La cybersécurité dans le spatial : un écosystème récent

Épisode #2 by Emmanuel Mondon[1]

Le Hub Cyber & Security Systematic propose un cycle d’articles sur le thème de « La cybersécurité dans le spatial ». Faisant suite à un premier volet dédié à l’aspect juridique co-écrit par Cécile Théard-Jallu et Laetitia Cesari du cabinet de Gaulle Fleurance, ce second volet aborde l’écosystème associé, des chercheurs aux industriels en passant par les organisations de standardisation, en adressant les trois segments (sol, bord, utilisateurs) décrits par l’illustration ci-dessous figurant dans le document préparé par ESA Security Office daté du 15 octobre 2023 intitulé « ESA cyber security resilience achievement »[2].

Pourquoi récent ?

L’industrie spatiale s’est développée à partir des années 1960 répondant à la commande, et sous le contrôle, d’agences gouvernementales développant des programmes spatiaux. Depuis lors, les infrastructures spatiales civiles, dont les satellites commerciaux, ont toujours été conçues pour être fiables mais pas sécurisées. . En effet, le secteur spatial a pendant longtemps négligé les cybermenaces, ses infrastructures étant, par nature, potentiellement menacées par un nombre très limité d’acteurs bien connus les uns des autres, voire sans objet donc pas traité car non nécessaire dans le cas d’infrastructures « non digitales ».

Toutefois, des exemples récents ont montré que la frontière entre missions civiles et militaires est de plus en plus floue (contrat ICEYE pour le gouvernement ukrainien)[3]. Des opérateurs commerciaux ont été pris pour cibles par des groupes étatiques (Viasat KA-SAT, cf. détails ci-dessous).

Ainsi, assurer la confidentialité, l’intégrité et la disponibilité des données spatiales face aux cybermenaces actuelles constitue un nouveau défi. De plus, l’ensemble de la chaîne de valeur doit être considéré, pas seulement les satellites en orbite, mais également les segments sols et spatiaux, les communications entre les deux, les services à valeur ajoutée et les utilisateurs finaux de ceux-ci, créant des niveaux de complexité supplémentaires. D’autant plus avec les approches actuelles de type « NewSpace », « Space as a Service » ou verticalisation complète du lanceur au service pour le grand public (Space X/Starlink).

Les données spatiales sont un enjeu. Les infrastructures spatiales rendent un service essentiel aux mondes des télécommunications et des médias, eux-mêmes au centre des enjeux de manipulation. Pour mémoire, les menaces cyber ont deux modalités : casser une infrastructure ou en prendre le contrôle pour l’exploiter, la manipuler.

La cybersécurité dans l’espace est le sujet principal du fait des modes de communication actuels entre satellites et des nouvelles menaces liées aux satellites rodeurs ennemis. Les solutions sont le cryptage, les communications laser et la redondance au sein de constellations.

Enjeux de sécurité spatiale

Les informations générées par les systèmes spatiaux participent de manière significative au développement de notre économie. Les systèmes d’information et de communication (ICT) auxquels elles participent constituent une partie essentielle du fonctionnement des pouvoirs publics, de l’activité des entreprises, de la production de services ainsi que de notre vie quotidienne. Les services qu’ils assurent nous sont aussi indispensables que les transports, la distribution d’électricité ou d’eau. Les systèmes ICT, et les informations générées par les systèmes spatiaux, sont désormais devenus des données constitutives de notre société. Les systèmes spatiaux sont devenus indissociables de la mise en œuvre d’infrastructures critiques nationales et européennes ou d’opérateurs de services essentiels.

Les performances, sans cesse améliorées des systèmes spatiaux et notre dépendance à ceux-ci, renforcent significativement leur attrait en cas de conflits ou d’agressions. Ils constituent des cibles de choix pour tous ceux qui souhaitent affaiblir nos institutions, nos entreprises ou nous porter atteinte individuellement. L’actualité nous prouve que le cyberespace est devenu le théâtre d’actions récurrentes et agressives aux conséquences sous-estimées.

Les technologies se développent actuellement à grande vitesse et leur propagation, en corrélation avec une dépendance vis-à-vis des équipements spatiaux, ne fait que s’accélérer, avec pour résultat un espace extra-atmosphérique de plus en plus encombré, disputé et concurrentiel.

