Si les entreprises spatiales commerciales étaient autrefois rarement visées par des cyberattaques, leur rôle croissant dans la défense en raison de leur soutien opérationnel les rend désormais plus vulnérables. Les frontières entre systèmes commerciaux et gouvernementaux se dissolvent, les attaques touchant désormais les deux de manière similaire. Dans le même temps, la volatilité de la situation outre-Atlantique pourrait faire surgir des risques cyber-sécuritaires supplémentaires. Face à cette réalité, et dans un contexte de “course à l’espace” accélérée, les entreprises et infrastructures sont globalement encore mal préparées à se défendre efficacement. Renforcer la réglementation, structurer les standards de sécurité et consolider la collaboration entre les parties-prenantes institutionnelles et privées sera crucial pour garantir la résilience de l’industrie spatiale européenne.

L’espace, terrain en expansion de la cyber-guerre

Les systèmes spatiaux deviennent le point de convergence des intérêts des acteurs étatiques, des entreprises, et des cybercriminels. La cyberattaque contre l’Agence spatiale polonaise en mars témoigne du nouvel enjeu que représente le secteur en matière de cybermenaces. Chaque satellite en orbite, qu’il appartienne à une constellation commerciale, de télécommunication ou étatique, est aujourd’hui une cible potentielle, et les infrastructures qui y sont liées ne sont pas exemptes non plus : dans l’écosystème du spatial, chaque élément d’un projet ou d’une mission représente un risque cyber-sécuritaire.

Les menaces liées à la cybersécurité dans l’espace visent principalement les infrastructures terrestres plutôt que les satellites, à la fois à cause de la vulnérabilité des chaines d’approvisionnement dont le secteur dépend et des surfaces d’attaque terrestres. Le dernier rapport de l’ENISA sur le paysage des menaces dans le secteur du spatial (Space Threats Landscape 2025) met en avant de nombreux risques liés aux satellites eux-mêmes, dont l’utilisation de composants commerciaux prêts à l’emploi (COTS) provenant de tiers non analysés ou sécurisés, le manque de visibilité lié à la nature éloignée des systèmes spatiaux, l’absence d’utilisation de technologies cryptographiques, la large part d’erreurs humaines possibles, et la sophistication croissante des cyberattaques.

Les conséquences sont multiples, et peuvent être dramatiques : collisions de satellites, pannes et temps d’arrêt de services critiques, pertes de données, dommages économiques, exacerbation des tensions géopolitiques... et affaiblissement des systèmes de défense souverains.

Quels sont les freins à une plus grande cyber-résilience ?

Malgré une évolution des perceptions, des obstacles demeurent.
Le premier est le manque de spécialistes et de savoir-faire. Le champ de la cybersécurité souffre encore d’une certaine pénurie de compétences, et le manque de formations interdisciplinaires ralentit l’intégration d’experts au secteur du spatial. Au cours des prochaines années, il sera essentiel de former à la fois plus d’ingénieurs et de spécialistes de la cybersécurité.
Deuxièmement, le secteur du spatial n’est pas encore suffisamment encadré par des réglementations unifiés et des normes standardisées dont l’application est obligatoire. Malgré un nombre croissant d’exigences légales et d’initiatives mises en place par l’UE pour renforcer le niveau de sécurité des systèmes spatiaux et la cyber-résilience de l’Europe en général (NIS 2, CRA...), la mise en place et l’intégration de ces dernières est très lente et varie souvent d’un pays à l’autre. Il n’existe en outre pas de standards de sécurité contraignants à respecter au quotidien ; les entreprises n’ont donc souvent pas de pression extérieure pour mettre en œuvre des mesures de sécurité, dans la mesure où les standards existants ne sont pas tous soit connus, soit obligatoires. Pour ces entreprises, la cybersécurité est également souvent perçue comme un centre de coûts – et sans incitations, la pression pour agir restera faible.

Au niveau européen, un autre obstacle est la fragmentation des acteurs. La sécurité des constellations devient de plus en plus stratégique face aux ambitions outre-Atlantique. La constellation IRIS², qui vise à proposer une alternative souveraine pour l’Europe, représentera cependant un challenge en matière de sécurité. Alors que les constellations Kuiper et Starlink sont verticalement intégrées, c’est à dire gèrent l’ensemble de la chaine en interne (fabrication des satellites, opération de la constellation, vente des services) et peuvent donc plus facilement suivre une approche "security-by-design", IRIS² implique des dizaines d’entreprises qui vont devoir collaborer avec des pratiques de sécurité diverses et des spécificités contractuelles, enlevant beaucoup de liberté et d’agilité. Obtenir un niveau de sécurité équivalent à ses concurrents américains sans compromettre les performances du service et l’expérience client et en restant dans le budget imparti sera un grand défi pour IRIS².

Imposer des normes et promouvoir l’innovation

Établir des normes de sécurité plus contraignantes est une nécessité absolue. Le rapport de l’ENISA cité plus haut est sans appel sur ce point : la cybersécurité “by design” et “by default” doit être imposée, tout comme des standards plus clairs et unifiés. Des exigences plus strictes devraient être graduellement imposés, auxquelles les acteurs du secteur spatial devront se conformer - particulièrement l’écosystème du New Space, qui est vital pour maintenir une supériorité stratégique dans un environnement spatial de plus en plus disputé. Sa protection contre les cybermenaces est une condition cruciale pour garantir la fiabilité des capacités de défense et préserver la souveraineté européenne.

Les entreprises du secteur privé sont celles qui devront répondre aux ambitions spatiales de l’Europe tout en en garantissant la sécurité. Le secteur privé, en particulier celui du New Space, se distingue aujourd’hui par sa capacité d’innovation rapide et agile dans la construction de systèmes sécures et résilients, et révolutionne la défense grâce à des technologies basées sur l’intelligence artificielle, le cloud computing ou encore les technologies quantiques. Face à la militarisation de l’espace, il devient un acteur technologique clé des stratégies de défense, et montre une maturité grandissante autour des enjeux de cybersécurité. Les petites entreprises du New Space, bien que novatrices, manquent cependant parfois des ressources et compétences des grands groupes qui, de leur côté, n’ont pas toujours suffisamment d’agilité face aux nouvelles demandes des acteurs étatiques. La collaboration entre tous les acteurs de l’écosystème est donc cruciale afin de tirer les bénéfices de chaque approche. En parallèle, les programmes interdisciplinaires et des plateformes d’échange à l’échelle européennes seront essentiels à la transmission et à la centralisation des savoirs.

La cybersécurité doit devenir une condition préalable dans le domaine spatial – non pas comme un facteur de coût additionnel, mais comme une composante intégrale de chaque projet. L’Europe a l’opportunité d’établir une culture de la sécurité grâce à des directives claires et à un soutien ciblé avant que les vulnérabilités ne deviennent de véritables foyers de crise. Les tensions géopolitiques des derniers mois ont accéléré une véritable prise de conscience autour des enjeux et défis cyber-sécuritaires du spatial – il s’agit désormais de mettre en place les bons cadres et les bonnes synergies pour les relever.