Un peu plus près des étoiles…

Agence spatiale européenne

Le 19 juin 2014 Imprimer

Avec 20 États membres, des sites dispersés à travers le monde entier, et une activité croissante, l’ESA fait figure de cas très particulier en matière de sécurité. Un cas que nous avons souhaité étudier avec Stéfano Zatti, responsable du Bureau de Sécurité de l’ESA et Florian Guillez, en charge de la politique de sécurité physique de l’ESA et coordonnateur sécurité des différents sites ESA.

« Assurer et développer, à des fins exclusivement pacifiques, la coopération entre États européens dans les domaines de la recherche et de la technologie spatiales et de leurs applications spatiales ». C’est ainsi que l’ESA, définit son objectif dans le cadre de l’article 2 de sa Convention.

L’ESA est l’une des rares agences spatiales au monde à travailler dans presque tous les domaines du secteur spatial : science spatiale, vols spatiaux habités, exploration, observation de la Terre, lanceurs, navigation, télécommunications, technologie, opérations.
L’ESA est responsable des activités de R&D nécessaires aux projets spatiaux. Après qualification, la responsabilité des projets est transférée à des entités extérieures qui se chargent des activités de production et d’exploitation. Ce rôle de catalyseur place l’ESA à l’origine de la plupart de ces entités, telles que Eumetsat (météorologie), Arianespace (services de lancement), Eutelsat et Inmarsat (télécommunications). Certes, ces noms sont connus, et les programmes menés en coopération avec l’UE le sont également, à l’instar de Galileo et GMES. Force est toutefois de constater que l’activité globale de l’ESA est méconnue.

Sécurité Privée. En quoi l’ESA représente-t-elle un “client” particulier en matière d’enjeu sécuritaire ?

Nous traitons de nombreuses données technologiques et sensibles. Beaucoup d’informations nous sont confiées par les États Membres, d’autres données par les industriels (pour la réalisation de satellites par exemple, leur paramétrage, leur lancement,…) Ces informations ne nous appartiennent pas ; elles nous sont uniquement confiées. Par conséquent, nous devons assurer une confidentialité et une protection maximum de ces informations pour ne pas qu’elles se retrouvent dans le domaine public.

Dans la cadre de notre implication dans la politique spatiale de l’UE, nous pilotons des programmes très sensibles du type Galileo, EGNOS, SSA, COPERNICUS/(GMES)… Là encore, on ne protège pas que nos intérêts, mais ceux de l’ensemble de nos partenaires.

Les stations sols et les sites de lancements (voir encadré) représentent des cas particuliers. Ce sont des emplacements géographiques stratégiques, souvent isolés et qui sont soumis à des pics d’activité. Lors de campagnes de lancement de satellite, par exemple, les sites connaissent une activité 24/24 pendant quasiment deux mois et avec beaucoup plus de personnel.

Quels sont les principaux risques auxquels ces sites sont confrontés ?

De par son activité et la diversité des partenaires avec lesquels l’Agence Spatiale européenne est amenée à travailler, nous devons faire face à plusieurs types de risque. Dans le prolongement de la question précédente, l’un de ces risques est le « risque des données » : comme nous le disions, il est vital pour nos partenaires que les informations confiées restent confidentielles.
Sur le plan matériel, l’Agence est soumise à des risques de dommages sur les satellites, modules ATV, la station spatiale. Ces risques nécessitent des contrôles extrêmement minutieux.
Au quotidien, comme pour tout acteur stratégique, l’Agence est confrontée aux attaques cybernétiques, au cyber-espionnage, au vol de données (informations, matériel IT,…), au sabotage (moindre).
Nous devons également faire face à des risques internes, comme dans toute organisation : des erreurs de manipulation qui peuvent générer des risques pour les missions, les programmes ; des mises de données en ligne entraînant la compromission d’informations classifiées et/ou commerciales… Ces erreurs humaines se répercutent sur l’image de l’Agence.

Quelle politique avez-vous mise en place pour lutter contre ces risques ?