Liens entre espace et cyberespace

Comme l’écrit Clémence Poirier[4] dans sa note du 11 juin 2024 intitulée « Understanding Cybersecurity in Outer Space »[5] :

« The digitalization of space has increasingly interlinked space and cyberspace, exposing satellites, ground stations, and user terminals to cyber threats. Understanding the links between space and cyberspace is critical to better protect the space assets on which society relies. »

En effet, aujourd’hui, de nombreux services terrestres essentiels dépendent fortement des satellites pour collecter et transmettre des données. Selon le rapport Allied Market Research de septembre 2021[6], le marché des services à valeur ajoutée qui s’appuient sur des données satellitaires, estimé à 6,09 milliards de dollars en 2020, devrait atteindre une valeur de 45,85 milliards de dollars d’ici 2030, soit une croissance annuelle de 22,5% de 2021 à 2030.

L’industrie spatiale est considérée par beaucoup comme la grande inconnue qui sous-tend notre vie quotidienne. Ainsi, au Royaume-Uni, selon deux rapports[7], près de 18% du PIB – soit GBP 370 milliards – dépend de services satellitaires et l’arrêt des services de navigation pendant 7 jours entrainerait une perte de GBP 7.6 milliards de PIB.

Le grand public s’est rendu compte de la vulnérabilité des satellites et des impacts associés lors de la cyber-attaque du satellite Viasat KA-SAT le 24 février 2022[8], lancée au début de l’invasion russe de l’Ukraine, rendant inopérants des dizaines de milliers de terminaux utilisés par des entreprises et des organisations de divers secteurs à travers l’Europe. Ainsi 5 800 éoliennes de la société allemande Enercon, représentant une capacité totale de 11 gigawatts (GW), ont été déconnectées, empêchant leur surveillance et contrôle à distance.

Le 17 mars 2022 la Cybersecurity and Infrastructure Security Agency (CISA) et le FBI se disaient « conscients des menaces possibles pour les réseaux de communication par satellite américains et internationaux », et publiait une alerte – mise à jour le 10 mai 2022 – visant à renforcer la cybersécurité des fournisseurs et clients de ces réseaux[9].

Pour en savoir plus au sujet de cette cyber-attaque, vous pouvez consulter le rapport 84 publié par le think tank European Space Policy Institute (ESPI) en octobre 2022 “The war in Ukraine from a space cybersecurity perspective”.[10]

Des initiatives techniques, nationales et internationales

La cybersécurité des systèmes spatiaux est une préoccupation croissante, compte tenu de leur complexité et de leur rôle essentiel dans le soutien des infrastructures terrestres. Cependant, l’absence de normes sectorielles constitue un défi de taille.

Le protocole Space Data Link Security (SDLS)[11] a été conçu en 2015 puis mis à jour en 2022 par des experts du Consultative Committee of Space Data Systems (CCSDS), forum multinational composé de nombreuses agences spatiales dont NASA, ESA, CNES, DLR, etc.

Des experts de premier plan en communications spatiales de 28 pays collaborent au développement des normes de communication et de traitement des données spatiales les plus perfectionnées au monde. L’objectif est d’améliorer l’interopérabilité et le soutien croisé entre les gouvernements et les entreprises, tout en réduisant les risques, le temps de développement et les coûts des projets.

Le protocole SDLS est reconnu comme le moyen le plus sûr d’exploiter des satellites. Pourtant très peu d’ingénieurs spatiaux en ont entendu parler et encore moins sont capables de le mettre en œuvre dans une mission réelle. D’où la proposition de formation sur le protocole SDLS lors de CYSAT 2025, le mercredi 24 avril 2025 de 9h30 à 12h30 à Station F à Paris, assurée par Ignacio Aguilar Sanchez, ingénieur de l’ESA.

Une multitude d’acteurs de la communauté spatiale partagent le besoin d’une norme. Lors de la conférence ASCEND 2022, plus de 40 co-auteurs ont publié un appel, soulignant l’importance de s’attaquer à ce problème : An International Technical Standard for Commercial Space System Cybersecurity – A Call to Action[12].

Pour garantir des pratiques de cybersécurité cohérentes et une sécurité mondiale, il est essentiel d’établir des réglementations et des normes complètes pour les systèmes spatiaux. La complexité des missions spatiales et la nécessité d’une coopération internationale amplifient encore l’urgence d’harmoniser les règles.

