L’Office national pour la cybersécurité et la sécurité de l’information (NÚKIB) prépare un projet de loi qui pourrait exclure les fournisseurs chinois des réseaux cellulaires tchèques. Mais selon certains opérateurs de téléphonie mobile, la principale motivation est la politique plutôt que la cybersécurité.
La loi sur la sécurité de la chaîne d’approvisionnement des infrastructures stratégiques de l’État est en cours de préparation par NÚKIB à l’initiative du Conseil de sécurité de l’État, qui l’a invité à le faire en juin dernier. L’objectif de la loi devrait principalement limiter la participation d’acteurs potentiellement nuisibles dans les infrastructures critiques de la République tchèque.
Fournisseurs et infrastructure stratégique non fiables
« La loi contiendra des mécanismes pour vérifier la fiabilité de la sécurité des fournisseurs. Cela devrait permettre au pays de détecter les fournisseurs non fiables des éléments technologiques les plus importants, l’infrastructure dite stratégique de la République tchèque, d’évaluer le niveau de risque associé à ces fournisseurs et, si le risque est élevé, de limiter l’utilisation de ces fournisseurs au sein d’une infrastructure donnée. « , a expliqué le porte-parole de NÚKIB, Marek Vala, à SZ Byznys.
Dans la pratique, les restrictions imposées aux fournisseurs à haut risque peuvent créer des problèmes, en particulier pour les opérateurs mobiles. Les grands fournisseurs de l’espace des réseaux mobiles 5G sont des entreprises chinoises, qui sont potentiellement considérées comme des fournisseurs dangereux.
La forme exacte des critères selon lesquels NÚKIB décidera si un fournisseur particulier constitue une menace pour la sécurité des infrastructures critiques est inconnue. Selon le porte-parole, les questions sont, par exemple, de savoir si des sanctions internationales ont été imposées au pays ou au fournisseur, si le fournisseur a déjà fait de l’espionnage au profit d’un pays étranger, ou si le fournisseur appartient au pays qui ont mené des cyberattaques en République tchèque ou chez ses alliés. »
Basé dans l’UE ou l’OTAN
Des paramètres plus clairs sont fournis par les Recommandations pour l’évaluation des fournisseurs de technologie de confiance pour les réseaux 5G publiées par NÚKIB en collaboration avec le ministère tchèque. Il divise les exigences en trois parties principales – les critères stratégiques, commerciaux et techniques de sécurité. Et ce sont ces critères qui peuvent guider les opérateurs dans la direction que prendra la législation à venir.
Selon les recommandations stratégiques, les fournisseurs de confiance sont principalement basés dans l’un des pays membres de l’UE ou de l’OTAN. Au premier point de la recommandation, les entreprises chinoises comme Huawei ou ZTE, basées à Shenzhen, en Chine, sont hors de l’équation.
D’autres recommandations portent par exemple sur la transparence du financement, l’indépendance vis-à-vis de l’État ou des paramètres techniques assurant la sécurité de certains composants.
Cybermenaces versus géopolitique
Richard Stonavský, vice-président des relations extérieures de Vodafone, a critiqué l’approche : « Si vous souhaitez fermer un réseau dans un hôpital, par exemple, cela risque davantage de se produire par le biais d’une cyberattaque. La question est de savoir si les cybermenaces sont plus probables lorsque vous possédez le matériel de l’entreprise A ou de l’entreprise B. Les cyberattaques peuvent venir d’une manière différente des appareils physiques – par exemple, par le biais d’e-mails avec pièces jointes. Le débat actuel ne prend pas en compte les risques actuels, qui sont plus cyber en la nature.’
Il a également vu que la méthode de résolution des problèmes de cybersécurité que NÚKIB voulait adopter était problématique. «Lorsque la réglementation interdit un fournisseur en particulier et que vous n’avez qu’un ou deux fournisseurs, cela a un impact significatif sur ce qui se passe ensuite. Il existe actuellement deux à trois fournisseurs dans le domaine des réseaux 5G. Cependant, dans certains pays européens, même un fournisseur non chinois sur deux est également éliminé. Il est donc très difficile de trouver des alternatives », a déclaré Stonavský.
Besoin de différencier
« Dans tous les cas, une interdiction complète des fournisseurs en vertu de la loi ne devrait s’appliquer qu’aux fournisseurs les plus risqués et uniquement en ce qui concerne les infrastructures qui pourraient réellement menacer ces fournisseurs », a assuré un porte-parole du NÚKIB.
Par conséquent, il est également important de distinguer quelles infrastructures seront couvertes par l’interdiction. Le réseau mobile est principalement divisé en deux parties – centrale et périphérique. « Le plus critique est le cœur du réseau, qui contient des informations sur les abonnés, contrôle les stations de base terminales ou accorde diverses autorisations. Vodafone a décidé il y a des années de ne pas utiliser certains fournisseurs dans cette partie du réseau. En République tchèque, nous avons un réseau noyau d’Ericsson », a expliqué Stonavský.
Selon Stonavský, les parties périphériques, telles que les stations de base finales, sont moins risquées, d’autant plus qu’elles ne font que ce avec quoi le noyau est livré. Enfin et surtout, ils ne servent également des unités qu’à des dizaines d’utilisateurs, contrairement au noyau, qui s’adresse à tous les abonnés et utilisateurs.
Qu’en est-il de l’opérateur
Le premier bénéficiaire de la facture est l’opérateur du réseau 5G, c’est-à-dire l’opérateur mobile. Si un fournisseur est identifié comme non fiable, l’opérateur doit s’assurer que les pièces sont remplacées par d’autres pièces sûres.
Selon NÚKIB, des négociations sont en cours entre les parties concernées. « La loi est actuellement en cours de négociation et de préparation. Cependant, en raison de leur sensibilité, nous ne pouvons pas commenter leurs progrès ou leur contenu », a déclaré la porte-parole de presse d’O2, Veronika Zachariašová, à propos du statut juridique.
Ni Vodafone ni T-Mobile n’ont été informés de la facture. « Actuellement, nous n’avons pas de déclaration officielle de NÚKIB dans le libellé de la loi », a déclaré à SZ Byznys le responsable de la sécurité d’entreprise de T-Mobile, Jakub Ludvík.
« Certified introvert. Devoted internet fanatic. Subtly charming troublemaker. Thinker. »