La cybersécurité dans le spatial : un défi juridique majeur pour les acteurs de l’UE
Le Hub Cyber & Security Systematic propose un cycle d’articles sur le thème de « La cybersécurité dans le spatial ». Un premier volet est dédié à l’aspect juridique. Cécile Théard-Jallu et Laetitia Cesari du cabinet de Gaulle Fleurance, y abordent la préoccupation majeure des agences spatiales, les cadres juridiques disparates qui ont longtemps régi la cybersécurité spatiale au sein de l’UE et ceux qui se renforcent au sein de l’UE. “La cybersécurité dans le spatial : un défi juridique majeur pour les acteurs de l’UE”, co-écrit par Cécile Théard-Jallu, Avocate Associée et Laetitia Cesari, Juriste Senior – De Gaulle Fleurance
Préoccupation majeure pour les agences spatiales
De nos jours, une grande partie de nos activités dépendent de services fournis par des satellites : la télévision, les télécommunications alimentant elles-mêmes les activités de différents secteurs (réseaux sociaux, IoT, santé numérique, etc.), les prévisions météorologiques, la navigation, l’observation de la Terre ou encore les opérations liées à la défense…
Pour répondre à ces besoins, un très grand nombre de satellites est mis en orbite chaque année (augmentation de 17% entre 2022 et 2023)[1], déclenchant la collecte et le traitement ultérieur d’un volume de données toujours plus important. Il s’agit d’une préoccupation majeure pour les agences spatiales. Celles-ci s’efforcent d’assurer la sécurité de ces données dans l’espace extra-atmosphérique tant l’évolution technologique entraîne le développement de nouvelles formes de cybermenaces.
En effet, avec le passage au « tout numérique », la majorité des opérateurs fournissant un accès à la connectivité par câbles, réseaux mobiles et satellites ont été confrontés à une recrudescence des activités cyber et électromagnétiques malveillantes, notamment des tentatives de vol ou de blocage de données, de brouillage de signaux, de diffusion de logiciels malveillants et d’opérations de déni de service, voire de piratage de satellites en orbite ou d’utilisation de satellites-espions. Les auteurs d’actes malveillants innovent constamment, tant dans le secteur civil que militaire, avec un impact potentiel considérable [2]. Ainsi, chaque année, près d’un milliard de personnes dans le monde sont affectées par des activités « cyber hostiles »[3].
Compte tenu de la complexité du cyberespace, il est difficile d’acquérir une connaissance approfondie de tous les composants et couches impliqués dans les activités numériques. Des failles et des incidents peuvent apparaître dans les systèmes informatiques et les équipements électroniques, les réseaux, les antennes et même les personnes impliquées dans l’accès à la connectivité. Les vulnérabilités sont nombreuses et diverses. Leur protection a un coût pour les organisations publiques et privées qui veulent réduire la probabilité de tels événements.
En raison de cette évolution rapide et de la multiplication des activités hostiles menées dans le cyberespace, les infrastructures spatiales doivent faire l’objet d’une protection rigoureuse.
Dans un tel contexte, un cadre juridique solide est essentiel.
Un ensemble disparate de cadres juridiques a longtemps régi la cybersécurité spatiale au sein de l’UE
Les cadres juridiques régissant la cybersécurité sont variés et consistent généralement en une mosaïque de règles s’appliquant à trois catégories principales d’activités :
- la protection des systèmes d’information,
- la lutte contre la cybercriminalité et
- l’adoption de mesures de cyberdéfense.
Ces règles ont été adoptées par couches successives à partir de sources multiples et distinctes, généralement sans stratégie cohérente.
Dans ce contexte, les organisations doivent prendre les mesures nécessaires pour protéger les réseaux et les systèmes d’information, les utilisateurs de ces systèmes et les autres personnes exposées aux menaces cyber. Des mesures de cybersécurité peuvent être mises en œuvre pour en renforcer la protection et atténuer les risques et les menaces perturbateurs. Ces mesures comprennent « des outils, des politiques, des concepts de sécurité, des mécanismes de sécurité, des lignes directrices, des méthodes de gestion des risques, des actions, des formations, des meilleures pratiques, des garanties et des technologies qui peuvent être utilisés pour protéger le cyberenvironnement et les actifs des organisations et des utilisateurs »[4].
