Semi-conducteurs : la sécurité de la supply chain en question avec la pénurie

semi-conducteurs supply chain

En parallèle des travaux de l’UE sur le Cyber Resilience Act et dans la lignée d’un rapport du DHS sur la supply chain des TIC, Europol alerte des risques liés à la contrefaçon de semi-conducteurs.

De l’eau au moulin de la Commission européenne ? Il y en a dans le dernier rapport d’Europol sur la propriété intellectuelle. En tout cas dans le contexte du Cyber Resilience Act.

Cette règlementation vise à renforcer la sécurité des objets connectés commercialisés sur le marché intérieur. Elle est en gestation. L’UE vient d’ouvrir une consultation publique.

Le rapport d’Europol vise plus large que les objets connectés. Il couvre en l’occurrence les appareils audio-vidéo, les cartes mémoires et clés, les consommables d’impression et les équipements informatiques. On y retrouve toutefois des questions que se pose aussi Bruxelles.

Europol aborde à deux niveaux les risques liés à la contrefaçon dans ce secteur. D’un côté, les soucis de sûreté que posent des composants comme les batteries, les chargeurs et les accessoires. De l’autre, les problèmes liés aux semi-conducteurs. Autant en matière de fiabilité – a fortiori quand des pièces usagées sont vendues comme neuves – que de cybersécurité. Problèmes dont il est difficile de repérer la provenance va la complexité de la supply chain.

Le phénomène n’a rien de nouveau. Mais il est plus prégnant avec la pénurie de semi-conducteurs, les fabricants étant tentés de se tourner vers des fournisseurs alternatifs… avec les risques que cela induit.

ERAI, organisation spécialisée dans le suivi de la supply chain de l’électronique, en donnait l’illustration à l’automne dernier. Elle faisait état d’arnaques liées à l’usurpation de l’identité de Digi-Key. Des tiers s’étaient fait passer pour le service client et étaient parvenues à rediriger des achats vers eux. À la clé, pour les clients, des microcontrôleurs contrefaits vendus sous la marque STMicroelectronics.

Un marché des TIC concentré à tous les étages

Plus récemment, ERAI a listé une quarantaine de faux sites de vente et une centaine de fausses marques. Le département américain de la Sécurité intérieure (DHS) a quant à lui émis un rapport sur la supply chain dans le domaine des TIC. Il y aborde le sujet de la contrefaçon sous le prisme de la sécurité nationale. Et fournit, sur la partie hardware, quelques indicateurs :

PCB
5 des 10 plus gros fournisseurs sont basés à Taïwan. La Chine a capté 52,4 % de la valeur du marché mondial en 2018. Les fournisseurs localisés aux États-Unis sont fortement dépendants de leurs contrats avec le secteur de la défense.

Fibre optique
Situation similaire, malgré la bonne position de Corning. La Chine disposerait d’un excédent de 300 millions de km de fibre. Cette réserve pourrait doubler d’ici à 2024, dépassant la production annuelle 2020 (environ 500 millions de km). Attention, pour les concurrents étrangers, à la probable chute des prix lorsque ce stock sera écoulé.

Réseaux et serveurs
Les EMS (electronics manufacturing services) et les ODM (original design manufacturers) taïwanais captent plus de 90 % des livraisons mondiales de serveurs. Leur production est réalisée environ aux deux tiers en Chine. On retrouve un équilibre comparable sur la partie réseau, malgré les mesures prises avec le Covid (délocalisation d’une partie de la production de ces fournisseurs… et relocalisation d’une partie des équipementiers américains sur leur marché national, en partie aussi pour éviter les « taxes Trump ».

PCA
14 des 20 principaux assembleurs (EMS et ODM) sont en Asie. Dont 11 à Taïwan, qui captent 82 % du marché mondial.
C’est sur ce volet que le DHS parle réellement contrefaçon. Avec un exemple de recherche malheureuse de sources alternatives : le groupe japonais Jenesis, passé par Alibaba… pour récolter des composants contrefaits.

Photo d’illustration © oskay / CC BY 2.0