Temps de lecture: 6minutes

En tant que spécialiste des réseaux et télécoms, je suis peut-être un peu partial, mais j’ai l’intime conviction que peu de technologies ont un impact aussi profond que la 5G sur notre vie professionnelle et personnelle. 

Edge Computing, technologies mobiles, Internet des objets (IoT), réseaux SDN (Software-Defined Networking), virtualisation… tout semble en effet s’imbriquer à merveille pour créer un nouveau monde des possibles. et la 5G est de toute évidence un élément déterminant de cette ère du tout-numérique.

Nous devons toutefois veiller de très près à la sécurité du cœur du réseau 5G, le 5G Core. Car c’est sur cette infrastructure critique que reposent le contrôle, la gestion et le fonctionnement d’un grand nombre de nos activités quotidiennes. Elle mérite donc d’être protégée de la manière la plus robuste et la plus fiable possible. Ces précautions vous semblent excessives ? Pas si votre entreprise s’appuie sur des réseaux 5G Core pour accélérer la transmission des données, simplifier la connectivité et réduire la latence dans des cas d’usage qui n’existeraient même pas sans la technologie 5G.

Pourquoi sécuriser le 5G Core

Si vous n’êtes ni architecte ni expert en sécurité réseau, vous vous demandez peut-être ce que j’entends par 5G Core. Avant d’en venir au « pourquoi », je vais donc commencer par expliquer de quoi il retourne.

Le 5G Core est le moteur logiciel qui sous-tend les réseaux 5G, notamment les réseaux mobiles dont nous dépendons tant. Pour remplir sa mission, il assure de nombreuses opérations critiques, telles que la virtualisation des fonctions réseau (NFV), l’automatisation, l’Edge Computing, la sécurité, le SDN et la connectivité des appareils IoT.

Imaginez maintenant que toutes ces fonctions soient indisponibles en raison d’une attaque. Voilà un scénario catastrophe face auquel je n’aimerais pas me retrouver.

Contrairement aux infrastructures d’ancienne génération, le 5G Core repose sur une architecture cloud-native dont les composants sont faiblement couplés. Or, si cette approche présente de nombreux avantages, elle est aussi particulièrement difficile à protéger. Inutile de vous rappeler qu’en matière de sécurité, complexité rime souvent avec vulnérabilités et expansion de la surface d’attaque.

Comment s’y prendre

Curieusement, bien que le 5G Core représente une avancée majeure en termes de fiabilité, de performances et de résilience de la connectivité, les processus de sécurisation ne diffèrent guère de ceux de la 4G LTE ou de la 5G classique, du moins en théorie. Installation de pare-feu adaptés, segmentation du réseau, isolation logique entre les parties de l’infrastructure faiblement couplées… les anciennes méthodes restent d’actualité.

D’autres questions stratégiques viennent toutefois se greffer lors de l’élaboration et du déploiement d’un framework 5G Core. L’une des principales exigences consiste à mettre en œuvre un dispositif de défense multicouche, capable de gérer un grand nombre de vulnérabilités susceptibles d’apparaître dans différentes parties du 5G Core. Cette approche multicouche doit par ailleurs dépasser le simple cadre technique pour intégrer des processus de sécurité capables d’identifier, prévenir et corriger l’impact des vulnérabilités. Elle doit également s’appuyer sur des collaborateurs correctement formés, tant au sein des équipes IT que dans toutes les fonctions métiers qui dépendent d’un 5G Core sécurisé.

Mais la principale différence réside dans les logiciels qui forment le 5G Core. Par exemple, la 4G n’étant pas une technologie cloud-native, ses composants logiciels étaient fortement couplés. Par contraste, les composants du 5G Core sont faiblement couplés. Ils présentent donc de réels avantages en matière d’évolutivité, de maintenance et de dépannage.