Nous avons un cadre juridique composé d’accords sécurité entre les États Membres et l’agence, des accords de siège qui sont des accords entre l’agence du pays dans lequel elle se trouve avec son État hôte, on a différentes règlementation et directives de sécurité. Nous avons un bureau de sécurité et un réseau d’officiers de sécurité sur tous les sites composé d’OS (officiers de sécurité, un par grand site) et de PSSO (officiers de sécurité pour la protection informatique).

Avec nos partenaires industriels, les attentes en matière de sécurité sont spécifiées sous la forme d’annexes incluses dans les contrats. Ces annexes contiennent soit des SAL (security aspects letter) soit des PSI (project security instruction) à l’intérieur desquels se trouve un guide de classification, etc. À chaque étape d’un programme ou d’un projet, les différentes mesures de sécurité à mettre en place sont décrites dans le contrat lui-même.

Enfin, chaque site possède des zones intégrant différents niveaux de sécurité. À titre d’exemple, la zone 1 est l’espace public ; c’est-à-dire la zone où tout un chacun peut se rendre (cantine, banque, agence de voyage, etc.). La zone 2 regroupe les bureaux et les salles de réunion ; seul le personnel qui possède un lien avec l’agence peut y accéder. Les informations sensibles sont stockées dans les zones 3 avec différents systèmes de sécurité. Enfin, dans les zones 5 se situent les informations classifiées : données officielles de niveau confidentiel ou secret soit confiées par les États membres ou créées par l’agence dans le cadre d’un programme.

Surveillance humaine, vidéoprotection, etc. Quels sont les principaux moyens privilégiés par l’ESA pour garantir la sécurité/sûreté des sites ?

Les moyens sont multiples. Nous pouvons notamment évoquer l’identification de tout le personnel avec le port du badge obligatoire, un règlement pour les visiteurs… Chaque site est gardé par des moyens physiques dits classiques et que nous pouvons retrouver dans beaucoup de sites sensibles de par le monde : alarmes anti-intrusion, contrôle d’accès, détection de périmètres, etc.
En plus, à l’ESA, nous avons l’ESACERT qui concerne plus particulièrement les menaces informatiques. Il a été conçu à partir du CERT (Computer Emergency Response Team), un concept né dans le monde universitaire dans les années 80.

On parle beaucoup de synergie, de convergence entre hommes et technologies pour garantir la sécurité des personnes et des biens. Quelle est la position de l’ESA sur cette approche ?

Le matériel et la technologie ne sont rien sans les hommes qui les opèrent. Chaque membre du personnel compte. Ce qui nous occupe énormément actuellement, c’est la sensibilisation. Pourquoi ? Parce que nous constatons que trop d’erreurs humaines sont encore commises soit par omission soit par méconnaissance des règles ou des technologies. La difficulté que nous rencontrons à l’ESA est que nous avons beaucoup de chercheurs, d’ingénieurs, de personnes hautement qualifiées qui se concentrent sur leur travail et ne prêtent pas toujours une attention suffisante à la protection de leurs travaux. Il y a des incidents lors de déplacements, à domicile, même pendant les courses ! Des ordinateurs sont volés pour ce qu’ils contiennent ou plus simplement pour l’attrait matériel. C’est pourquoi notre problématique actuelle de sécurité se situe en amont ; notre rôle est d’attirer l’attention des collaborateurs.
Par conséquent, nous menons régulièrement des campagnes d’information et de sensibilisation en interne. Des informations sont accessibles via notre Intranet et transmises par mail. Il s’agit notamment d’éduquer le personnel sur les niveaux de classification des données, de les informer sur les risques, de les aider à mettre en place des méthodes de travail plus sécurisées.

L’ESA collabore également avec les ANS, Autorités Nationales de Sécurité (en France, il s’agit du SGDSN, service du Premier ministre) de chacun des États membres. Chaque pays possède une ANS, il s’agit de la plus haute instance de sécurité d’une nation. Cette collaboration a pour ambition d’établir la politique de sécurité, non pas de l’ESA en tant que telle, mais qui constitue le plus petit dénominateur commun demandé par l’ensemble de ces États membres.

Quel est le profil des personnes qui composent le service de sécurité/sûreté de l’ESA ? Comment votre service est-il organisé ?

