications qui vont reposer sur les réseaux 5G, cela doit être accompagné de mesures préventives complémentaires pour tous les acteurs concernés.

 

Pour ce qui concerne la sécurité des équipements de télécommunication, la France requiert que tout nouvel équipement soit approuvé par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) (Loi n° 2019-810 du 1er août 2019 visant à préserver les intérêts de la défense et de la sécurité nationale de la France dans le cadre de l’exploitation des réseaux radioélectriques mobiles).

Par ailleurs et étant donné la quantité d’appareils/applications/services qui reposeront sur ces réseaux 5G (et la densité de connexion, puisque cela vise à concerner des milliers d’appareils au m²), il convient également d’appliquer une sécurité renforcée à tous les appareils d’IoT  et aux capteurs communiquant avec ces appareils. Le nombre croissant d’appareils connectés implique un nombre croissant de portes d’entrée sur le réseau : télévisions, serrures, chauffages connectés, etc. ainsi qu’une machine à café comme illustré par un chercheur en sécurité informatique ayant exploité une faille au niveau de la liaison Wifi et du programme de mise à jour de l’appareil ou encore des ampoules connectées.

 

Si ces appareils ne sont pas suffisamment protégés contre les cyberattaques, de nombreux risques peuvent se poser : atteintes à la vie privée, atteintes aux personnes, etc.

Les fabricants vont devoir procéder à une véritable analyse des risques et mettre en point des mesures pour assurer la sécurité de leurs appareils : chiffrement, surveillance, etc. Cette sécurité doit être testée et évaluée régulièrement. Les recommandations des autorités compétentes en la matière doivent être une base a minima de mise et de maintien en conformité.

Ces mesures doivent s’accompagner d’une gestion contractuelle du risque : relation avec les clients/utilisateurs mais aussi, et surtout peut être, relation avec les sous-traitants et prestataires. Il convient d’être en mesure d’évaluer le niveau de sécurité des sous-traitants et prestataires qui interviennent sur les appareils connectés et sur vos systèmes d’information, d’imposer aux sous-traitants et prestataires des exigences adaptées aux risques, et de veiller à l’application des mesures de sécurité appropriées.

 

Les conséquences des cyberattaques en matière d’objets connectés peuvent avoir des impacts conséquents au regard de la mise en cause de la responsabilité des acteurs au titre de leurs fautes, défaillance ou négligence, que cela concerne des sanctions CNIL pour défaut de sécurité ou des demandes d’indemnisation provenant d’utilisateurs ou de tiers affectés, notamment.

 

Le Pôle « IT, Cybercriminalité & data protection » d’AGIL’IT se tient à votre disposition pour vous accompagner dans vos démarches de prévention du risque cyber, de mise en conformité au regard de la règlementation applicable et des recommandations en matière de prévention de la cybermalveillance ainsi que pour la gestion de vos crises cyber.

 

Par AGIL’IT – Pôle ITTélécoms & Data protection

Sylvie JONAS, Avocate associée

Morgane BOURMAULT, Avocate