Rechercher

Protection des réseaux 5G : Le rôle de l’intelligence sur la menace

Voitures autonomes, Smart Cities, chirurgie à distance, les applications potentielles de la 5G sont nombreuses. Surtout, leur réalisation va permettre de connecter, à travers les réseaux, des pans entiers de l’économie. Si la 5G est souvent pensée comme un vecteur d’innovation pour l’industrie, il ne faut pas perdre de vue son fonctionnement, qui repose sur une architecture complexe et très différente de celle des réseaux 4G. Cet article invite à la réflexion sur le thème de la sécurisation des réseaux 5G, leurs vulnérabilités potentielles, leur rôle dans l’économie de demain et l’apport de l’intelligence dans la quantification et le management des risques.

L’architecture des réseaux 5G : des applications logicielles et une surface d’attaque importante

La 5G, contrairement aux réseaux des générations précédentes est construite sur des infrastructures virtuelles. La plupart des composants physiques des réseaux traditionnels sont virtualisés dans le modèle d’architecture proposé par la 5G. Le cœur de réseau est notamment constitué de deux technologies, le Network Function Virtualization (NFV) et le Software Defined Network (SDN), qui permettent le management des fonctions virtualisées et garantissent l’intégrité et la disponibilité du réseau.

L’architecture des réseaux 5G donne également la possibilité aux opérateurs de réseaux mobiles de créer des réseaux privés virtuels par un procédé connu sous le nom de network slicing. Cette capacité est déterminante puisqu’elle permet de produire des réseaux parfaitement adaptés aux usages de chaque organisation et aux exigences des activités de chaque client. Le secteur médical, par exemple nécessitera un réseau privé virtuel avec une fiabilité très élevée et un taux de latence réduit, qui n’est pas forcément nécessaire pour d’autres activités.

Si le network slicing est permis par le NFV et le SDN, il traduit également une caractéristique importante de l’architecture des réseaux 5G, à savoir sa décentralisation. L’on parle de multi-edge access computing (MEC) pour définir le déplacement du trafic d’information depuis le cœur de réseau (Core network) vers les périphéries (Access Network). Le traitement de l’information au niveau des périphéries permet d’être plus proche des clients et ainsi de réduire le taux de latence lors du transfert de données. Cette architecture augmente la surface d’attaque et fait naître le besoin de sécuriser un plus grand nombre de points de routage, qui pourraient servir de points d’entrée pour un attaquant.

Ce constat est d’autant plus prégnant que la 5G va servir d’accélérateur au développement de nouvelles technologies et notamment l’internet des objets (IdO ou IoT). L’internet des objets permet l’interconnexion d’un réseau d’appareils physiques à Internet. Selon les estimations de la GSMA, association représentants les opérateurs et constructeurs de téléphonie mobile, l’IoT représentera près de 25 milliards de connexions en 2025. La faible latence du réseau 5G permettra le traitement de ces flux de données importants et l’utilisation synergiques d’appareils et capteurs connectés, rendant possible la transformation digitale des industries. Pourtant, l’IoT est également réputé pour ses nombreuses vulnérabilités. Ces vulnérabilités font courir le risque d’infection d’un réseau d’appareils IoT par un malware, la diffusion de ce dernier vers le cœur du réseau ou la création d’un botnet (réseau d’appareils connectés et infectés) capable de lancer une attaque par déni de service (DDoS). Ainsi, les vulnérabilités des appareils connectés représentent une opportunité pour un acteur de la menace cherchant à endommager le réseau 5G.

Un autre défi que pose la 5G est la multiplicité des vendeurs. De nombreux opérateurs font le choix d’une stratégie de diversification, en ayant recours à plusieurs fournisseurs, notamment pour les services de cloud. Or, les dernières tendances montrent une augmentation significative des attaques de chaine d’approvisionnement, la compromission d’un fournisseur pouvant offrir un accès initial au réseau pour un attaquant.

La 5G dans le monde de demain : un rôle structurant

La question sécuritaire primordiale des réseaux 4G était celle de la confidentialité des échanges. Pour les réseaux 5G le principal défi sera de garantir la disponibilité des données. L’on passe d’une question de sécurité individuelle à une question de sécurité nationale. En effet, l’hyperconnectivité de l’ensemble des activités à la 5G interroge sur les conséquences d’un arrêt du fonctionnement du réseau. Pour Guillaume Poupard, directeur de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), « […] Dans trois quatre ans couper la 5G, cela reviendra à couper le courant en termes d’impact ». Cette analogie montre le potentiel destructeur d’une attaque sur les réseaux 5G pour une économie, fournissant ainsi une motivation pour des acteurs souhaitant déstabiliser des États. La nature critique de certaines missions, supportées par la 5G et l’interconnexion de pans entiers de l’économie vont attirer l’attention de groupe d’attaquants ayant les capacités techniques de mener des attaques sur les réseaux 5G en profitant de leurs vulnérabilités intrinsèques.

Quelle approche pour la protection des réseaux 5G ? Le rôle de l’intelligence

Les différents éléments mentionnés précédemment montrent la nécessité de penser différemment la sécurisation des réseaux de télécommunication. Leur virtualisation et décentralisation rendent inefficace les mesures traditionnelles de sécurité physique et périmétrique du réseau.

