En 2022, l'Union européenne a annoncé son ambition de devenir une force spatiale commerciale reconnue, mais de nombreux défis l'attendent, notamment sécuritaires. L'attaque russe contre ViaSat en février dernier a mis hors ligne la quasi-totalité d'un pays et a affecté les infrastructures et services de plusieurs autres pays, dont la France et l'Allemagne. Cette cyberattaque a mis en évidence la vulnérabilité de l'industrie spatiale européenne et la nécessité, sinon l'urgence, d'agir pour protéger les données dans l'espace.

Josep Borel, haut représentant de l'Union européenne pour les Affaires étrangères et la politique de sécurité, a déclaré que « Sans sécurité, il n'y a pas d'avenir dans l'espace." Il est donc urgent qu'une stratégie spatiale européenne s'impose avec pour objectifs de renforcer la sécurité et la résilience des systèmes nationaux et commerciaux.

Espace commercial : quelles vulnérabilités ?

Si autrefois l'espace était un domaine exclusivement réservé aux institutions et états, avec des satellites isolés des systèmes commerciaux au sol, ce n'est aujourd'hui plus le cas. Une grande partie de nos infrastructures critiques chargées de la collecte et de la transmission des données dépendent de satellites commerciaux. Si des innovations telles que les satellites définis par logiciel, l'arrivée de l'intelligence artificielle à bord ou les interactions directes entre satellites et services cloud terrestres ont permis des transformations sans précédent, elles ont augmenté en parallèle la surface d'attaque et l'interdépendance des systèmes.

Peu de satellites ont été développés en prenant en compte la sécurité dès la conception. La cybersécurité dans l'espace est un sujet mal considéré, en particulier chez les opérateurs de satellites civils en Europe, qui ont mis la priorité sur l'amélioration des capacités de mission plutôt que sur la protection contre les cybermenaces.

Lors de l'édition 2022 de CYSAT, l'événement européen consacré à la cybersécurité spatiale, Nicolas Chaillan, ancien Chief Software Officer de l'armée de l'air américaine, a déploré l'absence d'investissements dans la sécurité des satellites et pointé la capacité des États-Unis à rester compétitifs dans ce domaine. L'heure est venue d'investir dans la sécurité. Ces dix dernières années, la plupart des entreprises du secteur n'ont pas réalisé d'investissement majeur dans ce domaine. Pourtant, même SpaceX, qui fait partie des entreprises les plus innovantes du secteur, a dû prendre du recul et concentrer ses efforts sur la lutte contre le brouillage et la cybersécurité avant d'envoyer ses équipements en Ukraine.

L'Europe a encore un long chemin à parcourir en termes de sécurité avant d'atteindre ses objectifs ambitieux dans l'espace.

Savoir reconnaître les menaces

Les profils des cybercriminels sont vastes et variés (voleurs, terroristes, acteurs géopolitiques). Qu'il s'agisse de gains financiers, de dommages stratégiques ou de déstabilisation, ils choisissent généralement leurs cibles en fonction des éléments suivants :

• Valeur financière / économique des actifs physiques (les satellites) et digitaux (les données transmises et/ou collectées par les satellites) ;
• Niveau de criticité / de dépendance du service vis-à-vis d'une entreprise ou d'un gouvernement : plus la dépendance est forte, plus l'impact de l'attaque sera fort, et plus les gouvernements ou les entreprises seront prêts à payer cher pour le sauver ;
• Niveau de défense global : taille de la surface d'attaque, points faibles identifiables, capacité de l'organisation à réagir en cas d'attaque...

Les satellites commerciaux rassemblent ces trois critères et peuvent être de véritables mines d'or en termes de données. Les attaquants peuvent voler de grandes quantités d'informations et demander des rançons, avec pour conséquences la perturbation de secteurs entiers. Une autre option consiste à corrompre les infrastructures et à mettre potentiellement des pays entiers hors ligne, comme lors de l'attaque contre ViaSat l'année passée.

La Russie est entrée dans l'histoire en lançant la toute première cyberattaque d'État contre un opérateur commercial en Europe. Les terminaux de télécommunications par satellite de ViaSat ont été durement touchés. Mais la vague de dégâts ne s'est pas arrêtée à l'Ukraine ; elle s'est poursuivie en Allemagne et en France, coulant des parcs éoliens et affectant des utilisateurs privés. C'est à ce moment que Starlink, constellation d'Elon Musk, est intervenu et a permis au réseau de télécommunications ukrainien de rester connecté.

Le seul point positif de tout cela est que cette attaque a ouvert les yeux de l'Europe sur la nécessité d'une sécurité spatiale. Comme l'a déclaré Thierry Breton, Commissaire européen au marché intérieur, l'agression russe contre l'Ukraine a montré à quel point des services de communication souverains et sécurisés sont essentiels en cas de conflit.

IRIS² : un nouvel espoir

Cette année, l'UE a fait de la défense l'un des quatre piliers de sa nouvelle stratégie visant à devenir une puissance spatiale européenne. Cette dernière vise à apporter :

• Un cadre de résilience et de sécurité à l'échelle de l'UE pour les systèmes spatiaux nationaux et commerciaux,
• Un renforcement de la capacité de l'Union à répondre aux menaces,
• Une utilisation accrue de l'espace pour les opérations de sécurité et de défense, comme les nouveaux services d'observation de la Terre et de surveillance de l'espace,
• Une coopération renforcée avec les partenaires mondiaux, notamment avec l'OTAN.

La nouvelle stratégie de l'UE marque un changement de paradigme, visant à renforcer la résilience européenne dans et depuis l'espace. Pour ce faire, un plan souverain de constellation multi-orbite d'une valeur de 6 milliards d'euros, baptisé Infrastructure pour la résilience, l'interconnectivité et la sécurité par satellite (IRIS²), a récemment été annoncé. L'objectif est de sécuriser les infrastructures européennes tout en fournissant des services d'aide humanitaire, de surveillance des frontières, et des services commerciaux tel que le haut débit.

Si l'Europe veut un jour rattraper la Chine et les États-Unis, qui ont pris beaucoup d'avance et bénéficient de budgets bien plus importants, elle ne doit pas relâcher la pression. Ces ambitions représentent une occasion sans précédent pour la communauté européenne de la cybersécurité, de s'unir et d'établir un espace sûr... dans l'espace. Il ne reste qu'à saisir cette opportunité !