L’ASE et Telindus repoussent les limitent de la cybersécurité

Tandis que de nouveaux acteurs comme Elon Musk (SpaceX) et Jeff Bezos (Blue Origin) se livrent à une version spéciale milliardaires de la conquête de la lune, l’intérêt marqué des deux hommes pour l’exploration spatiale soulève une question cruciale : ne faudrait-il pas revoir en profondeur la cybersécurité dans l’espace pour éviter des attaques potentiellement désastreuses ?

Selon vous, à quel point la sécurité des activités et des systèmes spatiaux est-elle essentielle dans le contexte actuel ?

Marcus Wallum, Operations Data Systems Engineer au sein de l’ASE : “De nos jours, les systèmes spatiaux et les données, produits et services qu’ils fournissent servent de plus en plus de base aux services et infrastructures essentiels, aux communications, aux études scientifiques, à l’exploration, aux politiques et à la prise de décisions.

Cette dépendance accrue de notre société fait de ces ressources spatiales des cibles d’autant plus attrayantes pour nos adversaires. Comme nous l’avons constaté, le nombre d’acteurs gouvernementaux, mais aussi privés actifs dans le secteur spatial augmente rapidement. Une évolution logique sachant qu’il est de plus en plus accessible et que de nouvelles technologies permettent d’explorer l’espace à moindre coût.

De nouveaux acteurs arrivent sur le marché et les infrastructures au sol deviennent meilleur marché, mais aussi plus répandues et plus utilisées. Par conséquent, la surface d’attaque potentielle augmente et la gestion des risques se complexifie, ce qui entraîne une hausse du coût de la sécurité par rapport au prix de la mission à proprement parler. Parallèlement, l’ampleur et la fréquence des failles de sécurité et la divulgation de points faibles critiques au niveau du matériel, de logiciels, de plateformes et de systèmes terrestres largement utilisés évoluent à la hausse.

Si vous ajoutez à cela une complexité croissante et des liens étroits entre les systèmes spatiaux et terrestres et les nouvelles technologies disruptives comme des solutions hébergées qui exigent des mesures de sécurité spécifiques, il apparaît clairement qu’il est plus important que jamais d’assurer la sécurité des systèmes spatiaux et de gérer son application pratique.”

Il est essentiel de sensibiliser les développeurs, les parties prenantes et les décideurs.

Marcus Wallum, Operations Data Systems Engineer à l’ASE

Que pense l’ASE du niveau d’exposition au risque du secteur spatial ?

M.W. : “Ses systèmes et ses activités dépendent presque entièrement des ordinateurs. Il y aura donc toujours un risque. Mais ce qui distingue surtout le secteur spatial, ce sont les problèmes de sécurité liés à l’obsolescence de la technologie, les grandes chaînes logistiques fragmentées, les équipes d’ingénierie multidisciplinaires et la nécessité de gérer les questions de sécurité en allant au-delà des contrôles et des méthodes de gestion des risques propres aux cadres de référence informatiques traditionnels, de manière à aborder les spécificités non couvertes par les systèmes terrestres génériques.”

Quelles politiques et pratiques l’agence a-t-elle mises en place pour gérer l’accroissement de la menace cybernétique ?

M.W. : “L’ASE dispose d’un cadre avancé en matière de gouvernance de la sécurité, avec une traçabilité allant des règlements de haut niveau aux directives, en passant par les politiques et par leur mise en œuvre. Ce cadre inclut une accréditation et un programme de certification, le tout combiné à la désignation de responsables et à un système de management de la sécurité de l’information certifié ISO-27001.

Malgré cette attention accrue, il y a encore beaucoup à faire. Comme sensibiliser les collaborateurs, afin que les exigences en matière de sécurité soient respectées dès le lancement du programme et de la mission et arrivent jusqu’au niveau de l’ingénierie. Le cycle de vie de la conception des systèmes spatiaux et les normes y afférentes exigent des adaptations, de manière à s’assurer que la sécurité soit délibérément intégrée dans le concept.

Ce point est d’autant plus important que les systèmes ne cessent de gagner en complexité, ce qui requiert une compréhension totale de la moindre incertitude susceptible d’en découler. De même, les technologies émergentes comme l’intelligence artificielle, les infrastructures cloud et la digitalisation requièrent une analyse approfondie de la sécurité afin d’éviter d’introduire des incertitudes ou des vulnérabilités.”

Le projet PenBox s’inscrit-il dans une stratégie précise ? En quoi consistent ses grands points et à qui est-il destiné ?

M.W. : “Le projet PenBox permet à des utilisateurs non spécialisés de soumettre un système à des tests de pénétration génériques de manière simple et réitérable, ce qui en réduit considérablement le coût. Les scénarios d’attaque spécifiques à une vraie mission spatiale mettent en évidence un impact potentiel sur celle-ci, ce qui fait que l’utilisateur et le propriétaire du système sont bien plus conscients du risque. Une interface conviviale permet de visualiser les attaques en cours et de passer en revue les résultats obtenus, qui mettent en avant les infractions aux règles de sécurité, les vulnérabilités découvertes et les avertissements.

Le système de création de rapports permet d’obtenir des résultats détaillés de la session, par exemple pour des tests de régression ou des audits de sécurité. Les scénarios d’attaque sont configurables et adaptables à n’importe quel type de système. Ils peuvent être personnalisés afin de cibler exclusivement les systèmes souhaités. Les experts en sécurité peuvent définir plus précisément les attaques, associer de nouveaux outils, etc. pour améliorer les tests.

Il y a encore du travail à faire pour peaufiner les scénarios à appliquer et la logique de vérification des exigences propre aux environnements du segment sol – un travail qui devrait normalement être réalisé dans le cadre d’un projet ultérieur. Cependant, la faisabilité de ce processus a déjà été amplement démontrée. Les tests de sécurité et de pénétration disruptifs sont des outils essentiels pour intégrer la sécurité dans le cycle de vie des systèmes du segment sol et de l’ingénierie logicielle.

Les tests automatiques jouent donc un rôle essentiel dans la réalisation d’un objectif plus large, à savoir parvenir à une approche de type DevSecOps, où la sécurité fait l’objet d’une attention continue, à chaque stade du cycle de vie.”

Quelle est l’importance de l’utilisateur pour la sécurité ?

M.W. : “Un système est une chaîne dont le degré de sécurité dépend de son maillon le plus faible. Bien souvent, ce maillon est l’utilisateur. Par conséquent, il est essentiel de sensibiliser les développeurs, les parties prenantes et les décideurs.”

Comptez-vous permettre à d’autres départements de l’ASE ou à des partenaires industriels d’utiliser la PenBox ?

M.W.: “La PenBox a été conçue en collaboration avec Telindus, dans le cadre d’un contrat avec l’ASE. Il y a donc une certaine flexibilité en termes de distribution. De nombreux acteurs sont fortement intéressés : d’autres secteurs, d’autres agences et de nombreux départements de l’ASE. Cet intérêt montre qu’une solution de ce type est nécessaire et justifie que nous continuions à investir pour améliorer le prototype.”