À l’heure où les cyberattaques se multiplient, le domaine spatial, par son utilisation croissante de logiciels, est devenu particulièrement sensible à ce type de risque.
Face à l’importance stratégique et économique du spatial, les pouvoirs publics ont pris conscience de la nécessité de le protéger. Diverses règles de cybersécurité s’appliquant à tous les stades, de la conception à la commercialisation et à l’exploitation, ont ainsi été édictées.
Devant cette variété de textes, comment s’y retrouver, et surtout quelles obligations s’imposent ? Afin d’y répondre, nous vous proposons une première analyse des mesures concrètes issues de la réglementation européenne et française.
La cybersécurité européenne, de la fourniture de services spatiaux à l’internet des objets (IOT)
Adoptée en 2022, la directive NIS 2 (Network and Information Security, en français : sécurité des réseaux et des systèmes d’information) qualifie le domaine spatial de « hautement critique » (1). À ce titre, les exploitants d’infrastructures terrestres, détenues, gérées et exploitées par des États de l’Union européenne (UE) ou par des parties privées, qui soutiennent la fourniture de services spatiaux, doivent respecter un certain nombre d’obligations.
Concrètement, ces exploitants doivent prendre des mesures pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information (SI) utilisés dans le cadre de leurs activités. En pratique, ces mesures de cybersécurité peuvent consister, par exemple, en l’élaboration de politiques d’analyse de risque du SI, en l’adoption de bonnes pratiques de cyberhygiène et en l’utilisation de systèmes sécurisés de communication d’urgence.
Le risque de cyberattaques provenant des vulnérabilités tierces (supply chain security) est également abordé par la directive NIS 2, qui étend les obligations aux sous-traitants. Il est ainsi nécessaire d’assurer la sécurité de la chaîne d’approvisionnement, et donc les relations entre chaque entité et ses fournisseurs ou prestataires de services.
Outre ces exigences spécifiques, le Cyber Resilience Act européen a édicté des règles relatives à la conception, au développement, à la production et à la mise sur le marché de produits comportant des éléments numériques afin de garantir leur cybersécurité.
Ces produits, définis comme « un produit logiciel ou matériel et ses solutions de traitement de données à distance » concernent principalement les objets connectés (2). Dans les faits, ces produits devront notamment être conçus (« security by design ») afin que leurs vulnérabilités puissent être corrigées par des mises à jour régulières, que la protection contre les accès non autorisés soit assurée par des mécanismes de contrôle appropriés et que la confidentialité et l’intégrité des données soient garanties.
Ces textes européens, dont l’application s’avère large, se voient complétés, notamment, par la directive sur la résilience des entités critiques, le règlement sur l’intelligence artificielle (IA) ou bien encore le RGPD (Règlement général de protection des données), qui comprennent chacun des dispositions en matière de sécurité.
La France n’est cependant pas en reste avec une législation propre au spatial.
Les lancements dans l’espace, objets de la cybersécurité française
Dès 2008, a France a adopté la loi relative aux opérations spatiales (dite « LOS »), qui impose à tout opérateur d’obtenir une autorisation pour procéder au lancement d’un objet spatial depuis la France (3).
L’autorisation n’est délivrée que si l’opération respecte la réglementation technique applicable, y compris les nouvelles obligations en matière de cybersécurité qui y ont été intégrées. L’opérateur doit désormais réaliser une étude détaillée identifiant les risques associés à l’opération, notamment en cas de perte de maîtrise d’un objet spatial à la suite d’une cyberattaque (4).
De plus, lors des opérations de lancement, l’opérateur doit mettre en place une démarche et des mesures de cybersécurité afin de se prémunir contre une malveillance d’origine cyber susceptible d’induire un risque vis-à-vis du respect de la réglementation technique (5).
Pour le site de lancement et les opérations de maîtrise en orbite, des mesures de cybersécurité doivent être prises en vue de s’assurer qu’aucune télécommande non autorisée ou non authentifiée ne puisse être reçue et exécutée par le bord (6). Concrètement, le Centre national d’études spatiales (CNES) recommande que l’opérateur mette en place, au minimum, des mesures en termes d’authentification et de rejeu (action de réémettre un signal identique à un déjà envoyé par le sol) (7).
Enfin, pour les zones de proximité, les systèmes bord et sol du véhicule de service doivent être conçus, produits et mis en œuvre de manière à sécuriser les liaisons bord/sol et bord/bord et ainsi à être résilients vis-à-vis de toute corruption pouvant remettre en cause la sécurité des opérations (8).
Pour le spatial, la réglementation sur la cybersécurité représente donc un enjeu majeur et actuel (par exemple, l’adoption de la loi de transposition française de la directive NIS 2 est attendue pour le premier semestre 2025). Dans le but de relever ce défi, les opérateurs s’attacheront à réaliser un état des lieux de l’existant puis une priorisation des actions, et à définir une équipe dédiée et un budget associé. Afin d’être guidés et de mettre ainsi en place des mesures de cybersécurité propres à se protéger, les opérateurs pourront se tourner vers des acteurs tels que l’Agence de l’Union européenne pour la cybersécurité (ENISA) et l’Agence nationale de la sécurité des systèmes d’information (ANSSI), ainsi que vers les normes cyber et la future EU Space Law.
Partenariat éditorial :
Notes
(1) Annexe I de la directive 2022/2555 du Parlement européen et du Conseil de l’UE du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé de cybersécurité dans l’ensemble de l’Union (dite « NIS 2 »).
(2) Article 2 du règlement 2024/2847 du 23 octobre 2024 concernant des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques (le Cyber Resilience Act).
(3) Article 2 de la loi n°2008-518 du 3 juin 2008 relative aux opérations spatiales (dite « LOS »).
(4) Article 15 (Etude des dangers) de l’arrêté du 23 février 2022 modifié par l’arrêté du 28 juin 2024.
(5) Article 24-1 (Cybersécurité) de l’arrêté du 31 mars 2011 relatif à la réglementation technique modifié par l’arrêté du 28 juin 2024.
(6) Articles 27 (Site de lancement) et 39-3 (cybersécurité) de l’arrêté du 31 mars 2011 relatif à la réglementation technique modifié par l’arrêté du 28 juin 2024.
(7) Guide des bonnes pratiques LOS pour les systèmes orbitaux, publié en septembre 2024.
(8) Article 47 (Rentrées non nominales) de l’arrêté du 31 mars 2011 relatif à la réglementation technique modifié par l’arrêté du 28 juin 2024.
Légende de l’image ci-dessus : Adoptée en 2022, la directive NIS 2 classe le spatial parmi les secteurs hautement critiques face au risque cyber. Elle impose ainsi aux exploitants d’infrastructures terrestres au sein de l’UE, qu’ils soient publics ou privés, de se conformer à des exigences strictes en matière de cybersécurité pour garantir la continuité des services spatiaux. © Shutterstock/Konstakorhonen
