Cyberattaques dans l’espace : la protection commence dès le sol

Dans le film Wargames de 1983, le personnage principal, incarné par l’acteur Matthew Broderick, pirate sans le savoir un supercalculateur du NORAD à seule fin d’avoir accès à tout un catalogue de jeux vidéo inédits. Voilà pour la science-fiction. Aujourd’hui, les intentions des pirates informatiques sont rarement ludiques. Qu’il soit dans l’espace ou au sol, un dispositif sensible n’est pas à l’abri d’une intrusion malveillante.

La preuve par l’exemple. Dans la nuit du 23 au 24 février 2022, quelques heures seulement avant que la Russie n’envahisse l’Ukraine, le satellite KA-SAT de ViaSat a été victime d’une cyberattaque qui a privé d’Internet près de 9 000 personnes sur une partie du réseau Nordnet, l’une des filiales d’Orange.

Un fait sérieux, confirmé par le Commandement de l’Espace (CDE), qui a également eu des conséquences au sol. 5 800 éoliennes du réseau Enercom ont été affectées par cette « cyberoffensive » venue du froid. L’année suivante, Thales, en collaboration avec l’Agence spatiale européenne (ESA), a réalisé une démonstration de piratage volontaire d’un satellite lors du CYSAT, organisé à Paris, en avril 2023.

Une équipe de quatre personnes, spécialisée dans les questions de cybersécurité, s’est ainsi introduite dans les systèmes bord du nanosatellite OPS-SAT de l’ESA afin de démontrer ainsi la potentielle vulnérabilité des capacités orbitales. Aujourd’hui dans un contexte international tendu, et face à la montée en puissance de la cybermenace, trois secteurs seraient d’ailleurs visés en priorité : la santé, l’énergie et l’aérospatiale.

Rentrer par la petite porte

Les chiffres concernant les cyberattaques l’attestent. En 2021, 54% des entreprises françaises, tous secteurs confondus, ont été attaquées pour un coût médian de 50 000 euros. Un an plus tard, en 2022, les cyberattaques auraient coûté 2 milliards d’euros à la France. « Elles sont (même) en recrudescence depuis deux ans, soit depuis l’invasion de l’Ukraine », constate Thierry Roux, CEO de la société Cap Cobra.

Selon lui, la cybersécurité s’est également militarisée depuis le début de la guerre en Ukraine. Ainsi, « nous entrainons les cellules de Thales avec des scénarios ‘ukrainiens’ », ajoute le dirigeant dont l’entreprise emploie essentiellement des militaires et utilise, entre autres outils de défense la base de données MITRE-ATT&CK.

S’il convient, en astronautique, de protéger un satellite évoluant sur son orbite, la protection commence en fait dès le sol. Mais que cherchent alors les cybercriminels ? Si la finalité est forcément pécuniaire, elle est également technique. Dans ce genre d’industrie, « le graal, c’est d’accéder aux grands maîtres d’œuvre pour obtenir par exemple les plans d’une Ariane 6 », indique un dirigeant du secteur.

Un investissement nécessaire

Mais comment réussir à s’introduire dans un réseau qui, par définition sera très protégé ? Ces mêmes grands maîtres d’œuvres sont bien armés pour prévenir une attaque « mais personne n’est protégé à 100% car le cybercriminel aura tendance à chercher le point d’entrée le plus faible », explique Nicolas Capet, CEO d’Anywaves, fabricant d’antennes pour les constellations de satellites et les lanceurs.

Dès la création de son entreprise en 2017, il choisit de la faire certifier avec la norme ISO 27001. Car cette menace invisible ne vient pas forcément de là où l’on attend : « On focalise sur la Russie et la Chine mais (dans le spatial), ce sont plutôt nos amis d’outre-Atlantique », ajoute Thierry Roux. Ainsi, « les gens qui nous espionnent le plus, ce sont les États-Unis et l’Allemagne après viennent la Russie et la Chine ». Chacun des grands acteurs de la filière travaille donc avec une chaîne d’approvisionnement constituée de PME n’ayant pas forcément les moyens de déployer des protections de même niveau qu’un grand opérateur.

Pour ce tissu de PME, les conséquences d’une cyberattaque peuvent donc être dévastatrices voire « définitives » en cas d’offensive sérieuse. Car si l’on en croit le site stoik.io, 60% des PME attaquées, quelle que soit leur activité, ne se relèvent pas et déposent le bilan dans les dix-huit mois qui suivent. « Même si l’on touche le chèque d’une assurance, perdre dix ans de R&D ne permet certainement pas à une entreprise de se remettre d’aplomb en six mois », insiste Nicolas Capet, qui voit dans la certification ISO une manière d’assurer la résilience du spatial européen. « C’est aussi celle de la supply-chain et l’assurance-vie d’une autonomie », précise-t-il.

Préparer la guerre

Cette démarche de certification est certes loin d’être bon marché puisqu’elle représente tout de même un investissement « de plusieurs centaines de milliers d’euros ». Mais c’est aussi un investissement qu’il faut envisager de réaliser en amont. En 2022, la Scopelec, un sous-traitant, dont le chiffre d’affaires dépendait à 40% d’Orange, a dû mettre la clé sous la porte à la suite de la perte de son contrat. La raison ? Des prestations techniques jugées insuffisantes par Orange.

Si la mise en place d’une certification doit s’envisager en amont, elle peut néanmoins être « titanesque et prendre facilement 18 à 24 mois car elle demande l’application d’une quarantaine de directives et peut nécessiter de mettre en œuvre une bonne centaine de mesures de sécurité (en fonction des acteurs concernés) », concède Thierry Roux. Un investissement tant matériel qu’humain mais qui se veut donc le prix de la survie.