Vendredi 14 avril 2023, SMART SPACE reçoit Yvan-Michel Ehkirch (managing partner, Karista) et Mathieu Bailly (directeur, CYSAT)
Category
🗞
NewsTranscription
00:00 L'espace est devenu un environnement stratégique pour collecter et transmettre des données
00:09 précieuses.
00:10 Un terrain de choix pour la cybercriminalité.
00:13 Un risque grandissant qui ouvre au passage la voie à un nouveau marché, celui des solutions
00:17 cybercriminalité appliquées au secteur spatial.
00:21 Alors, quels dangers, quels outils, quelles opportunités se cachent derrière ce sujet ?
00:25 On va répondre à ces questions avec nos invités en plateau.
00:29 A l'investissement, Mathieu Bailly, vice-président du CISAT, une entreprise spécialisée dans
00:33 la cybersécurité pour les missions spatiales avec des produits standards au sol et à bord
00:39 des solutions embarquées.
00:40 Bonjour.
00:41 Bonjour Cécilia.
00:42 Bienvenue sur Smart Space.
00:43 Alors, vous êtes aussi le co-fondateur du CISAT, un événement européen dédié à
00:47 la cybersécurité pour l'industrie spatiale qui va se tenir le 26 et 27 avril prochain
00:52 à Station F.
00:53 C'est bien ça ?
00:54 C'est exact.
00:55 Et qui réunira des acteurs européens ?
00:56 Absolument.
00:57 Les acteurs européens et même en dehors de l'Europe, les Américains, tous les gens
01:01 qui sont intéressés au sujet de la cybersécurité pour le spatial.
01:04 Alors, on en redira un mot en fin d'émission.
01:07 A vos côtés, Yvan-Michel Ekirch, managing partner chez Carista, le fonds français New
01:12 Space, supporté par le CNES et la BPI.
01:14 Bonjour.
01:15 Bonjour Cécilia.
01:16 Merci de cette invitation.
01:17 Bienvenue sur le plateau de Smart Space.
01:19 Alors, est-ce que la cybercriminalité est plus fertile dans l'industrie spatiale qu'ailleurs
01:24 ?
01:25 Alors, c'est un nouveau sujet, disons, dans l'industrie spatiale.
01:29 C'est quelque chose qui est assez récent.
01:31 Il y a eu une prise de conscience il y a quelques années.
01:33 C'est largement dû au fait qu'on a eu l'entrée de nouveaux acteurs commerciaux avec le but
01:39 de faire du business avec le spatial, l'espace.
01:42 Et donc, du coup, générer de la valeur.
01:43 Et c'est cette valeur-là qui attire les criminels.
01:46 C'est-à-dire la donnée, en fait ?
01:48 Oui, donc la valeur des actifs physiques, donc les satellites qui sont en orbite.
01:52 Ça coûte de l'argent d'envoyer un satellite de l'opérer.
01:55 Il y a aussi la valeur des données, donc des actifs digitaux que ces satellites sont
01:59 capables de collecter.
02:00 Donc, des données qui sont absolument uniques et très extrêmement précieuses.
02:04 Sensibles.
02:05 Exactement, sensibles.
02:06 Et du coup, il faut les protéger parce qu'elles attirent les criminels pour toutes sortes
02:10 de raisons.
02:11 Peut-être on y reviendra tout à l'heure sur leur motivation.
02:13 Différents enjeux.
02:14 Différents groupes qui ciblent ces infrastructures spatiales.
02:17 Et donc, il faut les protéger.
02:18 Et malheureusement, aujourd'hui, dans l'industrie spatiale, on est peu mature sur le sujet de
02:22 la cybersécurité.
02:23 D'où notre objectif de sensibiliser tous les acteurs, les ingénieurs, les décideurs
02:28 de l'industrie à ce sujet de la cybersécurité pour mieux comprendre les risques et, in fine,
02:33 mieux se protéger pour répondre aux enjeux qui sont ceux du spatial de demain.
02:38 Ça paraît quand même surprenant compte tenu de la sensibilité des infrastructures,
02:43 des enjeux qu'on va toucher parfois, de sécurité nationale.
02:45 Et puis c'est de la tech, c'est du software.
02:47 Alors pourquoi on est mal préparé ?
02:48 On est mal préparé toujours lorsqu'on a des menaces.
02:52 Donc en fait, les menaces évoluent en même temps que les outils pour contrer ces menaces.
02:56 Chez Karista, très tôt, on a compris que l'infrastructure spatiale qui est en cours
03:02 de construction pourrait être attaquée.
