En butte aux critiques, Huawei mise sur la transparence pour redorer son blason

Huawei vient de donner un coup de fouet à ses relations publiques en promettant de s’engager en faveur de la cybersécurité, avec l’ouverture de son dernier centre dédié à la transparence à Dongguan, en Chine. En butte aux critiques, la firme de Shenzhen a aussi publié le « cadre de référence en matière de sécurité » qu’il affirme avoir adopté pour ses produits, et qui décrit les exigences en matière de mise en œuvre et de conformité aux exigences légales et réglementaires.

Le nouveau site de Dongguang fait partie des sept centres dédiés à la transparence que Huawei exploite dans le monde, notamment en Belgique, en Allemagne, au Canada et au Royaume-Uni, où le premier a été lancé en 2010. Ces sites ont accueilli 700 échanges de clients au cours de la dernière décennie. Selon Huawei, ces centres proposent une plateforme sur laquelle ses produits et logiciels peuvent être testés et dont la sécurité peut être vérifiée par les clients et les gouvernements. Les centres fournissent des documents techniques, des outils et des environnements de test, ainsi qu’une assistance technique.

Interrogée par la rédaction de ZDNet, la direction de Huawei indique que les clients et les gouvernements seront également en mesure de consulter les codes sources de son cadre de sécurité. Le porte-parole du géant chinois précise que des organisations de test tierces indépendantes seront en mesure d’effectuer des « tests et vérifications de sécurité équitables, objectifs et indépendants », basés sur les normes et les meilleures pratiques de cybersécurité « reconnues par l’industrie ».

Montrer les « Joyaux de la Couronne »

Le nouveau centre du groupe chinois permet aux personnes extérieures d’accéder à distance au code source de Huawei, nos « Joyaux de la Couronne », ajoute ce dernier. En parallèle, la firme de Shenzhen a dévoilé son cadre de référence en matière de sécurité, intégré dans son processus de développement de produits et développé pour répondre aux exigences légales et réglementaires. Ce cadre comprend 54  couvrant 15 catégories pour la mise en œuvre des produits, notamment la prévention des portes dérobées, le contrôle des canaux d’accès, le chiffrage ou la sécurité des applications.

Le groupe chinois a relevé que c’était la première fois que son référentiel de sécurité était mis à la disposition de l’industrie. Huawei a également insisté sur la nécessité d’une « approche unifiée » de la cybersécurité, soulignant que des organismes industriels comme la GSMA et le 3GPP avaient poussé à l’adoption de normes, telles que NESAS (Network Equipment Security Assurance Scheme), et de certifications indépendantes.

« A l’heure actuelle, l’industrie manque toujours d’une approche coordonnée basée sur des normes, en particulier en ce qui concerne la gouvernance, les capacités techniques, la certification et la collaboration », explique la direction du géant chinois, qui fait l’objet d’un embargo américain de longue date pour des collusions alléguées avec le régime de Pékin.

La transparence en point d’orgue

Le NESAS est une initiative volontaire introduite pour fournir un programme de renforcement de la sécurité axé sur les équipements d’infrastructure des réseaux mobiles. Il englobe les équipements conçus pour faciliter les fonctions définies par le 3GPP (3rd Generation Partnership Project) et déployés par les opérateurs de réseaux mobiles sur leurs réseaux. Plus précisément, il comprend des évaluations de sécurité des processus de développement des fournisseurs et du cycle de vie des produits, ainsi que des évaluations de sécurité des produits de réseau.

Le programme a été adopté par une poignée de fournisseurs, à savoir Nokia, Ericsson et ZTE. « Ces lignes de base ont été largement acceptées par l’industrie et joueront un rôle important dans le développement et la vérification de réseaux sécurisés », affirme Huawei, ajoutant que ses équipements 5G et LTE ont passé l’évaluation NESAS. Par le biais de ses centres de transparence, le fournisseur indique avoir organisé plus de 200 000 cours et formations couvrant le développement de processus de cybersécurité et de confidentialité, ainsi que la vérification et les tests.

L’année dernière, le géant chinois a également procédé à une évaluation des risques et contrôlé plus de 4 000 fournisseurs de divers services de cybersécurité. Huawei ajoute que l’émergence des réseaux et services 5G augmentera également les risques de sécurité, soulignant ainsi la nécessité d’efforts collectifs pour lutter contre ces menaces. « La numérisation de l’industrie, et les nouvelles technologies comme la 5G et l’IA, ont rendu le cyberespace plus complexe, aggravé par le fait que les gens ont passé une plus grande partie de leur vie en ligne tout au long de la pandémie », rappelle la direction du groupe.

Des dépenses en hausse

Et de noter que la numérisation a également brouillé les frontières physiques des réseaux traditionnels, entraînant un plus grand nombre de menaces pour les réseaux, ainsi que des conséquences plus graves des vulnérabilités et des attaques. « Le risque de cybersécurité est une responsabilité partagée. Les gouvernements, les organismes de normalisation et les fournisseurs de technologie doivent collaborer plus étroitement pour développer une compréhension unifiée des défis de la cybersécurité. Il doit s’agir d’un effort international », relève Ken Hu, président tournant de Huawei.

Les dépenses en recherche et développement (R & D) en matière de cybersécurité et de protection de la vie privée du géant chinois représentent 5 % de son budget global de R & D, tandis que l’effectif mondial du groupe compte plus de 3 000 professionnels de la R & D en cybersécurité.

Pour rappel, Huawei a lancé la semaine passée HarmonyOS 2 sur 100 de ses appareils en Chine, notamment des smartphones, des montres intelligentes et des tablettes, poursuivant ainsi son objectif d’installer le système d’exploitation mobile sur plus de 300 millions d’appareils. En avril, l’entreprise indiquait qu’elle continuerait à diversifier ses produits afin d’amortir le déclin de ses ventes de smartphones, affectées par les sanctions américaines à l’exportation, qui ont bloqué l’accès à l’écosystème Android de Google.

HarmonyOS n’étant toujours pas disponible en dehors de la Chine, il reste à voir si le système d’exploitation mobile sera adopté aussi largement à l’échelle internationale, car sa distribution dans plusieurs catégories d’appareils grand public pourrait susciter des inquiétudes en matière de sécurité et de confidentialité.

Source : ZDNet.com