Le rôle de l’intelligence en cybersécurité est de récolter, analyser et diffuser des connaissances sur la nature de la menace. Or, la nature de la menace sur les réseaux 5G n’est pas pleinement définie pour plusieurs raisons. Tout d’abord, le déploiement de la 5G reste dans sa phase initiale et les applications qu’elle doit permettre demeurent à l’état de projet (Orange annonce qu’à l’horizon 2023, l’activation du cœur de réseau 5G permettra le développement de nouvelles applications, notamment la médicine connectée, les Smart Cities et les voitures autonomes). Deuxièmement, les motivations et capacités des attaquants évoluent en permanence et l’anticipation des moyens et objectifs de ces derniers est un exercice dont il faut connaitre les limites. Enfin, l’analyse de la menace se nourrit d’attaques passées afin d’établir un profil de l’attaquant, de ses motivations et surtout de ces TTPs (Tactics, Techniques and Procedures) – autrement dit son mode opératoire. L’absence de données sur des incidents affectant les réseaux 5G rend la tâche plus complexe.

Malgré ces différents points, le risque cyber doit être quantifié et, en ce qui concerne les réseaux 5G, il peut être enrichi par la modélisation de la menace. Cette modélisation permet d’identifier les informations et assets comportant un risque, les attaquants pouvant s’intéresser à ces informations et le risque qu’ils représentent en fonction de leur capacité à compromettre cette information. Chaque modèle doit s’appliquer à un cas d’usage spécifique (e.g. liste des menaces sur les voitures autonomes). Cette approche proactive permet d’anticiper l’évolution de la menace et de prendre des mesures correctives sur les assets à risques.

La sécurisation des réseaux 5G doit aussi passer par la promotion du partage d’information sur la menace entre les différents acteurs du secteur des télécommunications (opérateurs de réseaux mobiles, vendeurs, etc.). Aujourd’hui, les informations sur la menace proviennent de la détection de comportements anormaux sur les réseaux produisant des alertes. Ces alertes sont traitées par un SOC (Security Operations Center), éventuellement corrélées à d’autres menaces similaires et stockées dans un référentiel propre à chaque opérateur. La Cyber Threat Intelligence (CTI) se réfère à l’analyse de la menace, soit la création de savoirs à partir d’informations enrichies, contextualisées, analysées, et permettant la prise de décision. De nombreuses plateformes de CTI permettent un partage collaboratif de cette intelligence sur la menace et ce modèle pourrait profiter aux réseaux 5G. Une structure de haut niveau, où un panel d’opérateurs pourrait échanger leurs savoirs respectifs permettrait à la communauté des télécoms de lutter de manière efficiente contre les menaces émergentes. Des référentiels tels que TAXII (Trusted Automated eXchange of Indicator Information) ou STIX (Structured Threat Information Expression) pourrait servir de base à la construction d’une plateforme structurée, accessible pour l’ensemble des parties prenantes. De façon plus global, la création de liens entre les différents acteurs permettra une dissémination efficace et automatique d’un savoir collectif commun et l’évaluation de plus en plus complète et détaillée des risques.

Le management des risques est une responsabilité partagée entre l’ensemble des acteurs de la communauté des télécoms. Si l’accent reste souvent mis sur les équipementiers de télécommunication pour la 5G en termes de sécurité, il ne faut pas perdre de vue la responsabilité des opérateurs, en charge du management des risques liés à la sécurité des infrastructures, la confidentialité des données échangées sur le réseau ainsi que les risques spécifiques liés à la chaîne d’approvisionnement. Traiter ces risques permet de responsabiliser les fournisseurs de produits 5G (logiciels, composants physiques, etc.) et de les inciter à placer la barre plus haut en ce qui concerne la sécurisation de leurs produits. Les consommateurs de 5G et notamment les entreprises sont responsables de contrôler l’accès au réseau par des individus et par des objets. Enfin, l’écosystème 5G doit être le lieu d’une collaboration transparente entre le secteur privé et le secteur public dans l’application de standards de sécurité.

Une dernière piste de réflexion à explorer dans la sécurisation des réseaux 5G est la place de l’Intelligence Artificielle (IA) dans la mise en œuvre de mesures de détection et de contrôle. En théorie, les réseaux 5G devrait profiter des progrès de l’IA et notamment du Machine Learning dans l’analyse des comportements anormaux sur les réseaux. Cette automatisation du contrôle du trafic devrait permettre une détection en temps réel des menaces d’attaques. Reste à savoir comment faire interagir ces technologies d’automatisation avec la production d’intelligence collective sur la menace.

Du point de vue de la cybersécurité, l’avènement de la 5G en tant que réseau de télécommunication représente une rupture dans la façon de penser la sécurité des réseaux. Son architecture décentralisée rend obsolète les mesures de sécurité périmétrique, sa dépendance à des logicielles fait naitre de nouvelles vulnérabilités le long de la chaîne d’approvisionnement, son rôle structurant dans l’économie attire l’intérêt d’acteurs malveillant. Ces défis sont importants et leur traitement doit être collectif car ils engagent la sécurité de chaque État. Le management des risques est à la fois une responsabilité collective mais également l’opportunité pour la communauté des télécommunications de structurer et de rendre automatique le partage d’intelligence et de modélisation de la menace. Cela permettra de relever le niveau de sécurité des réseaux 5G et d’ainsi baisser leur niveau d’attractivité pour des acteurs malveillants.