03:05 D'ailleurs, assez tôt dans l'année 2022, le KSAT de Vyasat a été attaqué, on va
03:12 en dire un mot, à Montraine.
03:13 Donc ça a été un espèce d'effroi.
03:15 On a compris qu'il y avait des enjeux géopolitiques monstrueux.
03:18 Et puis en même temps, ces infrastructures également existent sur Terre, puisqu'en
03:22 fait pour faire le lien entre nous et le spatial, il faut des infrastructures terrestres.
03:27 Et tout ça est sensible en fait en réalité.
03:29 Alors est-ce qu'on peut revenir sur cet exemple en particulier ? Vous pouvez peut-être nous
03:33 donner des détails ? Parce que le grand public ne connaît pas forcément cet événement
03:37 ni la sensibilité que ça représente.
03:39 Vous parlez de l'attaque de Vyasat ?
03:40 Oui.
03:41 Donc Vyasat, c'est un opérateur commercial de satellites américains qui fournit des
03:45 services de connectivité, donc de l'internet par satellite.
03:48 Ceci à travers des terminaux qui sont déployés chez les clients de Vyasat.
03:53 Il se trouve que certains terminaux de Vyasat étaient utilisés par l'armée ukrainienne.
03:57 Et donc les russes, les hackers russes, ont ciblé Vyasat comme un fournisseur de services
04:02 critiques à l'armée ukrainienne, ont réussi à infiltrer le réseau de Vyasat, à désactiver
04:08 ces terminaux exactement le jour J de l'invasion de l'Ukraine par la Russie, en coupant toute
04:14 la connexion, toute la connectivité de l'armée ukrainienne pendant plusieurs jours.
04:19 Ce qui a eu vraiment un impact significatif sur le théâtre des opérations au niveau
04:24 de l'armée ukrainienne, mais aussi sur des clients commerciaux, civils, français, allemands.
04:29 Il y a des dizaines, des centaines d'éoliennes en Allemagne qui ont été désactivées à
04:33 cause de cette opération des hackers russes.
04:36 Des clients français qui étaient aussi impactés.
04:38 Donc voilà, vraiment un impact énorme.
04:40 Et je pense qu'il est important de retenir de cette attaque sur un opérateur de satellite
04:44 commercial, c'est le fait qu'un acteur étatique, la Russie en particulier, dans ce cas de figure,
04:52 a attaqué un acteur commercial.
04:54 Et ça, ça change beaucoup de choses dans le domaine du spatial, puisque le modèle
04:57 de menace, qui peut s'intéresser à mon service, il est complètement différent aujourd'hui.
05:02 Et donc du coup, les moyens pour se défendre sont aussi beaucoup très différents.
05:05 C'est ce qui rend unique en réalité le secteur spatial, comme le secteur de la tech.
05:11 On a eu des attaques ces dernières années aux États-Unis notamment, où on s'est rendu
05:15 compte qu'avec une attaque bien ciblée, on pouvait entrer chez les gens, les espionner
05:19 aussi.
05:20 Donc il y a beaucoup de choses qui se passent et on se rend compte que la cible, c'est les
05:23 pays, les industriels, mais aussi les citoyens.
05:26 Absolument.
05:27 En fait, là encore une fois, je pense qu'en fait, il y a plusieurs couches de sécurité.
05:35 On a beaucoup parlé de la protection du poste de travail.
05:38 On a beaucoup parlé de la protection des réseaux.
05:40 C'est sur ça que la plupart des offres sur le marché ont insisté.
05:44 Et chez Karista, on s'est intéressé au sujet qui n'était pas encore tout à fait caractérisé.
05:49 Donc l'attaque des endroits où se passe du calcul embarqué, et donc qui est éminemment
05:55 important pour le domaine du spatial, et c'est vrai également sur toutes les infrastructures
05:59 terrestres.
06:00 Parce que ça va paralyser le sujet.
06:01 Ça va paralyser complètement le sujet.
06:02 Et puis surtout, c'est un endroit sensible.
06:03 C'est un endroit où se passent des choses qui peuvent être non cachées, non divulguées.
06:08 Ensuite, on s'est intéressé, nous aussi, donc on a investi dans Sysec.
06:12 Sysec est un investissement important pour en faire un leader dans son domaine.
06:16 Mais on a également investi dans une autre société qui s'appelle B4AI, qui s'intéresse
06:20 aux renseignements, aux renseignements numériques pour préparer en fait, et prévenir des attaques
06:28 des semaines ou des mois en avance.
06:30 Et puis, effectivement, il faut sécuriser les communications.
06:34 On a beaucoup parlé de cryptographie et on s'est aperçu que les mécaniques, les
06:39 ordinateurs quantiques étaient capables de décrypter les cryptographies.
