Sécuriser la 5G pour cybersécuriser l’industrie

Cédric Bourrely, Jeanne Heuré, Christophe Menant, Patrice Crutel & Antoine Mercier

30 novembre 2023

Déployée à l’échelle depuis plus de 2 ans en Europe, la 5G a attiré l’attention du grand public autour d’usages principalement tournés vers la consommation de contenu multimédia. Elle est pourtant pensée initialement pour le monde industriel, et, après des débuts timides, on note désormais une augmentation significative des déploiements pour des usages industriels tant sur les réseaux publics des opérateurs mobiles commerciaux que sur des réseaux privés. Comme toute nouvelle technologie de communication, la 5G n’échappe pas aux questions relatives à la cybersécurité, notamment dans le contexte géopolitique actuel.

La 5G, un monde d’opportunités nouvelles

La 5G offre des niveaux de performance sans précédent (débit, latence, volume de connexions…), des innovations fonctionnelles et opère une convergence entre le numérique (IT), l’informatique industrielle (OT) et les technologies réseaux (NT). Désormais mature, abordable financièrement et encadrée juridiquement, elle permet aux entreprises de développer leurs cas d’usage mobiles et de les intégrer dans leurs développements. Elle ouvre ainsi à de nouvelles opportunités : gains de productivité dans des activités de production, de logistique, de télé-opérations ou encore de maintenance.

Mais alors que certaines industries s’appuient sur les réseaux 5G des opérateurs mobiles commerciaux, d’autres, de plus en plus nombreuses, préfèrent mettre en place leur propre infrastructure de télécommunication privée.

Si ce choix permet de démultiplier les bénéfices de la 5G, en apportant davantage de maîtrise des cas d’usage, il est nécessaire que les entreprises adoptent les bons réflexes de sécurisation de leurs infrastructures, comme l’aurait fait un opérateur.

C’est particulièrement le cas pour les industries qui manipulent des données sensibles et attendent un très haut niveau de disponibilité de leurs réseaux pour assurer la continuité de leurs opérations : grands industriels, hôpitaux, opérateurs d’énergie et de transport…

Des enjeux de cybersécurité bien identifiés

Promesse de débit et de latence ultra-faibles, la 5G facilite des usages jusqu’alors complexes grâce au déploiement de composants du cœur de réseau en périphérie ou à l’edge (au plus près des utilisateurs et des antennes), que ce soit pour des composants applicatifs ou réseau.

La sécurisation de ces points de vulnérabilité, disséminés, parfois lointains, voire mobiles, exige des approches de sécurisation en profondeur, finement adaptées aux ressources matérielles limitées à l’edge.

Le deuxième enjeu majeur de la 5G réside dans la standardisation des API (Application Programming Interface) du cœur de réseau, qui, en ouvrant la possibilité de l’interconnecter avec des applicatifs tiers pour plus de souplesse, créent potentiellement de nouveaux vecteurs d’attaque. La gestion des API a été sécurisée par de nombreuses spécifications, émises pour introduire de nouveaux composants dans le cœur de réseau (NRF, SEPP, SCP), améliorant ainsi la confidentialité et l’authenticité des échanges entre les applicatifs tiers et le cœur de réseau. Cette démarche normée s’inscrit dans la continuité de la volonté historique des acteurs du monde du télécom et des industriels à traiter le volet cybersécurité avec une très grande attention.

Des vulnérabilités exogènes à prendre en compte

Par ailleurs, les technologies sur lesquelles repose la 5G peuvent elles-mêmes être potentiellement sources de vulnérabilité.

En effet, par souci de modularité, d’ouverture et de réutilisation de librairies logicielles partagées, et comme d’autres systèmes et logiciels par ailleurs, la 5G utilise largement des composants logiciels cloud native et open source, dont la provenance ou le niveau de sécurisation sont parfois difficiles à tracer et garantir. Quant au matériel, l’écosystème des fabricants très concentré sur certains composants clés (ex : puces) crée des risques de dépendance.

Il est donc fondamental de renforcer et maitriser la traçabilité des chaînes d’approvisionnement logicielles et matérielles, afin de se prémunir de l’introduction d’éléments malveillants ou défaillants au sein d’infrastructures telecom, qu’elles soient publiques ou privées.

La 5G, une opportunité pour les experts en cybersécurité…

La convergence technologique qui sous-tend la 5G représente un atout pour la cybersécurité, car il en résulte que la grande majorité des vulnérabilités potentielles et des moyens de les juguler sont du domaine connu.