L’élaboration de la norme IEEE sur la cybersécurité des systèmes spatiaux (en anglais Standard for Space System Cybersecurity – S2CY) implique un processus complet qui comprend cinq sous-comités (Space Segment subcommittee, Link Segment subcommittee, Ground Segment subcommittee, User Segment subcommittee, Integration Layer subcommittee) collaborant sous la direction du groupe de travail P3349 – Space System Cybersecurity Working Group. Ils définiront les exigences de cybersécurité, identifieront les menaces et les vulnérabilités, et recommanderont des contrôles et des contre-mesures appropriés pour chaque segment d’une mission spatiale.

Ces exigences de cybersécurité devront tenir compte des contraintes, de coûts notamment, qui s’appliquent aux industriels du « newspace » : trop souvent, comme souligné dans un « Manifesto for More (Cyber)Security in the NewSpace Ecosystem » [13] , ces entrepreneurs – et les investisseurs dans les « start-ups » – sont bien moins sensibilisés aux questions de sécurité en général, et de cybersécurité en particulier, que ne le sont les grandes entreprises « historiques » du secteur.

A noter : la présentation de Mathieu Bailly le 24 avril 2024 lors de CYSAT 2024 intitulée « Towards a space internet security standard »[14].

Les autorités nationales publient également des guides pratiques relatifs à la cybersécurité à destination des industriels du secteur spatial.

Par exemple, l’office fédéral allemand en charge de la sécurité de l’information (Bundesamt für Sicherheit in der Informationstechnik – BSI) a une page internet dédiée à l’espace[15] indiquant différents documents techniques. Ainsi dans sa publication “Cyber Sécurité pour les infrastructures spatiales – Positionnement de l’Office fédéral de la sécurité de l’information”, le BSI définit les objectifs et les domaines d’action qui constituent la base de la conception de la cybersécurité pour les applications spatiales.

L’association des industriels allemands de l’aérospatiale (Bundesverband der Deutschen Luft- und Raumfahrtindustrie e.V. – BDLI) a publié en mai 2024 un livre blanc intitulé « Security for Space Systems »[16].

En Italie, autre puissance spatiale en Europe, l’Agenzia Spaziale Italiana[17] a elle aussi défini une stratégie de cybersécurité s’appliquant à ses fournisseurs.

La réglementation va jouer un rôle de plus en plus important. Par exemple, la nouvelle réglementation technique associée à la loi spatiale française est entrée en vigueur le 1er juillet 2024, comprenant un ajout d’articles sur la cybersécurité[18], même chose dans la future EU Space Law.

Des initiatives stratégiques européennes : EU Space ISAC & ESEC

En 2022, les dirigeants de l’UE ont identifié l’espace comme un domaine stratégique dans le document Strategic Compass, adopté en mars 2022, et ont appelé à une stratégie spatiale de l’UE pour la sécurité et la défense. S’appuyant sur cette dynamique politique, la Commission Européenne et le haut représentant de l’UE pour les affaires étrangères ont élaboré la toute première EU Space Strategy for Security and Defence, publiée le 10 mars 2023.

Dans le contexte géopolitique actuel de concurrence accrue entre les puissances et d’intensification des menaces, l’UE prend des mesures pour protéger ses actifs spatiaux, défendre ses intérêts, dissuader les activités hostiles dans l’espace et renforcer sa posture stratégique et son autonomie.

À la lumière de ce qui précède, la Commission européenne et l’EUSPA sont à l’origine de la création du EU Space Information Sharing Centre (ISAC)[19]. Cette plateforme de partage d’informations favorise la collaboration, la sensibilisation et les meilleures pratiques entre les entités privées afin d’accroître la sécurité de systèmes spatiaux et des réseaux sur lesquels ils s’appuient. EU Space ISAC n’en est qu’à ses débuts mais est une initiative pertinente.

L’European Space Security and Education Centre (ESEC) est le centre de l’European Space Agency (ESA) à Redu en Belgique, dédié à la sécurité spatiale, à l’éducation, aux opérations de petits satellites, ainsi qu’aux activités de navigation (Galileo et Egnos). Le centre est opérationnel depuis le 1er janvier 1968 (ESRO). Le site est établi en vertu de l’accord d’hébergement intervenu entre l’ESA et le gouvernement belge.

Le cadre de sécurité de l’ESA (ESA Security framework)

L’analyse de l’évolution des cybermenaces face aux enjeux de sécurité spatiale ont conduit l’ESA à renforcer son cadre de sécurité. Le Règlement et les Directives de sécurité de l’ESA, ont été entièrement révisés et publiés en 2019-2020 (adoption par le Conseil de l’ESA en 2020).

