Le Centre national de gestion des risques (NRMC) de l’Agence pour la cybersécurité et la sécurité des infrastructures (CISA) a été occupé à évaluer et à identifier les risques de sécurité pour les services sans fil 5G, qui présentent de nouveaux risques propres à la technologie, a déclaré un responsable du NRMC le 22 avril.
Lors de l’événement Planning for 5G Security de FCW, Dan Dagher, responsable de l’initiative de gestion des risques de la chaîne d’approvisionnement chez NRMC, a discuté des nouveaux risques de sécurité que la 5G présente et de ce que son équipe fait pour les combattre.
Un problème de sécurité unique que pose la 5G est le développement de politiques et de normes, a déclaré Dagher.
Selon Dagher, il y a «des influences malignes et le développement de normes à mesure que la technologie devient plus complexe», qui «influenceront la conception et l’architecture des technologies 5G» au profit des entreprises. De cette façon, les entreprises peuvent influencer les normes pour qu’elles en bénéficient ou pour «rendre les contrôles plus ou moins facultatifs dans les implémentations standard», a-t-il déclaré.
«Un autre problème de sécurité unique concerne les problèmes de sécurité de la chaîne d’approvisionnement», a déclaré Dagher. «Les équipements produits ou gérés par des parties non fiables présentent davantage de risques d’introduction malveillante ou accidentelle de vulnérabilités. Maintenant, vous avez beaucoup de composants contrefaits, nous travaillons là-dessus en ce moment, et vous avez l’insertion de logiciels et de matériel malveillants. Et ce ne sont là que quelques exemples de vulnérabilités. »
«Même si les composants TIC sont achetés à des entreprises de confiance, l’entreprise peut maintenir des installations de production dans d’autres régions, ou à l’étranger, ce qui peut introduire un risque de chaîne d’approvisionnement de deuxième ou même de troisième niveau», a-t-il ajouté. «Et donc ceux-ci sont uniques à ce domaine 5G spécifique.
«Vous avez une architecture de systèmes 5G», a-t-il poursuivi. «Ces architectures améliorent la sécurité, mais la variété croissante des composants TIC et l’augmentation de l’utilisation de dispositifs spécifiques à une mission comme l’IoT, par exemple, entraîneront des complexités au sein de l’architecture du système qui pourraient introduire des vulnérabilités.»
Quant au découpage du réseau, Dagher a déclaré: «ils ouvriront tous la porte à de nouvelles voies d’exploitation. La technologie permet la superposition des architectures 4G et 5G, et elle peut donner l’opportunité aux acteurs malveillants de mener des attaques de rétrogradation. Il existe donc des menaces uniques à l’architecture des systèmes 5G dont nous ne sommes tout simplement pas encore sûrs. »
Dagher a poursuivi en disant qu’il n’y aurait peut-être pas de nouveaux outils développés pour atténuer ces risques de sécurité 5G, mais que les outils de sécurité actuels seront probablement adaptés pour servir les technologies 5G.
«Lorsque vous regardez tous les avantages que la 5G peut apporter, nous avons mis en place des outils de sécurité, nous devons simplement les modifier pour ce que la 5G peut apporter. Je pense qu’OpenRAN va être quelque chose où nous pourrions trouver de nouveaux outils, mais nous n’en sommes pas encore là », a déclaré Dagher. «Vous mélangez des composants 5G avec la génération précédente dans des réseaux non autonomes, et cela peut entraîner de nouvelles vulnérabilités dont nous ne sommes tout simplement pas au courant. Mais pour le moment, je pense que nous sommes là où nous devons être, nous devons simplement nous assurer que nous couvrons le spectre 5G. »
OpenRAN fait référence à une norme industrielle sans fil en développement pour les interfaces réseau d’accès radio qui prennent en charge l’interopérabilité entre les équipements fabriqués par différents fournisseurs.