De la défense à la santé, des transports à l’agriculture, en passant par l’éducation et les communications, tout passe désormais par l’espace. Il n’est plus un aspect de la vie économique et sociale qui n’utilise, à un moment ou à un autre, des technologies ou des applications spatiales. Cette dépendance s’accompagne de deux évolutions majeures : l’arrivée massive de nouveaux acteurs du NewSpace, avec des approches opportunistes qui transforment la manière d’envisager le spatial, et la numérisation du secteur.
De plus en plus, les satellites ressemblent à des ordinateurs volants. On rencontre donc dans l’espace les mêmes problèmes de sécurité qu’au sol : attaques informatiques, codes malveillants, exposition aux vulnérabilités, dépendance aux services partagés…
- Expert senior cybersécurité spatiale au CNES
Des zones grises entre le civil et le militaire
De plus en plus d’attaques sont répertoriées, illustrant de manière très concrète la menace cyber qui pèse sur les systèmes spatiaux. En 2014, plusieurs entreprises européennes et américaines du spatial ont ainsi été espionnées par un groupe de cyber-pirates originaire de Chine, appelé « Putter Panda ». En 2018, le ministère des Armées français révélait les manœuvres d’approches inamicales réalisées par le satellite russe Luch-Olymp sur le satellite militaire franco-italien Athena-Fidus.
En 2022, conjointement à l’invasion de l’Ukraine par la Russie, le fournisseur d’accès Viasat, utilisé par le gouvernement ukrainien pour ses télécommunications, faisait l’objet d’une attaque massive. La mise hors service à distance des terminaux de connexion de la société américaine avait notamment entraîné l’arrêt de 6 000 éoliennes en Allemagne et privé de nombreux internautes français de l’accès au réseau dans des zones blanches.
« Cet événement a révélé l’ampleur du risque cyber spatial et ses conséquences, avec des effets de bord dans le domaine civil et très loin de la zone de conflit. Il s’avère que ce type d’attaque, plus facile à dissimuler, difficile à imputer et qui présente l’avantage de ne pas créer de débris comme le ferait une destruction physique, est privilégié par ceux qui souhaitent neutraliser un système spatial », analyse Julien Airaud.
Attaques ciblées ou opportunistes
Les attaquants, comme leurs motivations, sont extrêmement divers et les tensions géopolitiques ne font qu’accentuer la pression. Il y a bien sûr le ciblage étatique ou les actions sponsorisées par des États à des fins d’espionnage, de sabotage ou d’intelligence économique ; le crime organisé, dans une optique de demande de rançon ; ou encore, des activistes qui détournent des systèmes pour diffuser des messages de revendication.
« De plus en plus d’attaquants exploitent simplement les vulnérabilités d’un système parce qu’on a laissé la porte ouverte ou parce qu’on ne les connaissait pas, explique l’expert. Les agences jouent le jeu de rendre le spatial accessible, de mettre des logiciels et des outils à disposition sur Internet, qui sont utilisés par des start-up, des centres universitaires, des étudiants pour développer des moyens spatiaux, et parfois ils embarquent des vulnérabilités technologiques. Tout l’enjeu est de ne pas créer un spatial faible en fournissant à nos partenaires des composants qui pourraient se retourner contre eux, et également d’accompagner les nouveaux entrants qui n’ont pas toujours conscience des risques. »
Réponses collectives
Depuis plusieurs années, la communauté spatiale s’est saisie de cette problématique stratégique pour mettre en place des réponses. L’objectif est de continuer à remplir les trois critères essentiels de la cybersécurité, que sont la disponibilité, l’intégrité et la confidentialité des moyens et des données. Parmi les différentes actions, des centres de collaboration ont été créés pour mettre en réseau les acteurs, les sensibiliser et partager les bonnes pratiques. C’est le cas au niveau européen du EU Space ISAC (centre d’analyse et de partage d’information), créé à l’initiative de l’Agence de l’Union européenne pour le programme spatial (EUSPA).
En France, le CNES joue son rôle de fédérateur et d’animateur, pour coordonner la réponse aux cybermenaces. « Nous venons de publier un “guide d’hygiène de cybersécurité” sur les systèmes orbitaux. Ce document, élaboré avec les spécialistes du secteur et les parties prenantes, établit des règles communes à respecter, compte tenu de ce que l’on sait de la menace. L’objectif n’est pas d’être coercitif, mais de faire en sorte que tous les acteurs aient accès à l’information et travaillent ensemble », poursuit Julien Airaud.
Des outils présentés au Cysat de Paris
Salon international consacré à la cybersécurité spatiale, le Cysat se déroule à Paris les 14 et 15 mai. L’événement réunit l’ensemble de l’écosystème spatial pour échanger sur les problématiques liées au risque cyber. À cette occasion, le CNES présentera officiellement le « Guide d’hygiène cybersécurité des systèmes orbitaux », rédigé avec la contribution de ses partenaires institutionnels, industriels et académiques. Il propose aux acteurs concernés directement ou indirectement par le développement, l’opération ou l’utilisation d’un système orbital un ensemble de bonnes pratiques pour réduire les risques d’attaque ou réduire l’impact d’une attaque cyber. Il s’accompagne d’un référentiel normatif, carte mentale répertoriant les règles, standards, réglementations et normes qu’il est indispensable de connaître quand on travaille pour le secteur spatial.
Cela conduit le CNES à réfléchir à la création d'une structure sectorielle duale en lien avec ses tutelles. Une telle structure assurerait plusieurs missions : la veille informationnelle et le renseignement, pour comprendre la menace et accompagner les entreprises et organisations qui y sont confrontées ; l’évaluation et la sécurisation des composants matériels et logiciels qui entrent dans les systèmes spatiaux ; le développement de capacités technologiques souveraines ; la formation, la sensibilisation et la communication.
« Un tel outil n’a pas vocation à se substituer aux opérationnels, mais à écouter leurs besoins, à les inciter à être en veille et à leur fournir des moyens capacitaires, comme des centres d’évaluation, des bancs de simulation, et même des cyberattaquants pour tester les systèmes. Le risque cyber est devenu le risque numéro 1, l’important est d’être résilient, c’est-à-dire, d’être capable de détecter une attaque et de réagir pour retrouver la situation nominale », conclut Julien Airaud.