Depuis 2020, l’Agence a renforcé le concept de « secure system in a secure environment », qui intègre naturellement les principes de conception sécurisée (« security-as-design »), de développement sécurisé (« security-as-built ») et d’opérations sécurisées (« security-as-operated ») pour toute mission spatiale.

L’ESEC au cœur de la cybersécurité de l’ESA en Europe

L’Agence avec l’aide de l’industrie développe deux systèmes de résilience en cybersécurité :

Cyber Security Operational Centre (CSOC)
Security Cyber Centre of Excellence (SCCOE)

Ces systèmes de cybersécurité ont pour fonction de soutenir tous les programmes de l’ESA et de surveiller les opérations des missions et les activités « corporate » de l’Agence. Les deux systèmes seront opérationnels dans leur première configuration dès la fin 2024.

Le CSOC est déployé à l’ESEC (Redu) et à l’ESOC (Darmstadt), avec des missions spécifiques et communes. Les deux systèmes fonctionnent en redondance complète, en mode « hot master and backup ». Le CSOC, en synergie avec les autres capacités de sécurité de l’ESA (notamment l’ESACERT), assure la cybersécurité et la résilience des fonctions de l’Agence.
Le SCCOE, seulement déployé à l’ESEC, soutiendra les activités de « security engineering » et « security assurance » pour les « ESA Space Mission and Corporate activities », depuis la phase de conception jusqu’à la qualification finale.

Ces deux éléments forment l’infrastructure centrale de la cybersécurité de l’ESA et joueront un rôle crucial dans le développement futur d’ESEC, qui impactera tout son écosystème, et donc l’essentiel du tissu industriel spatial européen.

Enfin, l’ESEC disposera fin 2025 d’un Centre de cybersécurité (ECSC) répondant aux normes les plus strictes (traitement des informations classifiées jusqu’au niveau secret). C’est depuis cette infrastructure hautement sécurisée, que les personnels opèreront les systèmes décrits ci-avant.

Il est à noter que l’ESA a publié sur son site internet un article le 7 février 2024 intitulé « How ESA ensures cybersecurity in space » mentionnant la nouvelle stratégie de l’ESA relative à la cybersécurité[20].

Création d’un écosystème

Créées à l’initiative du CNES en 1998, il existe aujourd’hui 20 communautés d’experts (COMET)[21] fédérant en réseau des expertises utilisées dans le secteur spatial, réunissant plus de 3000 experts issus des mondes académique, industriel et institutionnel. Les Communautés d’Experts ont pour missions :

D’alimenter l’expertise et de contribuer à l’innovation par :
- Le partage des connaissances, savoir-faire et retour d’expériences.
- L’encouragement à l’interdisciplinarité inter-réseaux.
- L’émergence d’idées novatrices.
De favoriser les échanges et les coopérations entre le secteur spatial et d’autres secteurs d’activités.

L’une de ces communautés d’experts, CYB, est dédiée à la cybersécurité[22] et ses objectifs principaux sont de :

Formaliser et réduire la complexité et l’hétérogénéité des approches organisationnelle et technique en SSI,
Analyser et comprendre les menaces pour faciliter leur détection et la réaction,
Fiabiliser et protéger les systèmes d’information opérationnels et entreprises,
Améliorer les mécanismes et procédures de protection.
Faire un état de l’art des actions de recherche en Sécurité des systèmes d’information
Favoriser l’Intégration de la sécurité dans les missions spatiales
Analyser les Contraintes et opportunités des réglementations en la matière

Le lancement de CYSAT, le plus grand salon européen dédié à la cybersécurité relative au secteur spatial, remonte à 2019 lorsque la cybersécurité est devenue une préoccupation majeure dans le secteur spatial, notamment avec l’essor des missions civiles et commerciales, considérant l’importance croissante de la protection des infrastructures spatiales et des données générées par celles-ci.

En tant que spécialiste de la cybersécurité et inspiré par les discussions, conférences et concours de piratage de satellites aux États-Unis, la société suisse de cybersécurité CYSEC a pris l’initiative de créer un événement spécifique en 2021. L’’Europe ne disposait pas, à cette époque, d’une communauté spatiale dédiée aux problèmes de cybersécurité.

La cinquième édition de CYSAT aura lieu à Paris (France) les 14 et 15 mai 2025, un mois après la seconde édition de CYSAT USA qui se tiendra à Colorado Springs (USA) le 9 avril 2025.

