Archives par mot-clé : Commission européenne

backdoor, Cybersécurité, Entreprise, IOT, loi, Téléphonie

L’UE durcit la 5G face aux fournisseurs à haut risque

Bruxelles remet la chaîne d’approvisionnement au centre du jeu. Une loi cybersécurité révisée vise les télécoms et 17 secteurs, avec la Chine en ligne de mire.

Depuis janvier 2026, la Commission européenne pousse un paquet cybersécurité pour muscler la résilience de l’UE face aux menaces cyber et hybrides. Le cœur du texte, une loi révisée sur la cybersécurité, étend la logique de la boîte à outils 5G à 18 secteurs critiques, dont les télécommunications. L’objectif est de réduire les dépendances jugées à haut risque dans les chaînes d’approvisionnement TIC, notamment vis-à-vis de fournisseurs de pays tiers. Le périmètre annoncé couvre les 27 États membres, l’EEE (Islande, Liechtenstein, Norvège) et la Suisse. Les opérateurs auraient moins de cinq ans, adoption comprise, pour remplacer des équipements sensibles, avec un coût estimé autour de 7 € par abonné mobile.

Une loi pensée pour la menace hybride

Le texte proposé s’inscrit dans une décennie de crispations, où la cybersécurité n’est plus traitée comme un sujet technique isolé. La Commission place désormais les attaques numériques, la coercition économique et la pression géopolitique dans un même tableau, avec des acteurs étatiques étrangers régulièrement cités, dont ceux associés à la Chine. En arrière-plan, la guerre d’agression de la Russie contre l’Ukraine, entrée dans sa quatrième année, a durci la lecture du risque, en particulier l’idée d’actions coordonnées ou convergentes entre Moscou et Pékin.

Le projet vise la chaîne d’approvisionnement des technologies de l’information et de la communication. Il cherche à empêcher des dépendances considérées comme dangereuses, en imposant une sélection plus stricte des technologies et des fournisseurs critiques. La proposition couvre 18 secteurs, calés sur NIS 2, répartis entre 11 domaines à haute criticité, énergie, transports, banque, infrastructures de marché financier, santé, eau potable, eaux usées, infrastructure numérique, administration publique, spatial et télécommunications, et 7 autres secteurs critiques, services postaux et messagerie, déchets, chimie, agroalimentaire, industrie manufacturière, fournisseurs de services numériques et recherche.

Strand Consult, très présent dans le débat depuis 2018, explique avoir vu venir l’extension du sujet au-delà de la 5G. Le cabinet rappelle l’effet d’entraînement de la boîte à outils 5G lancée en 2020, d’abord centrée sur les réseaux mobiles, puis appelée à toucher le fixe, le satellite, et, désormais, d’autres industries. La proposition, volumineuse, environ 270 pages, prévoit une procédure accélérée pour les réseaux mobiles, fixes et satellitaires, car les télécoms sont déjà encadrés par la 5G Toolbox. Les 17 autres secteurs entreraient, eux, dans un schéma d’évaluation comparable, incluant le risque supply chain et des applications sectorielles.

Le calendrier donne la mesure de la tension. L’adoption pourrait prendre un an à un an et demi. Ensuite, les opérateurs disposeraient de trois ans pour appliquer les règles sur les infrastructures critiques. Ceux qui utilisent encore des fournisseurs à haut risque auraient donc moins de cinq ans pour sortir des équipements concernés, souvent déjà en milieu ou fin de vie. C’est là que le cyber devient renseignement, une dépendance matérielle se transforme en variable stratégique.

Le vrai coût du remplacement et la carte des dépendances

L’argument le plus répété, ces dernières années, affirme que restreindre Huawei ou ZTE ralentit la 5G et renchérit le déploiement. Strand Consult conteste cette narration, en décrivant trois familles d’opérateurs : ceux qui ont basculé vers des fournisseurs chinois en migrerant de la 4G vers la 5G, ceux qui ont corrigé tôt leur trajectoire, ou opèrent dans des pays appliquant la 5G Toolbox, et ceux qui continuent à s’appuyer sur des fournisseurs chinois là où la boîte à outils est absente ou partielle. Le cabinet insiste sur un point, de nombreux opérateurs ont choisi des fournisseurs jugés fiables sans explosion des coûts, ni retard visible.

Le Danemark sert d’exemple narratif. Deux réseaux mobiles 4G sur trois y avaient été construits avec Huawei, mais la bascule vers la 5G s’est faite avec des fournisseurs reconnus. Le pays a lancé la 5G très tôt et affiche aujourd’hui, selon Strand Consult, la meilleure couverture 5G de l’UE. Copenhague applique une approche fondée sur le risque, via une loi imposant le retrait des équipements de fournisseurs à haut risque. En 2023, TDC a reçu l’ordre de remplacer son réseau WDM Huawei avant 2027, dans un cadre où l’évaluation est portée par l’Agence danoise de la résilience.

