B. LA PLUPART DES ÉTATS ONT PRIS CONSCIENCE DES ENJEUX
Le nombre d'opérateurs qui dans le monde auront lancé commercialement la 5G en 2020 est estimé à 170 environ. Les États-Unis, la Corée du Sud, le Japon et l'Australie ont déjà lancé la 5G avec une dizaine d'opérateurs. Six pays en Europe ont déjà attribué les fréquences spécifiques à la 5G et 12 autres ont déjà attribué des fréquences utilisables en 5G. Le processus d'enchères des fréquences 5G est en cours en Allemagne. Treize autres pays d'Europe ont annoncé des enchères 5G entre mi 2019 et fin 2020. La grande majorité des pays d'Europe aura donc ainsi lancé commercialement la 5G avant fin 2020. La grande majorité des opérateurs de Chine, du reste de l'Asie et du Moyen Orient lanceront également la 5G à cette période.
La plupart des États ont pris conscience des enjeux de sécurité représentés par le déploiement des nouvelles technologies. Ces enjeux sont évidemment variables selon le développement économique des États et notamment le degré de numérisation de la société. Certains de ces enjeux sont de nature géostratégique car le saut technologique et les potentialités économiques qu'offrent la 5G sont susceptibles d'avoir un effet disruptif sur l'équilibre des puissances.
Les enjeux stratégiques du déploiement de la 5G interfèrent dès lors avec la simple question de la sécurité des réseaux et sont devenus une partie importante de la « guerre commerciale » que se livrent la Chine et les États-Unis, autour de la question de savoir si l'on peut avoir une égale ou suffisante confiance en tous les équipementiers. Cette question qui doit être envisagée selon des critères multiples s'est focalisée, notamment aux États-Unis sur les craintes que les équipements chinois puissent constituer des « chevaux de Troie » dans les systèmes d'information supercritiques que sont devenus les réseaux radioélectriques mobiles de 5 ème génération.
Cette question s'appuie sur le fait que la législation chinoise de 2017 fasse obligation aux entreprises ayant leur siège en Chine de collaborer avec les services de renseignement de ce pays et pour l'une d'entre elles, Huawei, sur le manque de transparence de son actionnariat et le soutien financier important dont elle a bénéficié de la part du gouvernement chinois, soit sous forme d'aides directes, soit sous forme de réduction d'impôt, soit sous forme de crédits à l'export très favorables. Ces doutes légitimes ont été résumés dans une récente étude de l'Institut Montaigne 35 ( * ) .
La position de la France, et de nombreux autres États européens, à laquelle correspond d'ailleurs celle de l'Union européenne, n'est pas la même que celle des États-Unis dans la valorisation de ce critère pour l'équipement des futurs réseaux.
1. États-Unis
L'approche américaine de la sécurité des réseaux de 5G est fondée sur la sélection et l'agrément des fournisseurs d'équipements.
Les administrations américaines successives expriment publiquement, depuis une dizaine d'années au moins, leurs fortes réticences à voir des équipements de réseaux américains fournis par l'industrie chinoise, dont les deux premiers acteurs du secteur sont Huawei et ZTE et font obstacle à certains investissements de ces entreprises 36 ( * ) , pression sur les opérateurs pour les dissuader d'utiliser des équipements 37 ( * ) , exclusion de certains projets 38 ( * ) ou marchés 39 ( * ) . Il ressort également des débats au Congrès et de la lecture de la presse américaine que les États-Unis envisagent d'interdire aux entreprises américaines d'utiliser des équipements d'origine chinoise dans les réseaux critiques de télécommunications 40 ( * ) .
De telles mesures ont déjà été prises en Australie, où Huawei et ZTE sont écartés de la construction des réseaux de 5G 41 ( * ) . Un refus d'installation formulé en Nouvelle-Zélande et les opérateurs japonais ont annoncé ne pas souhaiter s'appuyer sur des fournisseurs chinois pour leurs réseaux 5G. Les équipementiers chinois sont aussi absents des réseaux mobiles en Israël.
Enfin, les États-Unis déconseillent ouvertement à leurs alliés d'ouvrir l'équipement de leurs réseaux à des fournisseurs « non dignes de confiance » soulignant les « questions d'intégrité et de confidentialité des communications sensibles » et la menace que cela pourrait représenter pour la coopération et les échanges d'informations.
L'approche américaine de la sécurisation des réseaux de 5G fait ainsi une large part à la sélection d'équipementiers autres que chinois.
2. Allemagne
L'Allemagne travaille à l'élaboration de normes qui seront rendues obligatoires pour les équipements des réseaux 5G.
L'autorité allemande de régulation des télécommunications ( Bundesnetzagentur ) a en effet rendu publique, le 7 mars 2019, une liste de nouvelles exigences ou recommandations de sécurité, élaborées avec le concours de l'homologue allemand de l'ANSSI (BSI - Bundesamt für Sicherheit in der Informationstechnik ) qu'elle souhaite rendre applicable aux réseaux 5G. Cette liste met notamment l'accent sur des procédures de certification des équipements de télécommunication, et recommande aux opérateurs d'éviter la dépendance exclusive envers un fournisseur unique, et de s'appuyer sur des fournisseurs de confiance.
