Espace et NIS2 : la dernière frontière cyber de l'Europe est terrestre
L'entrée du secteur spatial dans le périmètre NIS2 marque une rupture. Pour la première fois, la directive européenne classe l'Espace en Annexe I parmi les secteurs hautement critiques, aux côtés de l'énergie, de la santé ou de la finance. Pourtant, NIS2 ne vise pas les satellites en orbite mais les infrastructures terrestres au support des services spatiaux : stations sol, centres de contrôle, segments de gestion, fournisseurs de données géospatiales et de positionnement. En France, cela concerne le CNES, Arianespace, Eutelsat, Thales Alenia Space pour ses opérations sol et un écosystème NewSpace en pleine croissance. Le message réglementaire est clair : la cyber-résilience de l'Europe se joue aussi au sol.
Périmètre : quelles entités du secteur Espace sont concernées par NIS2
Le secteur Espace désigné par NIS2 couvre les opérateurs d'infrastructures terrestres au support des services spatiaux. Le texte de la directive précise que sont visées les entités opérant les segments sol — stations de réception, centres de contrôle satellite, systèmes de télécommande, réseaux de distribution de données — et non les satellites eux-mêmes.
En France, l'écosystème concerné est double. D'une part, les acteurs institutionnels et historiques : le Centre National d'Études Spatiales (CNES), Arianespace pour ses infrastructures de lancement, le Centre Spatial Guyanais (CSG), Eutelsat pour ses opérations sol, Thales Alenia Space pour ses activités de contrôle mission. D'autre part, un tissu NewSpace en expansion rapide : start-ups de données géospatiales, opérateurs de constellations, prestataires de contrôle en orbite sous-traitant pour le compte de tiers.
Les critères d'assujettissement combinent secteur d'activité et taille. Les entités essentielles (Annexe I) dépassent 250 salariés ou 50 millions d'euros de chiffre d'affaires, ou 43 millions d'euros de bilan. Les entités importantes nécessitent 50 salariés ou 10 millions d'euros de chiffre d'affaires. En pratique, la majeure partie des opérateurs de stations sol commerciaux et des fournisseurs de services de positionnement franchiront ces seuils. La Loi Résilience, dont la promulgation est attendue pour juillet 2026, viendra préciser les modalités de désignation sectorielles.
Point de vigilance : l'articulation avec la Loi relative aux Opérations Spatiales (LOS), modifiée en 2024. La LOS impose déjà des obligations cybersécurité pour les lancements depuis le territoire français. NIS2 élargit ce périmètre à l'ensemble des infrastructures sol, quelle que soit leur mission (lanceur, contrôle satellite, distribution de données, services de navigation).
Cadre réglementaire : articulation NIS2 avec les textes sectoriels
Le secteur spatial français dispose d'un cadre réglementaire spécifique, préexistant à NIS2. La Loi relative aux Opérations Spatiales (LOS) de 2008, amendée par l'arrêté du 28 juin 2024, impose aux opérateurs de lancement une étude de risques incluant les cyberattaques et la mise en place de mesures de cybersécurité pour se prémunir contre toute malveillance susceptible d'induire une perte de maîtrise de l'objet spatial.
Le CNES a publié en septembre 2024 le Guide des bonnes pratiques LOS pour les systèmes orbitaux, qui fournit un référentiel méthodologique. Ce guide s'applique aux systèmes orbitaux sous autorisation française. L'ANSSI, de son côté, contribue à la sécurisation du programme spatial Galileo depuis 2016, notamment par l'homologation des systèmes d'information et la validation des équipements de sécurité.
NIS2 s'additionne à ces dispositifs existants sans les remplacer. Elle impose un socle commun de cybersécurité à toutes les infrastructures sol, là où la LOS ne couvrait que les opérations de lancement. La directive introduit également des obligations de notification d'incident (alerte 24h, signalement 72h, rapport final 1 mois), un cadre de contrôle par l'ANSSI et des sanctions pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles.