06:42 C'est une vraie piste, ça, le quantique, sur la cybersécurité, pas seulement dans
06:47 le spatial d'ailleurs.
06:48 Absolument.
06:49 Et donc, en fait, les liens qui sont des liens radio aujourd'hui vont faire place progressivement
06:52 à des liens optiques.
06:53 Et on va pouvoir en fait envoyer via ces liens optiques des clés quantiques qui sont de
07:00 meilleure qualité, avec une meilleure sécurité que les clés classiques.
07:05 Et pour ça, il faut observer les turbulences terrestres.
07:07 Et le fonds d'Eucarista dédié au spatial a investi dans une société qui s'appelle
07:12 Miratlas, qui permet l'observation de ces turbulences et de permettre une bonne communication
07:17 de ces informations de manière optique.
07:20 Alors on comprend dans votre discours que pour être efficace sur ce sujet de la cybersécurité
07:24 dans le spatial, il faut être en rupture technologique aussi.
07:27 On ne peut pas seulement utiliser les mêmes méthodes qu'on utilisait dans d'autres secteurs.
07:31 Oui, alors peut-être si je fais un pas en arrière.
07:33 Donc historiquement, quand on regarde les missions spatiales, à part les missions institutionnelles
07:37 vraiment scientifiques qui ont peu de valeur je dirais financière ou géopolitique, les
07:43 acteurs gouvernementaux et militaires ont pensé la sécurité des satellites depuis
07:48 qu'ils lancent des satellites d'observation, des renseignements en intelligence, etc.
07:52 Avec des programmes qui sont extrêmement coûteux, extrêmement longs.
07:55 Donc plutôt une approche "old space" entre guillemets.
07:58 Et aujourd'hui ce qu'on voit c'est l'arrivée des nouveaux acteurs, avec des satellites
08:02 plus petits, beaucoup plus innovants, avec des outils beaucoup plus modernes à bord,
08:06 beaucoup plus de logiciels.
08:07 Et c'est pour ce type de satellite, ce type de marché commercial qui est en train vraiment
08:11 de cannibaliser quasiment tous les autres, qu'il y a un besoin de solutions de sécurité
08:16 adaptées.
08:17 Donc nous c'est ce besoin-là auquel on veut répondre avec SISEC, pour pouvoir adresser
08:24 tous les acteurs qui sont en train de se lancer.
08:26 Et qui seraient mal préparés en fait, ces nouveaux arrivants qui sont mal préparés
08:30 mais qui ont d'énormes technologies à valeur ajoutée à protéger.
08:33 Est-ce qu'on peut mesurer ce nouveau marché, donc de nouveaux entrants, qui est complètement
08:38 calqué sur ce modèle de "new space", en cybersécurité dans le secteur spatial ? Il
08:43 est chiffrable aujourd'hui le potentiel de ce marché-là ?
08:46 L'industrie du spatial, pour qu'on s'y intéresse, c'est environ 500 milliards de
08:53 dollars aujourd'hui.
08:54 Et ce qu'on croit vraiment, c'est que dans chaque endroit de ces 500 milliards de dollars,
09:00 il y a un sujet de cybersécurité.
09:01 Donc le marché, il faudrait faire un calcul bottom-up en se disant "tiens, si je lance
09:07 10 000 satellites, il faut que ces 10 000 satellites soient sécurisés avec une solution
09:11 SISEC", par exemple, ce qui donne une idée de taille de marché.
09:14 Au hasard ?
09:15 Je pense que chaque petit coin, je dirais, de cette infrastructure spatiale des 500 milliards
09:20 de dollars, doit être cybersécurisé.
09:23 C'est un potentiel assez énorme.
09:25 Un potentiel énorme.
09:26 Est-ce qu'on a une somme d'acteurs suffisante pour traiter ce sujet-là ?
09:30 Peut-être juste pour revenir sur la question du marché.
09:33 Ce qu'on voit sur des marchés plus matures, comme les services financiers, etc.
09:37 La cybersécurité, ça représente à peu près 10% de l'enveloppe globale d'un marché,
09:45 pour un marché mature.
09:46 Donc nous, dans le spatial, aujourd'hui, on est loin, mais on progresse, et à terme,
09:50 on va arriver vers ce chiffre-là.
09:51 Si on prend une enveloppe de 500 milliards, ça représenterait à peu près 50 milliards.
09:55 C'est pour ça qu'il faut éduquer aussi ?
09:56 Oui, j'y venais.
09:58 Ces acteurs, ils partent de loin.
10:00 Ce n'est pas tout à fait de leur faute.
