Spatial : apprendre à (ré)-concilier fiabilité et sécurité

Une dépendance profonde et méconnue aux satellites

Peeters et al. en 2021 dans leur article « A World without Satellite Data as a Result of a Global Cyber-Attack » ont étudié le scénario catastrophe d’une interruption totale ou partielle de la communication avec les satellites civils. Les conséquences au bout de quelques jours sont absolument dramatiques.

En termes cyber, reconnaitre une dépendance c’est reconnaitre une vulnérabilité. Et donc reconnaitre le risque que des acteurs malveillants l’exploitent à des fins financières, politiques ou terroristes. Détaillons quels sont les risques.

Aujourd’hui, les risques cyber sont bien réels et les attaques aussi

Les systèmes orbitaux nous paraissent faussement protégés grâce à la distance qui les sépare de la Terre. Bien sûr, cette distance physique bien réelle n’est que toute relative en termes de sécurité informatique puisque les satellites peuvent également être perçus comme de « simples » objets connectés. Les nombreuses attaques sur les réseaux IoT depuis les années 2000 ont démontré à quel point les hackers arrivaient sans grande peine à pénétrer un réseau distribué d’objets connectés.

De façon similaire, opérer une flotte de satellites requiert une architecture complexe et distribuée, avec des systèmes « bord » et des systèmes « sol », reliés entre eux par différents canaux de communication, filaire, optique ou radiofréquence.

Une base de données publique répertorie plus de 70 attaques sur des infrastructures liées à la conception ou aux opérations de satellites, y compris concernant des agences spatiales nationales comme la NASA ou le CNES. On imagine aisément que ce chiffre ne représente que la partie immergée de l’iceberg et que la réalité va bien au-delà.

Le risque étant bien réel, pourquoi l’industrie spatiale semble-elle si éloignée des enjeux cyber ?

Cybersécurité : des enjeux très récents à l’échelle de temps de développement d’un satellite

Historiquement, l’industrie spatiale a toujours optimisé la durée de vie des satellites (par exemple les opérateurs de satellites de télécommunications géostationnaires calculent l’investissement pour un nouveau satellite basé sur une certaine durée de vie). Il n’est pas rare que certains satellites dépassent de plusieurs années cette durée de vie, permettant alors à l’opérateur et aux actionnaires de réaliser des marges tout à fait conséquentes une fois le coût du satellite amorti. On comprend mieux alors la pression mise sur les ingénieurs pour maximiser la durée de vie. Une même logique s’applique pour les missions institutionnelles financées par l’argent du contribuable : on souhaite tirer parti le plus longtemps possible d’un satellite capable de collecter des données scientifiques, quitte même à le réparer une fois en orbite comme cela a été le cas pour Hubble.

En conséquence de quoi, malgré une image faussement « high-tech », le spatial traditionnel reste une industrie très conservatrice. Les choix technologiques ont pour but premier de minimiser les risques de défaillance en orbite, favorisant ainsi « l’héritage » en vol plutôt que la performance et l’innovation.

Aussi surprenant que cela puisse paraitre, la cyber est donc un sujet « nouveau » à l’échelle de temps des missions spatiales. Imaginez que la conception du télescope spatial James Webb lancée en grandes pompes il y a quelques semaines a vu sa phase de conception démarrée dans les années 1990, soit il y a plus de trente ans !

Comment alors imaginer protéger des assets contre les menaces cyber d’aujourd’hui avec des technologies d’il y a 15 ans ou plus ?

Un enjeu qui concerne tous les acteurs et tous les pays

L’espace peut paraitre très vaste mais l’orbite basse terrestre commence à être sérieusement saturée par des objets spatiaux en tous genre, la plupart d’entre eux étant inactifs et représentant une menace de collisions pour les autres. En mai 2021 la NASA dénombrait 27 000 objets de plus de 10 cm orbitant autour de la Terre !

Les vulnérabilités cyber des systèmes orbitaux et l’absence de régulations ne peuvent à terme qu’amplifier le problème des débris. Imaginons une attaque paralysant un satellite ou pire une constellation entière forçant au mieux les autres satellites à brûler du carburant pour des manœuvres d’évitement, au pire rentrant en collision avec d’autres débris inertes, provoquant un cercle vicieux connu sous le nom du « syndrome de Kessler ».

Pas de standards, ni de normes ou de gendarme

Le droit de l’espace, au même titre que les eaux internationales au milieu des océans, est régi par des traités internationaux très peu contraignants ou chacun peut encore faire ce qu’il veut sans avoir à rendre de comptes à personne.

N’importe qui aujourd’hui ou presque peut lancer un satellite – même ayant des capacités de propulsion le rendant donc encore plus attractif pour des acteurs malveillants – sans avoir à satisfaire aucune norme ou aucun standard lié à la sécurité informatique.

Les Américains, pionniers dans la reconnaissance du problème commencent à y réfléchir, mais bien évidemment il serait souhaitable que ces règles soient applicables à tous les pays pour être efficaces, ce qui pourrait prendre des années voire des décennies compte-tenu de la sensibilité géopolitique du sujet.

La vague du newspace accélère encore l’urgence de trouver des solutions

L’industrie spatiale a subi de profonds bouleversements ces dernières années avec l’arrivée de la vague du « newspace ». Elle représente cette nouvelle manière de voir l’espace comme une opportunité commerciale via la collection et la transmission de données. Les avancées technologiques comme les lanceurs réutilisables, la miniaturisation des satellites combinée à de nouvelles approches de la gestion du risque ont permis de boucler des business cases qui restaient du domaine de la science-fiction il y a encore 10 ans.

Cette vague du newspace avec des dizaines de milliers de minisatellites qui doivent être lancés dans les prochaines années s’accompagne d’un fort agrandissement de la surface d’attaque globale. Beaucoup plus de satellites donc, et aussi beaucoup plus de données, et donc beaucoup plus de valeur, et donc un secteur beaucoup plus attractif pour des cyber criminels, faisant grimper en flèche la probabilité de succès d’attaques majeures.

Apprendre à (ré)-concilier fiabilité et sécurité

Les ingénieurs qui conçoivent des satellites sont des experts dans la gestion de risques. Mais des risques liés à la fiabilité des systèmes, beaucoup moins des risques cyber.

Cela peut paraitre paradoxal mais compte-tenu de l’agilité requise pour se défendre contre des attaquants très mobiles, les acteurs du spatial doivent apprendre à définir un nouveau type de compromis dans l’arbitrage entre les risques liés à la fiabilité du système et ceux liés à sa sécurité.

Ce qui dans la pratique signifie accepter d’implémenter des solutions cyber ne bénéficiant pas d’un héritage de vol aussi important que d’autres sous-systèmes plus classiques mais permettant de mitiger une nouvelle catégorie de risques tout aussi critiques et ainsi contribuer au succès statistique de la mission.