L'ANSSI a mis à disposition le Référentiel Cyber France (ReCyF) le 17 mars 2026, correspondant au référentiel de cybersécurité mentionné à l'article 14 du projet de loi Résilience. Ce référentiel, par défaut non obligatoire, permet aux entités qui l'appliquent de s'en prévaloir en cas de contrôle. Il structure 20 objectifs de sécurité et sera le document opérationnel de référence dès la promulgation de la loi.
Spécificités cybersécurité : risques propres au secteur spatial
Le secteur spatial présente une surface d'attaque spécifique, organisée autour de trois couches : le segment sol (stations, centres de contrôle), la liaison sol-satellite (uplink/downlink), et le segment utilisateur (modems, terminaux). Les stations sol représentent le maillon le plus vulnérable. Contrairement aux satellites en orbite, elles sont directement accessibles via Internet et souffrent des mêmes vulnérabilités que les infrastructures IT classiques : phishing, exploitation de CVE, accès non autorisés.
Les liaisons sol-satellite constituent un second vecteur. L'écoute (eavesdropping) est une pratique peu coûteuse, facilitée par le fonctionnement en clair de nombreux satellites commerciaux. Il suffit de se positionner dans le cône d'émission du satellite visé. L'injection de commandes malveillantes sur la liaison montante (spoofing) permet de prendre le contrôle d'un satellite si les protocoles de sécurité ne sont pas correctement implémentés. Le protocole SDLS (Space Data Link Security) est reconnu comme le moyen le plus sûr d'exploiter des satellites, mais très peu d'ingénieurs spatiaux le maîtrisent réellement.
La chaîne d'approvisionnement est particulièrement scrutée. La dispersion géographique de la conception, de l'assemblage et du lancement multiplie les vulnérabilités. Les logiciels embarqués (COTS), jusqu'alors circonscrits aux calculateurs de bord, se diffusent désormais jusque dans les plus petits composants (viseurs d'étoile, roues inertielles, processeurs de charge utile), multipliant les back-doors potentielles. L'émergence de constellations et d'architectures distribuées donne aux cyber-attaquants un nombre accru de portes d'entrée et une capacité de diffusion au sein d'un réseau.
L'arrivée d'acteurs privés NewSpace, répondant à des impératifs économiques, a pu augmenter la vulnérabilité des infrastructures spatiales aux attaques cyber. Le secteur a longtemps fait abstraction des menaces cyber, privilégiant les standards de qualité industriels élevés sans cyberculture équivalente, notamment dans les segments sol opérés par des acteurs commerciaux récents.
Incidents marquants : quatre cas documentés (2022-2026)
Viasat KA-SAT (24 février 2022)
L'attaque contre le réseau satellite KA-SAT de Viasat, le jour de l'invasion russe de l'Ukraine, reste le cas d'école de compromission de station sol. Les attaquants ont exploité une vulnérabilité dans un dispositif VPN Fortinet d'un centre de gestion à Turin opéré par Eutelsat. Cette brèche leur a permis d'accéder au segment de gestion du réseau, puis de diffuser le malware destructeur AcidRain sur environ 40 000 modems en Ukraine et en Europe, via l'infrastructure légitime de distribution de mises à jour.
Les conséquences ont dépassé les frontières ukrainiennes : 5 800 éoliennes allemandes de la société Enercon ont été déconnectées, perdant leur surveillance et contrôle à distance, et plusieurs dizaines de milliers d'abonnés français au fournisseur NordNet (filiale d'Orange) ont perdu leur accès Internet. Le gouvernement américain, le Royaume-Uni et l'Union européenne ont formellement attribué l'attaque à la Russie en mai 2022.