À l’échelle européenne, Strand Consult décrit une photographie contrastée. Sur environ cent réseaux mobiles dans l’UE, une soixantaine seraient déjà assurés comme « réseaux propres ». Sur les quarante restants, une dizaine auraient une exposition limitée, entre 10 et 30 %, et ne seraient pas forcément ciblés par l’analyse de connectivité des fournisseurs. Reste une trentaine d’opérateurs, avec un RAN composé à 35 % jusqu’à 100 % de composants issus de fournisseurs à haut risque, surtout dans des pays où la 5G Toolbox n’est pas pleinement appliquée. Au début de 2026, l’estimation avancée est claire, environ 30 % des équipements installés dans l’UE, l’EEE et la Suisse proviendraient de fournisseurs à haut risque.

La géographie du remplacement concentre le risque, et donc la bataille politique. L’Allemagne, l’Italie et l’Espagne compteraient, à elles trois, plus de 55 % des équipements à remplacer sur cinq ans. Vodafone et Deutsche Telekom apparaissent comme nœuds critiques. DT serait fournie par Huawei à 58 % en Allemagne, et à 100 % en Grèce, Autriche et République tchèque, avec des niveaux élevés en Croatie et Pologne, tandis que sa filiale T-Systems revend des solutions cloud conçues et opérées par Huawei. Vodafone, de son côté, dépendrait entièrement de Huawei en République tchèque, Grèce, Hongrie et Roumanie, avec 67 % en Espagne et 53 % en Allemagne. Le sujet bascule alors du régulateur vers la défense, les forces armées européennes utiliseront la 5G des opérateurs, et l’exposition à des équipements chinois devient un paramètre de résilience collective.

Reste la facture, nerf de la guerre et angle d’influence. Strand Consult rappelait qu’en 2020, avec 86 % de la population européenne abonnée au mobile, le remplacement des équipements évolutifs représentait 3,5 milliards d’euros, soit 7,40 € par abonné, en investissement unique. La Commission, sur la base de données de l’Observatoire 5G et d’une transition de trois ans, estime 3,4 à 4,3 milliards d’euros pour les équipements non évolutifs, et un maximum de 6,5 à 8,3 € par abonné si la charge est répercutée. La Commission affirme aussi que la simplification des obligations pourrait générer jusqu’à 15,3 milliards d’euros d’économies sur cinq ans, de quoi neutraliser une partie du choc initial.

Dans le récit de Strand Consult, les opérateurs les plus exposés pourraient tenter d’amplifier les coûts, comme au Royaume-Uni en 2019, mais les échanges investisseurs cités contredisent l’idée d’un blocage automatique. BT évoquait 100 millions de livres sterling par an pendant cinq ans, et Vodafone parlait d’environ 200 millions d’euros pour une trajectoire de retrait du cœur de réseau, en alertant surtout sur le risque d’accélérations irréalistes. Au final, la proposition européenne impose une question de renseignement économique autant que de cyber, qui paie, le contribuable ou l’actionnaire, quand une dépendance technique devient un risque stratégique.

La bataille se jouera sur un terrain discret, cartographie des dépendances, arbitrages d’investissement, et capacité des États à traduire le risque cyber en décisions industrielles.

Cybersécurité

Cyberdéfense : l’Europe se met (enfin) en ordre de marche

Pour lutter contre l’explosion des cyberattaques, la Commission européenne lance un plan cybersécurité couvrant la période 2020-2025. Objectifs : mettre en commun des informations entre les pays, développer des formations et des certifications, élaborer des réglementations … Une stratégie européenne préservant les souverainetés nationales.

Premier axe : la réglementation. En adoptant le règlement européen Cybersecurity Act, la CE marque une véritable avancée pour l’autonomie stratégique européenne et tente de promouvoir un schéma de certification à l’échelle européenne afin d’harmoniser les méthodes d’évaluation et les différents niveaux d’assurance de la certification de la cybersécurité. L’ENISA, Agence européenne pour la cybersécurité, devient un pilier de la coordination et une structure d’autorité européenne. Tout ceci tend à montrer que nous sommes sur la bonne voie, encore faut-il que l’Europe conditionne son marché à utiliser ce règlement !

Dans le cadre de cette stratégie, la CE marque aussi une volonté d’aider les entreprises, quelle que soit leur taille et leur secteur d’activité, à s’organiser pour lutter contre les cyberattaques. Mais si cette initiative est louable, sa concrétisation reste en revanche complexe car le marché souffre d’une forte pénurie de profils spécialisés. Dans le deuxième axe marqué par l’investissement humain, la CE propose plusieurs actions: développer des cursus préparatoires dédiés à la cybersécurité et généraliser des plateformes d’entraînement. Un souhait, qui espérons-le, ne se résumera pas à une simple lettre d’intention, mais sera soutenue par une véritable politique de formation afin de donner à l’Europe les moyens de gagner son autonomie en cybersécurité. Peut-être aurait-il fallu orienter davantage l’investissement vers la technologie, intrinsèquement plus capable de passer à l’échelle ?

Troisième axe : la coopération inter-pays. La France est l’un des pays européens les plus structurés en matière de cybersécurité, grâce notamment à l’ANSSI et d’autres structures qui insufflent depuis plus de 10 ans une dynamique rigoureuse et initient de nombreux chantiers. La stratégie nationale proposée par Emmanuel Macron avec un plan de relance d’1 milliard d’euros sur la table semble pertinente, tant sur l’articulation avec l’ambition européenne que sur le contenu !

