L'UE dévoile ses mesures pour bannir Huawei et ZTE des réseaux 5G

La Commission européenne propose des mesures pour renforcer davantage la résilience et les capacités cybersécurité de l'UE. Avec à la clé l'exclusion de fournisseurs étrangers et en particulier Huawei et ZTE pour ses réseaux 5G.

Dans le viseur de la Commission européenne depuis près de trois ans, les équipements réseaux et télécoms des chinois Huawei et ZTE sont une nouvelle fois sur la sellette. Dans le cadre de la révision de son Cybersecurity Act annoncé ce 20 janvier, l'instance prévoit en effet de faire face « aux risques stratégiques liés aux ingérences étrangères indues et aux dépendances critiques dans les chaînes d'approvisionnement critiques des TIC ». En clair, les infrastructures réseaux 5G en Europe ne doivent plus utiliser de technologies de fournisseurs étrangers. « Les menaces liées à la cybersécurité ne sont pas seulement des défis techniques. Elles constituent des risques stratégiques pour notre démocratie, notre économie et notre mode de vie », assure Henna Virkkunen, commissaire en charge de la souveraineté technologique. « Grâce au nouveau paquet sur la cybersécurité, nous disposerons des moyens nécessaires pour mieux protéger nos chaînes d'approvisionnement critiques en TIC, mais aussi pour lutter de manière décisive contre les cyberattaques. Il s'agit d'une étape importante pour garantir notre souveraineté technologique européenne et assurer une plus grande sécurité pour tous ».

La proposition d’un Cybersecurity Act 2 s’articule autour de quatre piliers. A commencer par le développement d’un framework pour relever les défis liés à la sécurité à la supply chain pour les infrastructures critiques. « Cela permettra à l'UE et aux États membres d'agir ensemble pour faire face aux risques stratégiques liés aux ingérences étrangères indues et aux dépendances critiques dans les chaînes d'approvisionnement critiques des TIC, grâce à des mesures ciblées et proportionnées », assure la Commission. Les trois autres piliers de cette version remaniée du Cybersecurity Act sont les suivants : simplifier et améliorer le framework européen de certification en matière de cybersécurité, introduire des mesures de simplification pour réduire les charges administratives inutiles liées à la mise en œuvre de la directive NIS2, et renforcer l'Agence de l'Union européenne pour la cybersécurité (ENISA) en augmentant notamment son budget de 75 %.

Huawei prêt à protéger ses intérêts

Si la Commission européenne se garde bien de citer les entreprises dans son viseur, les chinois Huawei et ZTE qui fournissent des équipements réseaux et télécoms pour de nombreux Etats membres européens sont dans toutes les têtes. Huawei s’est d’ailleurs senti directement concerné et a réagi : « Une proposition législative visant à limiter ou à exclure les fournisseurs non européens sur la base du pays d'origine, plutôt que sur des preuves factuelles et des normes techniques, viole les principes juridiques fondamentaux de l'UE en matière d'équité, de non-discrimination et de proportionnalité, ainsi que ses obligations envers l'Organisation mondiale du commerce », a prévenu une porte-parole de l'équipementier. « Nous suivrons de près l'évolution du processus législatif et nous nous réservons tous les droits pour protéger nos intérêts légitimes ».

En juin 2023, l'UE souhaitait déjà une interdiction effective des équipements Huawei et ZTE dans les infrastructures réseaux 5G des Etats membres, sans succès jusqu’alors. Mais en novembre dernier, la Commission européenne envisageait non seulement de supprimer les équipements de Huawei et de ZTE utilisés pour les réseaux 5G en Europe, mais aussi de contraindre voire de sanctionner les pays membres refusant de se plier à ces exigences. A ce stade, aucune mesure de coercition n’a été cependant officiellement précisée.

Fin des certifications des équipements 5G étrangers

Aux yeux de la Commission européenne, la cybersécurité des réseaux 5G revêt une importance stratégique, ces réseaux constituant l'épine dorsale d'un large éventail de services essentiels au fonctionnement du marché intérieur et jouant un rôle clé dans la mise en place de ses capacités de défense. « Concernant la 5G, le règlement sur la cybersécurité prévoit l'élimination progressive des fournisseurs à haut risque des réseaux mobiles, ce qui signifie que les organismes d'évaluation de la conformité ne peuvent pas certifier les produits ou services de ces fournisseurs », explique par ailleurs la Commission.

En matière de cloud, ce règlement, complétée par la future CADA [cloud and AI development act], devrait par ailleurs combler des lacunes « liées aux aspects de souveraineté et aux risques non techniques ». Un autre sujet examiné dans le cadre d'un autre paquet de mesures concernant l'EUCS, la certification européenne pour les services cloud, « qui reprendra et est prêt à aboutir à une conclusion fructueuse », selon la Commission.