En parallèle, certains États ont adopté des lois et des politiques obligeant les institutions publiques et les entreprises privées à prendre des mesures pour protéger les données. Celles-ci peuvent être personnelles et/ou sensibles. En cas d’attaque, une entreprise doit prouver qu’elle a pris des mesures de protection cyber adéquates et pertinentes. Dans le cas contraire elles peuvent être accusée de négligence grave ou de non-respect de ses obligations juridiques. Le respect de ces règles et le maintien de normes de cybersécurité permettent également de minimiser les effets d’une violation de données et, par conséquent, les risques de rupture de contrat ou les problèmes liés aux polices d’assurance. Ils réduisent les risques encourus par l’organisation en matière de dommages et intérêts et d’indemnisation des parties touchées par l’activité cyber hostile. Ils l’empêchent de se voir infliger des amendes et des pénalités substantielles.
Un cadre juridique qui se renforce au niveau de l’UE
Parmi un arsenal de textes adoptés ou en cours d’adoption par l’Union européenne, la directive NIS 1 de juillet 2016[5] et la directive NIS 2 de décembre 2022 (sur la sécurité des réseaux et des systèmes d’information)[6] s’inscrivent dans une approche européenne commune de la cybersécurité (la seconde directive complétant et renforçant la première).
Par exemple, la directive NIS 1 prévoyait déjà des mesures pour renforcer la sécurité dans le cyberespace, comme la notification systématique des incidents de sécurité pour les opérateurs de services essentiels (OES), et les fournisseurs de services numériques (DSO), ou encore la mise en place d’autorités nationales compétentes et la coopération entre les États membres.
La directive NIS 2 doit être transposée au plus tard en octobre 2024. Elle étend considérablement le champ d’application initial de ce cadre règlementaire. Elle introduit de nouvelles obligations pour un spectre plus large d’entités (désormais entités essentielles (EE) ou entités importantes (EI)), notamment les administrations publiques, les télécommunications et les plateformes de réseaux sociaux. Il prévoit des mesures minimales de gestion des risques, telles que l’établissement d’une politique de sécurité interne et de gestion des incidents et la mise en œuvre d’audits réguliers, ainsi que des mesures de sécurité de la chaîne d’approvisionnement. NIS 2 renforce également la coopération entre les États membres en matière de gestion des crises de cybersécurité, en fournissant un cadre formel au réseau CyCLONe (Cyber Crisis Liaison Organisation Network), qui rassemble les agences européennes de cybersécurité.
En France, par exemple, le NIS 2 s’appliquera à des milliers d’entités dans plus de dix-huit secteurs[7].
Le spatial fait désormais partie de cet arsenal (cf. Annexe 1, Section 11 de la Directive NIS 2 sur les « Secteurs de haute criticité »), ciblant les « opérateurs d’infrastructures au sol, détenues, gérées et exploitées par les États membres ou par des parties privées, qui soutiennent la fourniture de services spatiaux, à l’exclusion des fournisseurs de réseaux publics de communications électroniques ».
Consciente de l’importance de la cybersécurité dans l’espace, l’Union européenne élabore également un « droit spatial de l’UE ». Ce-dernier comprend un pilier de résilience pour assurer la cybersécurité des systèmes spatiaux au niveau des États membres[8].
De plus, pour atténuer les risques de cyberattaques, certaines entreprises comme Thales[9] ou Free[10] se dotent de solutions de cybersécurité et peuvent disposer de l’expertise d’experts en interne.
Les projets de partage collectif d’expériences et d’informations autour des menaces cyber, réunissant les différents protagonistes entre notamment les autorités et les acteurs industriels, seront également clef. En particulier, le concept d’ISAC (« Information Sharing and Analysis Center») fait progressivement son chemin. Tandis que l’ISAC américain remonte à 2017, lorsque la NASA, l’US Space Force et la NRO ont décidé d’instaurer et de faciliter un dialogue public-privé sur le sujet de la cybersécurité spatiale, l’ISAC européen est devenu de plus en plus populaire sous l’impulsion de l’EUSPA (European Space Program Agency), en accord avec la stratégie spatiale de sécurité et de défense européenne (« EU Space Strategy for Security and Defence »).