Ce type d’environnement nécessite cependant une parfaite connaissance des différences entre les principaux éléments des technologies d’ancienne et de nouvelle génération. Il impose par ailleurs une réflexion approfondie sur les nouveaux moyens de simplifier les processus d’identification des vulnérabilités et de former les équipes à la détection et à la neutralisation des menaces.

Les obstacles à surmonter

Jusqu’ici, notre plan semble tenir la route, non ? Seulement voilà, comme le dit l’ancien champion du monde des poids-lourds, Mike Tyson : « Tout le monde a un plan, jusqu’à ce qu’il se prenne un coup de poing en pleine figure. » Et on pourrait en dire autant d’un plan de sécurité apparemment bien ficelé, mais qui doit encore faire ses preuves face à des attaques réelles et souvent inattendues.

Une des premières leçons à retenir dans le domaine de la 5G, c’est que les fournisseurs (et leurs produits) ne se valent pas tous. D’où l’importance de s’assurer que le 5G Core se base sur une infrastructure cloud-native mature et qu’il résulte d’un refactoring bien pensé des technologies d’ancienne génération. Prêtez une attention particulière à la manière dont les modules sont isolés dans le package logiciel.

Il est également important de se doter d’un framework de détection et de réponse à la fois fiable, robuste et multifonctionnel. En effet, c’est souvent dans la manière de détecter, de corriger ou d’isoler les menaces que la partie se joue.

Voyons maintenant à quoi ressemblent ces problèmes dans le monde réel. Imaginons que vous ayez identifié une vulnérabilité et que vous deviez appliquer un correctif dans un module spécifique du 5G Core. À l’époque des logiciels monolithiques fortement couplés, une fois le correctif appliqué, vous pouviez patcher la plupart, voire la totalité des autres modules, puis tester le système pour s’assurer que tout fonctionnait de manière cohésive. Par contraste, dans une architecture faiblement couplée comme le 5G Core, la correction d’un composant peut avoir des effets inattendus sur d’autres éléments, y compris sur la sécurité. Dans un monde idéal, une série de tests de régression permettrait de contrer les répercussions négatives sur le système, mais nous n’en sommes pas encore là. C’est d’ailleurs l’une des raisons pour lesquelles le 5G Core n’est pas encore monnaie courante.

Les avantages du modèle Zero Trust et des autres mesures de protection

Je me demande parfois comment se serait appelé le Zero Trust si nous avions laissé ce soin aux communicants. Si on y réfléchit bien, le concept de « zéro confiance » semble tout de même très négatif et un brin moralisateur. Mais peu importe. C’est sûrement mieux ainsi, car le terme envoie un message clair et fort quant à l’importance de protéger le 5G Core.

Une des raisons pour lesquelles j’aime le modèle Zero Trust (ou l’idée de ne pas accorder intrinsèquement sa confiance), c’est que la question dépasse le cadre technique. Elle renvoie aussi à une démarche philosophique consistant à explorer toutes les pistes possibles et à ne rien tenir pour acquis, tant les conséquences d’une compromission des réseaux 5G peuvent être dévastatrices. Compte tenu de la nature de plus en plus dynamique et interconnectée des principaux cas d’usage de la 5G (gestion de la supply chain, développement logiciel, etc.), il est en effet préférable de s’inscrire dans une démarche Zero Trust afin d’éviter toute exploitation des vulnérabilités de la sécurité.

Et cette approche se révèle tout aussi essentielle pour protéger les autres vulnérabilités potentielles du 5G Core, notamment le BYOD (Bring Your Own Device) et le travail hybride ou en distanciel, deux pratiques désormais fortement ancrées en entreprise. Quand j’envisage les problématiques liées à ces nouveaux modes de travail, ma réponse est simple : Zero Trust. Pourquoi ? Parce que l’humain est l’un des maillons faibles de la chaîne de sécurité. Certes, le BYOD et le télétravail ont amélioré la productivité et la satisfaction des collaborateurs, mais ils ont aussi généré de nouveaux risques d’infiltration du 5G Core.