10:02 Aujourd'hui, si vous faites super-héros, vous n'avez pas de formation en cybersécurité,
10:04 en cryptographie, etc.
10:06 Il faut travailler auprès des jeunes.
10:09 C'est pour ça qu'on invite les étudiants à SISEC dans deux semaines.
10:13 Il faut travailler auprès de tous les ingénieurs qui sont aujourd'hui en poste pour les former,
10:16 pour les sensibiliser au sujet de la cybersécurité, pour qu'ils prennent en compte les risques
10:21 cyber dans le modèle de risque global de la mission.
10:23 Parce que le but d'embarquer des produits de sécurité, c'est de contribuer au succès
10:28 de la mission.
10:29 C'est ça le but.
10:30 C'est de pouvoir se protéger contre des acteurs malveillants qui font maintenant partie du
10:33 paysage.
10:34 On a parlé de géopolitique.
10:35 Il y a plein de raisons d'attaquer un satellite ou un service de communication par satellite.
10:40 C'est pour ça qu'il faut mieux comprendre les risques pour ensuite mieux se protéger.
10:44 Aujourd'hui, on n'a pas les outils.
10:46 Nous, SISEC, c'est notre rôle de développer ça grâce à Carista.
10:49 Est-ce qu'on peut avoir un exemple d'outils à impliquer sans que vous nous réveilliez
10:53 peut-être tous les secrets technologiques de votre entreprise, mais comprendre en quoi
10:58 consistent ces solutions ?
10:59 Pour bien comprendre, ça dépend beaucoup du but de la mission.
11:03 Chez SISEC, on a travaillé avec une dizaine d'acteurs d'opérateurs du New Space qui
11:08 sont venus nous voir en disant « voilà, ça c'est notre business, comment je peux
11:12 me protéger ? ». Il faut vraiment avoir cette approche de
11:14 « security by design », où on réfléchit à qui peut m'attaquer, quels sont les
11:18 moyens de ces attaques en potentiel.
11:19 Est-ce que, par exemple, un acteur étatique russe, pour reprendre l'exemple de Vyasa,
11:25 peut s'intéresser à mon service ? Est-ce que je travaille d'une façon ou d'une
11:27 autre pour les renseignements ukrainiens ? Est-ce que je veux fournir des services au
11:32 gouvernement français ? En fonction de ça, en fonction du but de
11:36 ma mission, je dois décider ce qui est le plus critique.
11:39 Est-ce que c'est la confidentialité des données ? Est-ce que c'est la disponibilité
11:42 de mon service ? Est-ce que c'est l'authentification de mes données qui va être la plus importante
11:46 ? En fonction de cette réflexion, on met les outils en place pour protéger les données
11:51 les plus sensibles.
11:52 C'est vraiment cette démarche-là qu'on essaye de promouvoir vers nos clients.
11:56 Donc du sur-mesure ? Oui, parce que chaque business est particulier,
12:00 donc il faut réfléchir à ça.
12:02 Ensuite, notre job chez Sysec, c'est de développer des produits qui sont le plus
12:05 standard possible, qui soient le plus intégrables, etc.
12:09 L'interopérabilité, c'est un énorme sujet, surtout dans le secteur spatial.
12:13 Absolument.
12:14 Donc voilà, on doit fournir les briques de base qui sont ensuite utilisables par tous
12:19 les opérateurs.
12:20 Bonjour.
12:21 Est-ce qu'il y a une différence sur ce sujet entre l'Europe et les Etats-Unis, par exemple ?
12:27 On récupère cette vague du New Space, est-ce que sur le sujet de la cybersécurité pour
12:33 les acteurs du New Space aussi, on serait un petit peu en décalage ?
12:37 Je crois qu'en tout cas les besoins sont les mêmes.
12:40 Si on regarde les constellations, qu'elles soient de petite taille, de taille moyenne
12:44 ou de grande taille, Starlink, Planète, OneWeb, les enjeux sont les mêmes.
12:51 Est-ce qu'ils sont protégés ? Ils ne le diront pas, mais je pense qu'ils
12:57 ont nécessairement besoin de vérifier s'ils sont protégés et s'ils ne le sont pas tout
13:03 à fait de faire appel à SISEK pour être protégé.
13:07 On se rend compte du potentiel du marché aussi, de l'importance de réagir vite, de
13:11 trouver des financements, d'avoir de nombreux acteurs pour ne pas être en retard sur ce
13:17 sujet-là.
13:18 Il y a un sujet d'enjeu européen, de souveraineté, qui s'appelle eSquare, qui est la constellation
13:23 européenne lancée assez récemment par le commissaire européen.