Pour l’essentiel, il s’agit donc d’étendre de façon rigoureuse à l’ensemble du réseau 5G et de son infrastructure les outils et les méthodes en vigueur dans le domaine IT. Cela signifie, par exemple :

d’élargir les dispositifs de supervision et de détection à tout le périmètre,
de sécuriser les API du cœur de réseau en respectant les standards d’intégration et
de déployer des solutions dédiées à la gestion des flux externes (NEF, firewalls),
de mettre en œuvre sur le cœur de réseau les bonnes pratiques de sécurité (validation et authentification mutuelle de chaque composant, chiffrement des échanges, surveillance automatisée des déviations…),
ou encore de déployer une sécurité périmétrique autour des fonctions ouvertes sur l’extérieur ou n’ayant pas fait l’objet de contrôles exhaustifs.

Par ailleurs, grâce à l’une des fonctionnalités clés de la 5G (le Network slicing, qui permet de segmenter le réseau en sous-réseaux indépendants) il est possible d’isoler certains services et d’appliquer des politiques de sécurité différenciées selon leur criticité et les exigences de l’industriel concerné.

Sur ce sujet comme sur bien d’autres, à la frontière entre cybersécurité, télécoms et IT, une collaboration renforcée entre ces différentes spécialités sera indispensable au sein des entreprises.

… qui nécessite une approche de bout en bout

Au-delà du cœur de réseau lui-même, la sécurisation des déploiements 5G requiert une approche de bout en bout, adaptée aux enjeux et contraintes industrielles, et prenant aussi en compte les terminaux (IoT, équipements des utilisateurs…), les communications et les applications.

Pour cela, la mise en place d’une gouvernance transverse, nécessaire à la coordination des différentes spécialités vers un même objectif de sécurité, est indispensable. Cette gouvernance visera à généraliser également un certain nombre de principes, qui, là encore, ne sont pas propres à la 5G :

processus et infrastructures d’IAM (Identity and Access Management) pour fédérer les identités et droits d’accès et
processus et solutions d’UDM (Unified Data Management) pour centraliser les données des utilisateurs,
chiffrement des flux,
authentification des terminaux basée sur des certificats,
mise en place de sondes sur les terminaux et d’un suivi des logs applicatif pour détecter les comportements anormaux,
durcissement du socle de virtualisation au niveau OS et applicatif…

Auteurs

Cédric Bourrely est en charge des activités de Conseil autour des technologies Emergentes chez Capgemini Invent. Il intervient principalement sur les thématiques des apports des nouvelles technologies, notamment Connectivité (5G, IoT…), Intelligence Artificielle et technologies décentralisées (Blockchain), dans les secteurs de l’Industrie, des Infrastructures Critiques, de la Sécurité Publique et de la Défense.

Jeanne Heuré porte le département de Confiance et sécurité numérique de Capgemini Invent pour accompagner les dirigeants dans leur stratégie et transformations cyber. Issue des sciences politiques et Affaires européennes, elle a d’abord abordé ces sujets sous l’angle des enjeux nationaux/internationaux de sécurité numérique – c’est ce qui a toujours donné du sens a son activité. Membre du Board Cyber Capgemini France et coordinatrice du développement des équipes cyber Capgemini Invent à l’international, elle intervient dans tous les secteurs marché sur ses sujets de prédilection : pilotage & performance de la sécurité numérique – Offres de services cyber & relations IT/métiers – Programmes de transformation cyber complexes – Cyber-résilience – Cyber4good

Directeur, responsable du portefeuille d’offre et de l’innovation cybersécurité de CAPGEMINI France. Plus de 30 ans d’expérience en informatique et plus de 25 ans dans le domaine de la cybersécurité. Christophe a une vaste expérience dans des environnements internationaux et mondiaux. Christophe a aidé ces clients à élaborer et à exécuter leurs stratégies et leurs programmes de transformation sécurité, a géré des crises majeures liées à des cyber-attaques de types ransomware ou espionnage industriel, a définit des méthodes, des architectures et des processus de références ainsi que des offres de sécurité. Ceci a eu pour but de mieux adresser les demandes du marché de la sécurité ou pour contribuer à la sécurité interne des sociétés pour lesquelles il a travaillé. Christophe a travaillé 15 ans chez IBM puis 8 ans chez HPE/DXC avant de rejoindre CAPGEMINI.

Je conseille mes clients, MNO et MVNO, sur les évolutions des réseaux de base et de service tels que WebRTC, NFV, 4G/5G

Antoine a plus de 20 ans d’expérience en conception de solutions de télécommunications opérées ou privées pour les opérateurs et les industriels.

Pour aller plus loin

5G LABS, AU SERVICE DES INDUSTRIES

Capgemini a développé les 5G Labs afin d’aider les entreprises à élaborer des stratégies, à construire et à monétiser ce que la 5G va apporter.

CYBERSÉCURITÉ

Faites de la cybersécurité le moteur de votre transformation.