Mais les 27 pays d’Europe ont des degrés de maturité et des capacités d’actions très différents. L’Europe va donc inciter les pays à mettre en place une meilleure circulation des informations afin de se coordonner pour traiter les attaques majeures et développer une cyberdéfense efficiente. Le terme de communauté apparaît comme un pilier fort de la stratégie européenne. C’est une bonne chose car la cybersécurité ne fonctionne que si elle est appliquée en réseau, avec des informations qui circulent et son partagées entre les parties prenantes.

Dans cette volonté du concret, le sujet du partage d’informations communautaire doit être creusé en profondeur et rapidement mis en place. Les États-Unis utilisent ceci depuis longtemps à travers des centres de partage sectoriels comme les ISACs. Nos secteurs industriels doivent apprendre à mieux partager de l’information cyber car dans ces domaines, le renseignement diffusé par l’un fait la protection de tous les autres.

La stratégie ne fonctionnera que si tous les pays européens jouent le jeu   
La stratégie européenne telle que détaillée plus haut semble omettre la composante marché – ou du moins laisser le sujet pour plus tard. S’il est vrai que cette stratégie est bâtie sur de bonnes idées et une orientation bien délivrée, c’est la suite qui risque de bloquer entre des approches trop nationales, trop restrictives et des règles d’allocations budgétaires incohérentes entre les pays.

La cybersécurité existe depuis plus de 20 ans et sur ce terrain l’Europe n’a pas particulièrement brillé en comparaison d’autres blocs. Pour autant tout n’est pas encore perdu mais il faut regarder les choses en face et tirer les constats.
A l‘heure actuelle, il faut arrêter les investissements scientifico-scientifiques non appliqués à un besoin marché. Il est important de développer les partenariats publics-privés à l’échelle européenne pour avoir une vraie stratégie d’action dans les domaines qui seront nécessaires demain et dans 10 ans. (l’automatisation orchestrée de la cybersécurité, la modélisation des techniques d’attaques, la détection prédictive des attaques et des anomalies…)

Comme évoqué, le Cybersecurity Act est un bon point de départ mais il nous faut accepter d’aller plus loin dans les programmes de certifications pour les rendre obligatoires pour le marché européen. Cela se traduira notamment pour les entreprises par des obligations à créer des liens avec les industriels cyber autour d’eux et d’offrir une chance aux startups européennes du secteur en leur allouant une partie des budgets cyber…

Enfin, il est nécessaire d’expérimenter des modèles vertueux et pragmatiques dans lesquelles les entreprises expriment des besoins, les fournisseurs candidats calibrent des roadmaps pour y répondre et les organismes publics accompagnent et soutiennent financièrement certains investissements. Les structures académiques ayant elles aussi un rôle majeur à jouer pour les sujets faisant appel à la recherche. (Par David Bizeul, CTO de Sekoia)

Espionnae, Particuliers, Vie privée

Données personnelles: « Circulez, y’a rien à voir! »

2 commentaires

La Commission européenne doit adopter mercredi 27 novembre un texte dans lequel il est clairement indiqué qu’elle continuera à travailler étroitement avec les services de renseignement américains. Dans ce document de travail, il est souligné que la Commission européenne ne suspendra pas les transferts controversés de données personnelles vers les Etats-Unis, et ce malgré les révélations d’Edward Snowden et les demandes répétées des parlementaires relatives à la protection de la vie privée. En particulier, la Commission ne veut pas suspendre l’accord Swift-TFTP comme l’a réclamé le Parlement européen dans une résolution du 23 octobre dernier. Elle rejette également toute révocation de l’accord «Safe Harbour», permettant l’utilisation commerciale des données personnelles des Européens par les sociétés américaines.

Francoise Castex ironise: « C’est la façon qu’a la Commission de lancer la campagne des européennes! Déjà en 2008, lors de l’adoption du paquet Telecom, Viviane Reding nous avait fait le coup[1]. Votez ce que vous voudrez, on n’en tiendra pas compte! » Avant d’ajouter, plus sérieusement: « C’est un très mauvais signal envoyé aux électeurs qui n’en finissent plus de se demander à quoi sert l’Europe! ». Pour l’eurodéputée socialiste: « Après ACTA et le TTIP, Barroso se fait une nouvelle fois le supplétif des intérêts américains. » L’élue gersoise conclut: « Le rôle de la Commission européenne est de défendre le projet européen, pas de le vendre!« 

[1] Le 24 septembre 2008, quelques heures après l’adoption de l’amendement 138 sur le paquet Telecom, Viviane Reding  avait annoncé que la Commission européenne ne reprendrait pas cet amendement pourtant voté par 80% des parlementaires, avant de se rétracter.

A lire, le document de la Direction Générale des Politiques Internets du Parlement Européen sur Les programmes de surveillance des Etats-Unis et leurs effets sur les droits fondamentaux des citoyens de l’UE.