13:27 La cybersécurité est au centre des consortiums qui seront créés pour aider cette nouvelle
13:37 constellation à être aux normes, aux meilleurs standards de cybersécurité en Europe.
13:42 C'est une transition toute trouvée.
13:44 Est-ce qu'il faut normer davantage la cybersécurité, la sécurité dans le secteur spatial en particulier ?
13:50 Est-ce qu'il va falloir imposer une réglementation efficace ou est-ce que ça se fera seulement
13:56 par le privé ?
13:57 De la manière un petit peu similaire à celle que vous avez prise comme exemple, Exotrel.
14:01 Vous avez parlé d'Exotrel, qui est une participation historique de Carista également.
14:04 Il va falloir, je pense, imposer de manière commerciale ou de manière standard, en fait,
14:12 effectivement l'équipement de l'infrastructure spatiale d'éléments de base, dont la cybersécurité.
14:17 Donc je crois beaucoup au fait de disposer d'un acteur qui permet d'offrir une solution
14:22 le plus standard possible et la plus adaptée au modèle que l'on souhaite pour protéger
14:30 ces infrastructures, mais également les données et donc les citoyens.
14:33 Je vais juste mentionner pour revenir sur les Etats-Unis.
14:37 Nous, quand on a créé cet événement, CYSAT, c'était parce qu'on était un petit peu jaloux
14:42 de ce qui se passait aux Etats-Unis.
14:43 Ils avaient déjà des conférences, des programmes même de hackers, Hackersat, qui est maintenant
14:48 très connu, des chercheurs qui travaillent sur le sujet.
14:50 En Europe, en 2018-2019, quand on a commencé à s'intéresser au marché, il ne se passait
14:55 pas grand-chose.
14:56 Donc on s'est dit, voilà, il faut lancer le premier événement européen.
15:00 C'est comme ça qu'on a créé le CYSAT.
15:02 Même chose du côté des solutions et des produits.
15:05 Il y a un peu plus de maturité côté américain parce qu'ils ont compris que le spatial était
15:10 un enjeu géopolitique.
15:11 Trump a créé la Space Force dans les années 2018-2019.
15:15 En Europe, on est un petit peu plus lent.
15:17 C'est pour ça qu'on essaie de rattraper notre retard et d'avoir des briques technologiques
15:23 souveraines.
15:24 C'est l'enjeu géopolitique avec la constellation européenne.
15:27 Il nous faut des acteurs européens, il faut un écosystème européen.
15:30 Et il faut des fonds pour les financer.
15:31 Il faut des fonds pour les financer, exactement.
15:33 On va conclure cette émission.
15:35 On rappelle que le 26 et le 27 avril prochain, à Station F, a lieu ce fameux événement,
15:41 le CYSAT, qui va réunir combien d'acteurs à peu près de l'industrie spatiale, de
15:46 la cybersécurité en général et de la tech aussi, c'est ça ?
15:49 Oui, c'est ça.
15:50 L'idée, c'est vraiment d'écloisonner, de mettre ensemble les acteurs du spatial,
15:54 les ingénieurs, les décideurs, avec le monde de la cybersécurité.
15:58 Il faut que ces deux mondes puissent se parler pour créer cet écosystème qui manque aujourd'hui,
16:03 fournir des solutions pour la constellation européenne, pour tous les futurs programmes
16:06 qui vont venir.
16:07 On attend à peu près 500 personnes à Station F.
16:10 On double chaque année.
16:11 Si on croise les doigts, on va devenir le plus gros événement mondial sur le sujet
16:15 avec les meilleurs experts.
16:17 Les Américains viennent à Paris.
16:18 On est en train de devenir, de créer un peu ce…
16:22 C'est une vitrine pour les acteurs européens.
16:25 Oui, exactement.
16:26 Et on a la chance de compter tous les leaders industriels européens, les agences, l'ESA,
16:31 le SPA nous font confiance, Airbus, Thales, OHB, etc.
16:34 Le CNES, bien sûr.
16:36 Philippe Baptiste fera l'ouverture de l'événement.
16:39 Les start-up, le New Space, les chercheurs, les hackers, voilà.
16:42 Tout cet écosystème-là sera à Station F dans deux semaines.
16:45 Merci beaucoup d'avoir pris le temps tous les deux de venir en plateau pour parler de
16:49 ce sujet hyper important, celui de la cybercriminalité et des solutions en cybersécurité pour enfoncer
16:56 l'industrie spatiale.
16:57 Merci à tous de nous avoir suivis.
16:59 On se retrouve dès la semaine prochaine sur Bismarck.
17:01 [Musique]