Ces questions, que nous ne nous posions même pas il y a encore quelques années, se sont soudain imposées comme des éléments essentiels de nos stratégies de sécurité. Nous avons donc pris des mesures pour mieux protéger les systèmes distants, au moyen de jetons par exemple, afin d’empêcher tout accès non autorisé. Il s’agit là de mesures de sécurité fondamentales, non seulement pour les employés, mais également pour les prestataires et consultants externes.

Le Zero Trust et les autres mesures de protection du 5G Core se révèlent par ailleurs essentiels dans le domaine de l’IoT. Dorénavant, nous menons des analyses et des investigations approfondies sur toute la chaîne de valeur de l’IoT, jusqu’aux fabricants des composants électroniques intégrés aux objets connectés.

Nous avons aussi considérablement renforcé notre surveillance du trafic afin de pouvoir détecter et neutraliser les menaces de manière plus rapide, plus précoce et plus complète. Puis, pour compliquer encore un peu l’équation, nous avons dû composer avec une nouvelle variable : le BYOD version IoT. (Allez savoir quel acronyme on va inventer pour ça !) Certains de nos clients utilisent en effet leurs propres appareils IoT sur notre réseau 5G. Nous devons donc travailler en étroite collaboration avec eux afin de déterminer d’où viennent ces équipements, comment ils sont utilisés et à quels services réseau ils peuvent accéder.

Nous devons ainsi parfois interdire l’accès à certains appareils que nous ne sommes pas en mesure de protéger de manière satisfaisante. Cette décision s’impose non seulement d’un point de vue opérationnel, mais également en termes de conformité. Au vu de l’immense engouement que suscite la 5G, les autorités de régulation ont en effet à cœur d’encadrer l’usage de l’IoT dans les environnements réseau.

Vers une sécurité plus fiable et plus efficace

Le 5G Core est un environnement où « l’à peu près » n’a pas sa place. Sa sécurité doit donc être d’une cohérence, d’une fiabilité et d’une efficacité à toute épreuve. Voici quelques leviers d’action pour y parvenir :

  1. Efforcez-vous d’adopter les bonnes pratiques de sécurité dès le départ. On peut considérer cette démarche comme une sorte d’approche « shift-left » appliquée au triptyque humain, processus et technologies. Pour y parvenir, vous devrez commencer par étudier et mettre en œuvre des frameworks de sécurité reconnus et largement utilisés, tels que l’excellent NIST, par exemple.
  2. Préparez-vous à des attaques aux conséquences potentiellement dévastatrices. Vous devez en effet vous attendre au pire et tout mettre en place pour être prêt le jour J : les processus, les outils, les compétences et la réponse à incident. Cela vous permettra par ailleurs d’isoler rapidement la menace, car plus le temps de réponse est court, moins vos clients sont exposés. Dans le meilleur des cas, il se peut même qu’aucun d’entre eux ne soit affecté.
  3. Élaborez et appliquez un plan de communication solide, où toutes les parties prenantes ont voix au chapitre : équipes IT, sécurité et métiers ; Comex et conseil d’administration. Ce plan doit par ailleurs tenir compte des exigences juridico-réglementaires ainsi que des préoccupations des clients, des partenaires et des autorités judiciaires. Du point de vue du contenu, il s’agit d’expliquer, étape par étape, quelles actions doivent être entreprises, par qui et à quel moment.

Le potentiel de la technologie 5G a déjà dépassé nos attentes à bien des égards. Et il entrouvre chaque jour de nouvelles possibilités. Mais que deviendront ces promesses si nous ne parvenons pas à protéger efficacement le 5G Core ?

Ensemble, nous pouvons renforcer la protection du 5G Core pour rassurer nos clients et utilisateurs quant à la sécurité de leurs ressources numériques.

Mike Irizarry est Vice-président exécutif et CTO d’UScellular, un des plus importants opérateurs de services sans fil des États-Unis.