Télécommunications : Un enjeu clé de la cybersécurité
Par Bruno Mahieux
Sécurité et souveraineté
Les technologies du numérique ont accéléré la transformation de nos entreprises, mais également de notre société, au travers de trois phénomènes majeurs :
- La généralisation des solutions multi Cloud, qui ont pour effet d’opérer un grand nombre de services numériques sur des infrastructures partagées (dites de Cloud Publics, par opposition au solution de Cloud Privatif, dans lesquelles les infrastructures reste la propriété du client, les données étant hébergées dans des centre de données qui lui sont propres). Cela est vrai pour des solutions grand public ( streaming avec Netflix, Apple TV…) mais également pour les entreprises (Microsoft Azure, Amazon, Google, Salesforces).
- Le développement du télétravail avec un grand nombre de salariés qui travaillent à distance, plusieurs jours par semaine, en se connectant au système de l’entreprise via internet. Celui-ci a joué un rôle majeur pendant la crise du COVID, permettant à la plupart de nos entreprises de continuer à fonctionner en période de confinement, sans impact majeur sur la qualité du service rendue aux clients.
- L’émergence de l’internet, des objets avec de plus en plus d’applications dans le monde industriel, (l’exemple le plus connu étant celui du compteur Linky d’EDF, mais des solutions semblables existent pour la relève des compteurs d’eau et de gaz, et plus généralement dans le monde industriel grâce au déploiement des réseaux 5G), mais également dans le monde de la santé (le patient connecté) ou encore celui des collectivités locales (les smarts cities).
Ces grandes transformations technologiques mais aussi sociétales ont toutes pour caractéristique commune d’utiliser les infrastructures de télécommunications. Elles sont le catalyseur du progrès économique et social des 30 dernières années et un enjeu de sécurité nationale.
En effet, sans des infrastructures réseaux sécurisées et résilientes, c’est l’activité économique toute entière de la nation qui risquerait de s’arrêter. Il est donc essentiel d’en conserver la maîtrise et d’en garantir la résilience et enfin, d’en assurer la sécurité.
Notre État doit donc répondre à de multiples défis :
- Maîtriser le développement de nos réseaux de télécommunications, pour faire face à une demande accrue de connectivité de la part des citoyens pour leurs activités quotidiennes, qu’elles soient professionnelles ou personnelles,
- Renforcer la résilience de nos infrastructures de télécommunications,
- Sécuriser la chaîne d’approvisionnement des fournisseurs de réseaux,
- Développer un écosystème de cybersécurité afin de préparer le pays à répondre aux
Maîtriser le développement de nos réseaux de télécommunications
Les opérateurs de télécommunications doivent investir en permanence dans des réseaux de nouvelle génération (fibre, 4G, 5G…), avec des débits en constante augmentation et des prix à l’usager toujours plus bas, pendant que les GAFAMS récoltent les fruits de ces investissements en monétisant leurs services de contenus.
Or, les infrastructures de télécommunications coûtent cher : un opérateur doit faire face à des investissements toujours plus lourds pour suivre les évolutions technologiques, avec des retours sur investissement plus lointains. La fuite en avant consistant à favoriser la concurrence et la multiplication des opérateurs télécom dans une logique de prix bas pour le seul bénéfice du consommateur est un non-sens sur le plan stratégique, car elle affaiblit nos opérateurs sur le plan économique et met en péril à terme leur capacité à déployer les réseaux du futur, et par conséquent, notre souveraineté.
Pour éviter l’obsolescence de nos infrastructures de télécommunications, un assouplissement de la réglementation européenne est nécessaire pour autoriser une consolidation du marché, vecteur d’économies d’échelle pour les opérateurs.
Renforcer la résilience de nos infrastructures réseaux
Un seul chiffre résume la fragilité et la criticité des infrastructures de télécommunications :
99% du trafic internet intercontinental passe par des câbles sous-marins.
La destruction récente du gazoduc Nordstream 2 nous rappelle combien le risque de sabotage est réel, plaçant les infrastructures de télécommunications au cœur des enjeux de cybersécurité et de souveraineté de la nation.
Pour éviter toute perte de continuité de service, et même si une certaine redondance mise en œuvre permet d’assurer la résilience des réseaux les plus critiques, la gestion de risque doit nous inciter à renforcer la sécurité de bout en bout et la surveillance de ces infrastructures, à maintenir notre capacité à déployer les câbles sous-marins (Orange Marine est l’un des derniers acteurs européen sur le marché), et à proposer des routes alternatives comme les communications satellites.
Sécuriser la chaîne d’approvisionnement
La résilience de nos infrastructures commence par notre capacité à nous procurer les technologies en toute indépendance. Or, sécuriser la chaîne d’approvisionnement des différents composants de nos réseaux telecom est devenu un défi majeur pour la France et l’Europe. La dépendance vis-à-vis des fournisseurs américains et chinois, est particulièrement notable dans le domaine des équipements télécoms, (il ne reste que deux équipementiers en Europe, Nokia et Ericsson, aucun acteur français depuis la vente d’Alcatel en 2016) et il est indispensable d’assurer l’existence d’acteurs européens.
La sécurisation de la chaîne d’approvisionnement est encore plus critique dans le domaine de la cybersécurité, qui nécessite de nombreux outils, compte tenu de la multiplicité des cybermenaces pesant sur les services numériques, mais également en raison d’une pression réglementaire accrue de la part des institutions européennes. Il en résulte un marché de la cybersécurité très fragmenté, avec une prédominance des acteurs américains (Cisco, McAfee, Fortinet, Symantec, Palo Alto Networks).
La résilience de nos réseaux télécoms passe par le déploiement de ces solutions techniques, mais aussi par la capacité des entreprises à se les approprier. Pour y parvenir, une sensibilisation à grande échelle des chefs d’entreprises et des salariés est indispensable. Si la plupart des grands groupes sont déjà préparés face aux menaces cyber, les TPE et PME le sont beaucoup moins et sont de fait beaucoup plus vulnérables. Or, selon une étude de l’opérateur britannique Vodafone, 50% des attaques cyber concernent les TPE et PME. Des campagnes de formation et de sensibilisation doivent être menées auprès de leurs dirigeants pour prioriser leurs investissements dans le domaine de la cybersécurité.
Développer un écosystème de la cybersécurité français
Les institutions européennes sont devenus le leader mondial en matière de normalisation et réglementations, qui se traduisent pour nos entreprises par un poids toujours plus grand en termes de coûts pour parvenir à respecter les contraintes réglementaires, pendant que les Etats-Unis restent le berceau de l’innovation technologique et de la création d’entreprises dans le domaine du numérique.
La réglementation est nécessaire, en particulier pour harmoniser les choix technologiques, mais elle ne doit pas être un frein au développement économique de nos entreprises. Une politique publique ciblée doit permettre l’émergence d’acteurs français innovants et compétitifs en termes de prix pour éviter toute dépendance vis-à-vis des fournisseurs de solution de cybersécurité. L’État français a un rôle à jouer, en accompagnant le développement des entreprises, en baissant les charges salariales, en appliquant un plan de cybersécurité aux entreprises publiques et collectivités locales et en développant la formation avec un tissu d’écoles spécialisées dans la cybersécurité.
Malgré la prédominance des GAFAM américains, il n’est pas trop tard pour prendre les mesures nécessaires à l’émergence d’acteurs français innovants dans le domaine de la cybersécurité. Le monde du numérique est en mouvement permanent. Qui connaissait l’IA générative il y 4 ans ? Le rapport Villani sur l’IA n’en parlait même pas !