En novembre 2023, l’EUSPA a lancé un appel à participation pour la création d’un Space ISAC visant à consolider l’écosystème européen face à une menace cyber grandissante. Les travaux d’organisation de cet ISAC sont en cours en parallèle des forums d’échanges de type CERT/CSIRT intervenant notamment sur la réaction aux incidents, à un échelon national ou international[11].
L’ Agence de cybersécurité européenne, l’ENISA, promeut même la création de plusieurs ISAC, notamment à l’aide d’une boite à outils qu’elle a créée, dénommée « ISAC in a box toolkit »[12].
Dans un contexte où des intérêts de nature technique ou technologique se mêlent à des sujets non techniques comme les performances financières ou les stratégies de compétitivité et de souveraineté, une harmonisation de la réglementation s’annonce comme un atout majeur pour une défense européenne (et mondiale) plus efficace contre les cybermenaces dans un écosystème spatial européen en plein effervescence.
Conclusion : Un cadre juridique harmonisé est attendu pour répondre aux spécificités des activités spatiales
A l’heure de la construction d’un futur Espace européen des données spatiales[13], les mesures de cybersécurité deviennent de plus en plus nécessaires, notamment pour renforcer les coopérations transnationales. Il faut espérer que les États se mettront d’accord sur des niveaux harmonisés minimaux de protection cyber dans le spatial, notamment pour les télécommunications. Le cyberespace est composé de multiples systèmes interconnectés formant des réseaux d’information à travers le monde et impliquant un grand nombre d’opérateurs et de régulateurs. Des instruments juridiques et politiques peuvent contribuer à renforcer la protection des activités menées dans le cyberespace et à réduire la vulnérabilité des données.
Notes :
[1] Podcast CNES, Cybersécurité et enjeux de la gestion du trafic spatial, 24 janvier 2024.
[2] Thalès, Cybersécurité des systèmes spatiaux, 6 juin 2022.
[3] Site internet www.cyberocc.com, rubrique « Quelques chiffres ».
[4] Secteur de la normalisation des télécommunications de l’UIT, Série X : Réseaux de données, communications et sécurité des systèmes ouverts, Sécurité des télécommunications, Aperçu de la cybersécurité, UIT-T X.1205, 18 avril 2008, paragraphe 3.2.5.
[5] Directive sur la sécurité des réseaux et de l’information (directive NIS 1) 2016/1148.
[6] Directive sur la sécurité des réseaux et des systèmes d’information (directive NIS 2) 2022/2555.
[7] https://cyber.gouv.fr/la-directive-nis-2#entite / https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32019R0881.
[8] Laetitia Cesari, Developing an EU Space Law : the process of harmonising national regulations, McGill Institute of Air and Space Law, Commentary, 16 février 2024, https://www.mcgill.ca/iasl/article/developing-eu-space-law-process-harmonising-national-regulations.
[9] Imperva, Thales finalise l’acquisition d’Imperva, créant un leader mondial de la cybersécurité, communiqué de presse, 4 décembre 2023, https://www.imperva.com/company/press_releases/thales-completes-acquisition-of-imperva/.
[10] Valentin Hamon–Beugin, [Le plein de cyber] La cybersécurité, nouvel eldorado des opérateurs télécoms, L’Usine Nouvelle, 13 avril 2023, https://www.usinenouvelle.com/article/le-plein-de-cyber-la-cybersecurite-nouvel-eldorado-des-operateurs-telecoms.N2120566.
[11] https://www.euspa.europa.eu/eu-space-programme/eu-space-and-security/eu-space-isac; https://www.cert.ssi.gouv.fr/csirt/; Magazine Space International, n°5, Avril-Juin 2024, p. 74 et suivantes.
[12] https://www.enisa.europa.eu/news/enisa-news/isac-in-a-box.
[13] https://www.satcen.europa.eu/Pages/satcen-hosted-the-esa-espi-space-data-space-workshop.