Contrôle au sol pour l'industrie spatiale : transformez vos pratiques de cybersécurité statiques en un modèle dynamique. C'est ce que dit le tout premier guide des meilleures pratiques de sécurité de la NASA pour les communications spatiales, dans le cadre d'un effort visant à rendre les exigences de sécurité des missions plus accessibles à la communauté de la cybersécurité.
Les nouvelles directives publiées vendredi aligne le langage des projets de vol de la NASA avec les contrôles de sécurité décrits dans le catalogue des contrôles de sécurité pour les agences gouvernementales du National Institute of Standards and Technology, connu sous le nom de SP 800-53.
"Les principes de cybersécurité sont censés être facilement réalisables, quelle que soit la taille, la portée de la mission, du programme ou du projet, ou qu'il soit international, d'entreprise ou universitaire", selon la NASA. L'agence a déclaré que l'objectif de ces lignes directrices est d'aider les organisations à s'adapter à des systèmes d'information et des technologies opérationnelles de plus en plus intégrés et interconnectés pour les systèmes et activités spatiaux.
La prise de conscience des pirates informatiques concernant les vulnérabilités spatiales a franchi une ligne rouge pour devenir réalité avec l'attaque russe de février 2022 contre le fournisseur de communications à haut débit par satellite Viasat. Selon un article d'universitaires allemands publié en avril, une enquête menée auprès des développeurs de satellites a notamment admis que certaines orbitales manquent carrément de mesures de cyberdéfense tandis que beaucoup d'autres comptent sur la « sécurité par l'obscurité » comme moyen de dissuasion. Des documents divulgués ce printemps par un garde aérien et examinés par le Financial Times montrent que l'armée s'inquiète du fait que la Chine utilise des cyberarmes pour « prendre le contrôle » des satellites.
Les orientations exhortent les organisations des secteurs public et privé menant des activités spatiales à établir un processus continu d’analyse des risques de sécurité des missions et de réponse aux risques afin d’identifier et de traiter régulièrement les risques de sécurité liés à des opérations spécifiques. La NASA conseille également aux organisations d'appliquer les principes de séparation des domaines et de conception des moindres privilèges dans l'ensemble de leurs entreprises afin de mieux atténuer les attaques de la chaîne d'approvisionnement et autres vulnérabilités opérationnelles.
Misty Finical, conseillère principale adjointe pour la protection des entreprises à la NASA, a déclaré que ces directives « représentent un effort collectif pour établir un ensemble de principes qui nous permettront d'identifier et d'atténuer les risques et d'assurer le succès continu de nos missions, à la fois sur l'orbite terrestre et au-delà. "
Les rapports détaillent une variété de défis auxquels les organisations ont été confrontées ces dernières années lorsqu'elles ont répondu aux menaces émergentes en matière de cybersécurité dans l'espace. Une évaluation réalisée en 2019 par le Government Accountability Office a révélé que le ministère de la Défense avait eu du mal à adopter de nouvelles approches pour protéger les satellites américains des cyberattaques d'adversaires étrangers et de la menace croissante des débris spatiaux.
La NASA a déclaré dans ses directives que les acteurs malveillants peuvent exploiter les systèmes au sol pour obtenir un accès non autorisé et interagir de manière malveillante avec les véhicules et les opérations spatiaux. L'agence a encouragé les organisations à garantir que seul le personnel et les logiciels authentifiés et autorisés sont autorisés à accéder aux systèmes de mission spatiale.
Les lignes directrices recommandent également d'établir un mécanisme d'accès médiateur pour aider à empêcher tout accès non autorisé aux sous-systèmes critiques du segment spatial, à bloquer le trafic involontaire et à mieux tenir à jour les journaux de sécurité.