Ce 17 avril, le journal Néerlandais « Volkskrant » a publié un article basé sur une analyse de risque confidentielle datant de plus de 11 ans, réalisée par Capgemini pour le compte de KPN. De Volkskrant fait des déclarations sévères sur la base de cette analyse des risques, qui avait pour but d’identifier les risques et de les traiter en interne afin d’améliorer la sécurité et l’intégrité des systèmes de KPN et de prendre des décisions réfléchies, ce qui s’est produit. KPN estime qu’il est important de souligner ce qui suit!
Aucun fournisseur de KPN ne dispose d’un accès « non autorisé, non contrôlé et illimité » à ses réseaux et systèmes, ni de la possibilité d’écouter les clients de KPN ou de consulter des informations sur les écoutes. Au cours de toutes ces années, KPN n’a jamais observé qu’Huawei ait volé des données de nos réseaux ou des systèmes de nos clients, ou qu’elle ait pratiqué l’écoute clandestine. Si tel avait été le cas, KPN en aurait certainement informé les autorités compétentes et leurs clients et pris des mesures contre le fournisseur.
En partie sur la base de l’analyse de risque de Capgemini, KPN a décidé à l’époque de ne pas poursuivre l’externalisation prévue de la maintenance complète de son réseau mobile principal. Un plan d’amélioration a été élaboré en 2010 pour les systèmes et processus identifiés dans l’analyse et mis en œuvre immédiatement.
KPN travaille avec différents fournisseurs pour ses réseaux, dont Ericsson, Huawei et Nokia. Nous soumettons tous nos fournisseurs à des directives de sécurité strictes et ils doivent tous se conformer à la politique de sécurité de KPN. La sûreté, la confidentialité et la sécurité sont les principales priorités de KPN. C’est pourquoi KPN prend des mesures permanentes pour améliorer la sécurité. La politique de KPN est toujours conforme à la législation et à la réglementation en vigueur. Le domaine de la sécurité étant en constante évolution, KPN vérifie régulièrement ses processus et ses systèmes pour détecter les risques et les menaces potentiels. KPN le fait elle-même, charge d’autres personnes de le faire et est régulièrement auditée par les régulateurs. Nous assurons le suivi des conclusions et des recommandations qui en découlent. Cela faisait partie du passé et fait désormais partie intégrante de notre politique de sécurité.
Ce faisant, KNP tient compte de l’évolution des idées concernant la protection des infrastructures critiques, qui sont différentes aujourd’hui de ce qu’elles étaient dans le passé. En réponse, KPN a encore renforcé leur politique de sécurité pour les fournisseurs de réseaux fixes et mobiles ces dernières années, ce qui est un processus continu. Pour le renouvellement et le remplacement du cœur du réseau mobile, ils travaillent également avec un fournisseur occidental, à savoir Ericsson.
Capgemini a réalisé une analyse des risques pour le compte de KPN il y a plus de 11 ans, car KPN voulait savoir si certains systèmes et processus du réseau mobile central de KPN présentaient des risques pour la sécurité. À l’époque, la maintenance du réseau mobile central était assurée par KPN, avec le soutien de Huawei.
« Nous voulions également savoir quels seraient les risques si nous externalisions la totalité de la maintenance de notre réseau mobile principal. En partie sur la base de cette analyse des risques, il a été décidé à l’époque de ne pas externaliser la maintenance. » – nous raconte KPN. Aujourd’hui encore, KPN effectue cette maintenance elle-même, avec le soutien d’experts de plusieurs parties. Un plan d’amélioration a été élaboré en 2010 pour les systèmes et processus identifiés par l’analyse comme étant à risque, et il a été mis en œuvre immédiatement.
La politique de sécurité de KPN est publique, voir : https://ciso-ksp.kpnnet.org/ et pour leur déclaration de confidentialité voir : https://www.kpn.com/algemeen/missie-en-privacy-statement/privacy-statement.htm.
—————————————————————————————————-
Huawei souhaite apporter les précisions suivantes :
Sur la base d’un rapport confidentiel datant de 2010, un journal néerlandais a rapporté, le 17 avril, que Huawei aurait eu un accès non autorisé au réseau de l’opérateur national KPN et aurait pu, par ce biais, écouter les conversations de ses utilisateurs, y compris celles du Premier ministre des Pays-Bas de l’époque, M. Jan Peter Balkenende.
Huawei prend ces accusations très au sérieux et tient à rappeler que Huawei Pays-Bas n’a jamais eu accès aux données d’interception légale et ne pouvait être en mesure d’écouter les conversations de Jan Peter Balkenende ou de tout autre utilisateur.
En outre, on mentionne que six employés auraient obtenu un accès non autorisé aux informations des clients de KPN. Ces employés étaient sous la responsabilité directe de l’opérateur et non de Huawei Pays-Bas : aucun employé de Huawei n’a bénéficié d’un accès non autorisé au réseau ou aux données de KPN, ni aux données extraites de ce réseau. Ce rapport n’ayant jamais été mis à la disposition de Huawei ou consulté par ses équipes, les allégations formulées ici sont dès lors infondées.
La position de Huawei Pays-Bas a été confirmée par l’opérateur KPN : « Aucun fournisseur de KPN ne dispose d’un accès non autorisé, non contrôlé et illimité à ses réseaux et systèmes, ni ne peut écouter les clients de KPN ou consulter les informations d’interception. »
En 15 ans de présence aux Pays-Bas, Huawei n’a jamais fait l’objet d’accusations par les autorités néerlandaises d’actes non autorisés. Huawei place la cybersécurité et la protection de la vie privée en tant que priorité absolue.