Ce travail est ambitieux, s'il veut tendre à l'exhaustivité ce qui serait nécessaire en termes de sécurité, et complexe dans la mesure où le développement de la technologie n'est encore totalement stabilisé et que celle-ci connaît des évolutions permanentes. Les travaux de standardisation de la 5G ne seront pas terminés avant fin 2019. Les équipementiers réalisent un travail de normalisation mais qui est loin d'être achevé et risque, au rythme du progrès technique, de ne pas être figé dans le temps. L'actualisation des normes sera donc nécessaire pour répondre à l'objectif de sécurité et de résilience.
Ce dispositif n'est par ailleurs pas utilisé à ce jour, dans la mesure où la liste publiée le 7 mars ne l'a été qu'afin d'engager des concertations avec l'industrie, et qu'elle ne prendra de portée contraignante qu'à l'issue de ces consultations, au plus tôt à l'automne. Les exigences et recommandations contenues dans cette liste nécessiteront vraisemblablement des précisions (définition de la notion de fournisseur de confiance) voire de conséquents travaux complémentaires (établissement d'un cadre de certification adapté) pour acquérir un réel caractère prescriptif.
3. Royaume-Uni
La question au Royaume-Uni est controversée au sein du gouvernement. La position britannique n'est pas totalement arrêtée oscillant entre des partisans d'un alignement sur les positions américaines et l'attitude pragmatique qui a conduit jusqu'à maintenant à l'ouverture du marché britannique aux produits chinois et l'autorité britannique en charge de la cybersécurité à travailler étroitement, mais sans complaisance avec les équipementiers. Cette pratique libérale de partenariats publics-privés a conduit à la mise en place de structures d'évaluation des équipements qui publient des rapports d'évaluation et éclairent les décisions des autorités britanniques. Ainsi le Huawei Cyber Security Evaluation Center (HCSEC) Oversight Board est un organisme, financé par le groupe Huawei à la demande du gouvernement britannique, présidé par le patron du Centre national de cybersécurité britannique (NCSC). Depuis 2010, il étudie les risques posés par son implication de ces fournisseurs dans l'équipement des réseaux de télécommunications du Royaume-Uni et procède à des expertises techniques des matériels et logiciels employés 42 ( * ) .
British Telecom a fait connaître publiquement son intention d'expurger les parties sensibles de ses réseaux de 3G et 4G des équipements chinois, et de ne pas y avoir recours pour une large part de son futur réseau de 5G, mais cette entreprise n'est pas le seul opérateur en Grande-Bretagne.
* 35 Mathieu Duchâtel et François Godement, « L'Europe et la 5G : le cas Huawei» Institut Montaigne mai 2019
* 36 Invocation de raisons de sécurité nationale pour s'opposer à la vente de la société américaine 3Com, spécialisée dans les équipements de réseaux, à Huawei en 2008
* 37 Vis-à-vis de l'opérateur Sprint pour la construction de son réseau de 4G en 2011
* 38 Huawei a été exclu du projet de câble sous-marin transatlantique Hibernia Express
* 39 En 2018, les autorités américaines ont interdit l'utilisation des équipements de Huawei et de ZTE dans les principaux réseaux des administrations publiques américaines.
* 40 Le président Donald Trump a adopté un executive order, daté du 15 mai 2019, visant à permettre au secrétaire américain du commerce d'interdire toute transaction portant sur l'acquisition ou la mise en oeuvre par une entité publique ou privée américaine de produits ou services dans le domaine numérique, dès lors que ces produits ou services reposeront sur une technologie contrôlée par un « adversaire étranger », et poseront un risque pour la sécurité nationale américaine (notamment, mais pas exclusivement, pour la résilience et la sécurité d'infrastructures critiques). Cette décision appelle des travaux subséquents de déclinaison concrète de ses orientations (notamment pour la définition précise de ce qui constitue un adversaire étranger), mais semble bien viser une interdiction à large portée (non limitée aux seuls opérateurs de télécommunications) de certains fournisseurs.
* 41 En août 2018, l'Australie a signifié aux entreprises Huawei et ZTE qu'elles seraient exclues des futurs réseaux 5G. Cette interdiction fait écho aux mesures de sécurité déclinées dans la loi « Telecommunications sector security reforms » de 2017, qui confère au gouvernement des pouvoirs de contrôle et de prescription vis-à-vis des opérateurs sur tout sujet pouvant affecter la sécurité nationale. Elle est formellement motivée par la loi chinoise sur le renseignement de 2017.
* 42 Son dernier rapport se montre particulièrement critique ;il souligne des problèmes de sécurité récurrents dans les équipements analysés, créant des risques à long terme pour les réseaux Huawei Cyber Security Evaluation Center (HCSEC) Oversight Board - Annual Report 2019.- A report to the National Security Adviser of the United Kingdom March 2019. https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/790270/HCSEC_OversightBoardReport-2019.pdf https://www.lesechos.fr/tech-medias/hightech/huawei-un-rapport-au-vitriol-publie-par-des-experts-britanniques-1004599