Comment évolue Huawei, alors que cela fait maintenant deux ans que l’entreprise a ouvert son centre belge pour la transparence? Le point sur la stratégie de sécurité.

L’ambition du Cybersecurity Transparency Center de Huawei était de regagner la confiance après les accusations d’espionnage émanant des Etats-Unis. Le pays avait en effet été frappé par différentes mesures empêchant le géant technologique chinois de produire encore des smartphones entièrement équipés d’Android.

Ouverture totale

L’une des solutions imaginées alors par Huawei a été de prôner davantage de transparence. Précédemment déjà, une telle stratégie de ‘centres de transparence’ avait été imaginée par Kaspersky, le spécialiste russe de la sécurité qui avait également connu des problèmes géopolitiques et avait autorisé la consultation du code source de ses solutions antivirus. Huawei a donc adopté une approche similaire avec Bruxelles. Entre-temps, l’entreprise a ouvert six centres similaires à l’échelle mondiale. Ainsi, la Chine, le Canada, Dubaï, le Royaume-Uni et Bonn accueillent de tels sites, alors que celui de Bruxelles est le seul en Europe à avoir été installé entièrement par le groupe lui-même. Cela signifie notamment que Huawei organise ici des événements et des sessions d’information pour ses clients.

Mais ce centre permet aussi d’examiner le code source de plusieurs autres logiciels. Ceux-ci sont installés au quartier général de Shenzhen et diffusés en streaming via VPN dans des salles dédiées à Bruxelles. ” Ce n’est qu’à Bruxelles et à Shenzhen que les clients ont accès au code source, insiste Yoann Klein, ‘senior cyber security advisor’ chez Huawei. Dans les autres pays, nous faisons de l’analyse de produit, tandis qu’au Royaume-Uni par exemple, les pouvoirs publics peuvent déléguer du personnel pour venir examiner nos produits. Et à Bruxelles, le client peut lui-même solliciter un rendez-vous. ” Depuis l’ouverture du centre, quelque 2.000 personnes ont été accueillies. ” Des journalistes, mais aussi des clients, des universitaires, des régulateurs, etc. Une partie d’entre eux a également été reçue en virtuel. ”

Mais pour procéder à de véritables études, une visite sur place est nécessaire. ” En moyenne, de 4 à 5 personnes viennent consulter le code durant 3 semaines environ. Les gens sous-estiment souvent le travail nécessaire à une telle éva- luation. ” A quoi s’intéressent-elles? Au code source de différents programmes et du système d’exploitation HarmonyOS, ou encore aux couches supé- rieures de composants du système d’exploitation de routeurs ou de commutateurs. Par contre, celui qui désire analyser le matériel d’une station de base 5G devra se rendre en Chine ou faire confiance à un tiers chargé de ces audits.

Contrôles et équilibres

Sans surprise, une entreprise confrontée à une telle situation insistera sur les multiples contrôles et équilibres dans le développement de ses produits, qu’il s’agisse d’audits de tiers, mais aussi de processus internes. ” La sécurité est notre priorité depuis 2011 déjà. Elle est le fondement de toute une série de systèmes “, précise Klein. Et de citer l’exemple du recrutement ainsi que des contrôles et formations associés. ” Par ailleurs, nous avons prévu une scission des tâches liées au développement du code, insiste-t-il. Le développeur ne va jamais finaliser le produit et l’envoyer, mais le transmet d’abord à une deuxième et une troisième personne qui le vérifient. ” Cette procédure doit permettre qu’aucune erreur – intentionnelle ou non – ne se retrouve dans le code.

Mais cette stratégie de la transparence est-elle efficace? ” En fait, les clients n’ont jamais retiré la confiance qu’ils plaçaient dans Huawei, affirme Klein. Ils collaborent depuis longtemps avec nous et lorsqu’ils nous rendent visite, c’est surtout pour voir ce que nous avons à leur offrir. Ils veulent regarder les faits afin de pouvoir expliquer la si- tuation à leur propre régulateur par exemple. Ce faisant, je pense que nous avons réussi à gagner leur confiance. ”