Notes :

[1] Grand merci à Jean-Luc Trullemans (ESA), Michel Bosco (MAMIC), Romain Poly (KSAT), Ludovic Augé (Alt239), Mathieu Bailly (CYSEC) et François Marchessaux (Franz Partners) pour leurs contributions et relectures attentives.

[2] https://esamultimedia.esa.int/docs/corporate/ESA_Cyber_Security_Resilience_Achievement.pdf

[3]https://www.prnewswire.com/news-releases/iceye-signs-contract-to-provide-government-of-ukraine-with-access-to-its-sar-satellite-constellation-301608477.html

[4] Clémence Poirier is a Senior Researcher in the Cyberdefense Project within the Risk and Resilience Team at the Center for Security Studies (CSS) at ETH Zurich
https://css.ethz.ch/en/center/people/clemence-poirier.html

[5] https://css.ethz.ch/en/center/CSS-news/2024/06/understanding-cybersecurity-in-outer-space.html

[6] Satellite Data Services Market Size, Share, Competitive Landscape and Trend Analysis Report, by Vertical, Service, End-Use : Global Opportunity Analysis and Industry Forecast, 2021-2030
https://www.alliedmarketresearch.com/satellite-data-services-market-A06428

[7] Size & Health of the UK Space Industry 2022 https://www.gov.uk/government/publications/the-size-and-health-of-the-uk-space-industry-2022/size-health-of-the-uk-space-industry-2022 Economic Impact to UK of disruption to GNSS, 2023
https://www.gov.uk/government/publications/infographic-why-space-matters/why-space-matters

[8] https://news.viasat.com/blog/corporate/ka-sat-network-cyber-attack-overview

[9] https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-076a

[10] https://www.espi.or.at/wp-content/uploads/2022/10/ESPI-Report-84.pdf

[11] https://public.ccsds.org/Pubs/355x0b2.pdf

[12] https://sagroups.ieee.org/3349/wp-content/uploads/sites/657/2023/05/ASCEND-Paper-Space-Cybersecurity-Standard.pdf

[13] https://www.linkedin.com/feed/update/urn:li:activity:6919559742025543680/

[14] https://www.youtube.com/watch?v=aVj-Jnc8LZc

[15] https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Sicherheit-in-Luft-und-Raumfahrt/it-sicherheit-in-luft-und-raumfahrt.html

[16] https://www.bdli.de/sites/default/files/2024-05/240508_Positionspapier_Security_in_Space.pdf

[17] https://www.ispionline.it/en/publication/cyber-and-space-priorities-and-opportunities-the-role-of-the-italian-space-agency-153050

[18] https://cnes.fr/communiques/sadapter-aux-enjeux-new-space-mise-jour-de-reglementation-technique-associee-loi

[19] https://www.euspa.europa.eu/eu-space-programme/eu-space-and-security/eu-space-isac

[20] https://esamultimedia.esa.int/docs/corporate/ESA_Cyber_Security_Resilience_Achievement.pdf

[21] https://www.comet-cnes.fr/liste-des-communautes

[22] https://www.comet-cnes.fr/index.php/cyb

Post Views: 58

Cookie	Durée	Description
PHPSESSID	1 mois	Ce cookie est natif des applications PHP. Le cookie est utilisé pour stocker et identifier l'ID de session unique d'un utilisateur dans le but de gérer la session utilisateur sur le site Web. Le cookie est un cookie de session et est supprimé lorsque toutes les fenêtres du navigateur sont fermées.
quform_session	1 jour	Assurer le bon fonctionnement des formulaires de contact.
trx_addons_is_retina	12 mois	Cookie qui vérifie si l'écran de l'utilisateur est optimisé pour la résolution rétina.
viewed_cookie_policy	12 mois	Le cookie est défini par le plugin GDPR Cookie Consent et est utilisé pour stocker si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.

Cookie	Durée	Description
_ga	12 mois	Ce cookie est installé par Google Analytics. Le cookie est utilisé pour calculer les données de visiteur, de session et garder une trace de l'utilisation du site pour le rapport d'analyse du site. Les cookies stockent des informations de manière anonyme.
_gid	12 mois	Ce cookie est installé par Google Analytics. Le cookie est utilisé pour stocker des informations sur la façon dont les visiteurs utilisent un site Web et aide à créer un rapport d'analyse de la façon dont le site Web fonctionne. Les données collectées y compris le nombre de visiteurs, la source d'où ils viennent et les pages visitées sous forme anonyme.