Bastien Coudray et Elisa Deschamps, Juin 2023

Security by design

Avec la nouvelle industrie spatiale, les mentalités changent. La conception et le développement des équipements spatiaux évoluent. Certaines entreprises du Newspace spécialisées n’hésitent pas à construire leur système à partir de zéro pendant que d’autres réutilisent la logique des solutions terrestres en l’améliorant pour l’espace. Il est parfois difficile de mettre à jour un logiciel, de refaire le développement d’application ou de revoir la conception du système afin de l’adapter en termes de sécurité.

Aujourd’hui, la tendance est beaucoup plus ouverte et plus moderne sur les sujets de la cybersécurité dans le spatial. La nouvelle économie émergente en provenance du Newspace apporte une approche sur l’adoption d’une sécurité dès la conception. L’idée est que la sécurité doit être prise en compte dès le départ. Ainsi, en étudiant les risques et les vulnérabilités dès le début du projet, ça permet de faire un plan d’évaluation des risques qui pourra être mise à jour à chaque fois qu’il y a une modification ou un changement dans la conception. Ce processus va permettre d’avoir un regard sur les conséquences du point de vue de la sécurité.

Nos recommandations

Dans l’industrie, il n’y a pas de solution miracle pour protéger les systèmes contre les cyberattaques qui exploitent les vulnérabilités. Beaucoup d’attaques dans le secteur spatial sont généralement dues à des mesures de sécurité qui ne sont pas mises en place et pas assez prises en compte à certains niveaux. Pour nous, l’approche de la sécurité dès la conception définit une assurance sur la sécurité durant toute la durée de vie du projet en comprenant les mesures de sécurité, la construction et la sécurisation des données. En suivant ces principes, le spatial peut s’assurer des bases solides et se projeter vers un avenir plus résilient. C’est pourquoi l’industrie du spatial doit faire les bons choix avant d’envoyer les équipements et aussi de prendre en compte les différentes étapes de cette approche. Voici quelques points importants à retenir :

• Réalisation du plan de conception et d’évaluation de risque avec l’identification des actifs, la mise en place d’une analyse approfondie et un processus type de risque
• Il est important de penser aux normes, aux certifications et au cadre européen.
• On ne peut pas assurer la sécurité si on ne sait pas pourquoi on la met. Il faut absolument connaître les risques, les phases de développement ainsi que les phases d’exploitation liées aux clients.
• On peut parler du Zero Trust, de défense en profondeur, de cyber range, de TTPs
• Beaucoup d’attaques dans le secteur spatial sont généralement dues à des mesures de sécurité qui ne sont pas mises en place et pas assez prises en compte à certains niveaux.
• Les audits de sécurité de code ou d’intrusion sont vitaux pour s’assurer de l’implémentation et du bon fonctionnement des mesures de sécurité.
• La veille technologique du produit permet de garder le cap sur le cycle de vie du produit.