Le bureau de sécurité de l’ESA est responsable de l’ensemble des éléments sécuritaires : la sécurité physique, la sécurité informatique, la classification des informations, l’information des personnels et la continuité du service. Chacun de ces pôles est piloté par un directeur.
Une équipe de sécurité spécifique est également créée pour chaque projet ou programme et aussi pour sécuriser les données issues de chacun de ces projets ou missions : une approche fondamentale car les autorisations, les habilitations, le degré de confidentialité des informations… varient selon des projets.
Par conséquent, nos équipes de sécurité regroupent des profils multiples : ingénieurs, militaires, spécialistes informatiques, spécialistes des ressources humaines, etc. Il y a aussi des gardes, des équipes de surveillance sur chacun des sites, qui sont gérées de manière autonome : la plus haute autorité de sécurité de chaque établissement est son propre directeur. Il est assisté par un officier de sécurité lui-même entouré d’une équipe dont les qualifications et le nombre d’agents varient en fonction des particularités du site et/ou des projets/programmes en cours sur le site.

En campagne, la mobilisation de sécurité est particulière ?

Oui, il y a une montée en puissance sensible de la sécurité. Bien entendu, les dispositifs varient en fonction des sites et des programmes. Prenons l’exemple d’une campagne qui va attirer un certain nombre de VIP, de journalistes, d’invités extérieurs… Cette foule devra être canalisée afin de ne pas perturber les opérations en cours. Dans ce cadre, nous opérons un contrôle particulièrement strict de chaque individu qui rentre dans les salles de contrôle. Un service de sécurité temporaire est par ailleurs déployé pendant la couverture de l’événement. La vigilance est encore renforcée lors du lancement (le fameux compte à rebours). C’est une phase extrêmement critique car rien ne doit venir perturber le cours de l’événement. À ce moment, le déploiement de force de sécurité atteint son paroxysme. Les services de sécurité de l’État hôte, les forces de l’ordre public, … peuvent alors venir renforcer le dispositif. Concernant la surveillance humaine, celle-ci est également renforcée. Pour un site nécessitant la présence habituelle de 5 ou 6 gardes, le nombre atteint les 25 lors d’un lacement.

Faites-vous appel à des entreprises privées pour renforcer vos équipes ? Si oui, à quelle(s) typologie(s) d’entreprises privées faites-vous appel ?

Nous faisons appel à la sécurité privée pour les prestations de surveillance humaine. Actuellement, c’est la société ICTS Europe qui est titulaire du marché et qui assure la sécurité physique des sites principaux de l’ESA.
Ce marché a été conclu pour une durée de 5 ans… et nous allons d’ailleurs lancer un nouvel appel d’offres début 2014 pour renouveler ce marché qui arrive à échéance.
Nous travaillions avec un prestataire unique. Mais ce ne sera pas forcément le cas dans le futur, notamment pour des raisons de réduction des coûts car nous avons constaté que parfois un contrat global est plus cher que plusieurs contrats locaux. Nous ferons notre choix en fonction des propositions que nous recevrons dans le cadre de l’appel d’offres.

Avez-vous identifié de nouvelles tendances et innovations, de nouveaux outils/solutions émergents en matière de sécurité ?

Suivi de l’évolution des technologies mais avec un budget limité en raison de la politique globale d’austérité des États Membres.

L’un de nos principaux défis est le Cloud Computing. Ce concept est très intéressant car il offre la possibilité d’utiliser uniquement les ressources informatiques dont nous avons besoin. Cette approche permettant une économie substantielle.
Pour cela, nous avons mis en place un comité de pilotage qui travaille sur une stratégie spécifique car l’ESA possède un nombre considérables de données (certaines devant rester confidentielles, d’autres étant au contraire diffusées au grand public).
Un autre élément stratégique pour l’ESA est la Data Loss Protection (DLP). Il s’agit de contrôler les données, de maîtriser la diffusion des informations selon leur niveau de classification.
Enfin dans le cadre de notre parcours de décision, nous accordons une grande place à la signature digitale qui va donner une valeur à tous les documents, les emails et les échanges entre les états membres et les partenaires.

Nous assurons également une veille des évolutions technologiques grâce aux magazines et aux démonstrations dont nous pouvons bénéficier de la part d’entreprises spécialisées.