5G : quels risques pour les entreprises ? – Par Jean Marc Muselli

Promettant des débits multipliés par un facteur allant de 20 à 100 et une latence de l’ordre de la milliseconde, la 5G va permettre de connecter jusqu’à un million d’objets par kilomètre carré, soit 10 fois plus qu’avec la 4G. Mais les enjeux de sécurité de cette nouvelle technologie ne doivent pas être sous-estimés par les entreprises.

Grâce à la 5G, de nouvelles offres vont désormais pouvoir être conçues et proposées. Tous secteurs confondus, les entreprises vont pouvoir déployer de nouveaux services à base de réalité virtuelle et augmentée, de vidéo haute définition mais aussi de conduite autonome et d’IoT au sein de la smart city, de l’industrie 4.0 et de la santé connectée.

Selon une étude de la Commission européenne, l’adoption de la 5G dans quatre secteurs stratégiques (automobile, santé, transports et énergie) permettrait de générer 113 milliards d’euros de chiffre d’affaires par an dès 2025. L’étude indique également que les investissements dans la 5G devraient entraîner la création de 2,3 millions d’emplois dans les États membres.

Mais la migration vers la 5G va entraîner une profonde transformation des réseaux actuels. Ces derniers passeront de réseaux centralisés, basés sur le matériel, à des réseaux décentralisés, virtuels (définis par logiciel), ce qui n’est pas sans comporter un certain nombre de risques. Qui plus est, les services innovants que la 5G supportera augmenteront la surface de risque, rendant les usages associés à la 5G particulièrement critiques.

Une virtualisation des réseaux qui change tout

Le tout premier type de risques associés au déploiement de la 5G concerne donc la virtualisation des réseaux qui augmentera les risques en matière de cybersécurité. C’est notamment vrai pour les nouvelles architectures 5G standalone, celles qui ne s’appuient par sur un cœur 4G.

Les vulnérabilités que peuvent potentiellement apporter les technologies SDN (Software Defined Networking) et NFV (Network Function Virtualization) devront être étroitement surveillées. Ces risques sont notamment liés au découpage en plusieurs réseaux logiques (network slicing) que permet la virtualisation mais aussi aux failles de sécurité dont les logiciels pourront être victimes au sein des équipements fournisseurs.

Selon l’Observatoire national des sciences et technologies de la sécurité (ONSTS), un service créé par le ministère de l’Intérieur, « Les cibles principales du réseau 5G sont les fonctions essentielles du réseau (Core Network Functions), susceptibles de compromette la confidentialité, la disponibilité ou l’intégrité de l’ensemble du réseau ou parmi lesquelles les données le plus sensibles transitent ».

Les systèmes de gestion et services de support (Management Systems and Supporting Services) sont également pointés du doigt par l’ONSTS. Ils contrôlent en effet des éléments clés du réseau et pourraient « être la cible d’actes malveillants, sabotage ou espionnage, susceptibles de nuire à la disponibilité ou l’intégrité du réseau ». Enfin, la virtualisation des fonctions réseaux, essentielle pour le fonctionnement des mesures de sécurité, comme le chiffrement, ou les mesures d’interceptions judiciaires, peut, elle aussi, être à l’origine de vulnérabilités.

Objets connectés : de véritables chevaux de Troie pour les entreprises

La prolifération des terminaux connectés, rendue possible par les réseaux 5G, est un autre facteur de risque. Tout d’abord parce que nombre de ces appareils connectés ne sont pas suffisamment sécurisés, voire pas du tout sécurisés. Les objets connectés, déployés par centaines de milliers, seront donc autant de portes d’entrée dans les systèmes d’information des organisations.

Ensuite, parce que certaines applications au sein desquelles ces objets connectés interviennent sont tout simplement stratégiques et peuvent toucher des centaines, voire des milliers de personnes (et non plus un seul utilisateur) : contrôle de l’éclairage public, accès à des bâtiments, caméras de surveillance, systèmes de signalisation, voitures autonomes…

Selon une étude publiée en 2020 par l’éditeur Forescout et intitulée « The Enterprise of Things Security Report », les équipements connectés qui exposent le plus les réseaux des entreprises sont ceux relatifs au smart building, comme par exemple les systèmes de contrôle d’accès physique, les systèmes CVC (chauffage, ventilation, climatisation) et les caméras de surveillance.

Enfin, selon les prévisions 2021 de Check Point, la protection des données venant d’appareils 5G est un des principaux défis que les entreprises doivent relever cette année, une grande partie de ces données échappant aux politiques de sécurité réseau qu’elles mettent en œuvre.

« Les objets connectés aux réseaux et au cloud constituent un maillon faible de la sécurité : il est difficile d’obtenir une visibilité complète sur ces appareils qui, par ailleurs, ont des exigences de sécurité complexes. Nous avons besoin d’une approche plus globale de la sécurité des objets connectés, combinant des contrôles traditionnels et de nouveaux contrôles pour protéger ces réseaux en pleine croissance dans tous les secteurs et toutes les entreprises », note Check Point dans son rapport.

On le voit, avec le déploiement de la 5G, de nouveaux risques de sécurité émergent. Décentralisation du réseau, démultiplication de la surface d’attaque, applications et secteurs stratégiques concernés… Selon une étude réalisée en 2020 par Accenture, les principaux obstacles à l’adoption de la 5G par les entreprises sont d’ordre sécuritaires (35 %), devant les coûts d’investissement (31 %) et la formation des salariés (26 %). Le chantier de la sécurité ne fait donc que commencer.

Jean Marc Muselli, avril 2021