Exercice Thales/ESA (avril 2023)
Lors d'un exercice de simulation mené en partenariat avec l'Agence spatiale européenne, Thales a démontré qu'il était possible de prendre le contrôle à distance d'un satellite d'observation en orbite et de trafiquer ses images en exploitant des vulnérabilités du système de bord. Quatre chercheurs en cybersécurité ont réussi à s'introduire dans le système de bord en récupérant des droits d'accès standards, puis ont exploité différentes vulnérabilités pour introduire un code malveillant. Cet exercice visait à faire prendre conscience à l'industrie du secteur spatial aux enjeux de cybersécurité.
Agence spatiale européenne (décembre 2025)
L'ESA a confirmé fin décembre 2025 avoir subi une cyberattaque visant ses infrastructures informatiques. Les intrus ont ciblé principalement des serveurs secondaires, considérés comme moins surveillés. Des hackers affirment avoir eu accès à des fichiers concernant des industriels comme Airbus ou Thales Alenia Space. L'ESA indique qu'aucune fuite massive n'a été confirmée pour ces partenaires. L'incident souligne la nécessité de renforcer la sécurisation des serveurs secondaires et a conduit à une intensification du partage d'informations entre institutions spatiales européennes.
Multiplication des cyberattaques dans le contexte ukrainien (2022-2025)
Au-delà de Viasat, la guerre en Ukraine a entraîné une intensification des cyberattaques sur les systèmes spatiaux. La constellation Starlink, qui fournit un accès Internet crucial aux forces ukrainiennes, a fait l'objet de tentatives répétées de brouillage et de cyberattaques. Les attaques ne visent pas seulement les satellites, mais également les infrastructures de contrôle au sol ainsi que les flux de communication.
Mesures techniques prioritaires : les exigences de l'article 21 NIS2
L'article 21 de la directive NIS2 impose 10 mesures minimales de gestion des risques cyber. Pour le secteur spatial, trois mesures sont prioritaires compte tenu des spécificités du secteur.
Sécurité de la chaîne d'approvisionnement
La mesure relative à la chaîne d'approvisionnement est critique pour les opérateurs spatiaux. Le ReCyF impose l'évaluation et la documentation des risques cyber des fournisseurs critiques, tant pour les entités essentielles qu'importantes. Concrètement, cela signifie auditer les sous-traitants de fabrication de composants, les prestataires de contrôle mission externalisés, les fournisseurs de logiciels embarqués. La dispersion géographique de la chaîne (conception, assemblage, lancement) multiplie les points de vigilance.
L'ANSSI recommande la mise en place de clauses contractuelles imposant un niveau minimal de cybersécurité aux sous-traitants et la réalisation d'audits réguliers. Pour les composants critiques (calculateurs de bord, systèmes de télémesure), une analyse de risques EBIOS Risk Manager est préconisée afin d'identifier les points de compromission potentiels. Le secteur doit également garantir l'intégrité des clés de cryptage tout au long du cycle de vie du satellite, notamment lors des phases de stockage ou de manutention par des tiers.
Gestion des incidents et continuité d'activité
Les mesures de gestion des incidents et de continuité d'activité sont indissociables dans le spatial. La perte de contrôle d'un satellite en raison d'une cyberattaque peut avoir des conséquences irréversibles : collision orbitale, perte de service, rentrée atmosphérique non contrôlée. Le ReCyF impose aux entités essentielles la mise en place de plans de reprise d'activité (PRA) et de continuité d'activité (PCA) adaptés aux scénarios cyber, ainsi que des exercices et entraînements réguliers.
Concrètement, cela implique de pré-positionner des capacités de contrôle de secours (stations sol redondantes, canaux de communication alternatifs), de documenter les procédures de bascule en mode dégradé, et de tester régulièrement ces dispositifs. Le délai de notification d'incident NIS2 (alerte précoce sous 24h, signalement sous 72h) oblige également les opérateurs à détecter rapidement toute anomalie sur les liaisons ou les systèmes de commande.
Cryptographie et authentification multifacteur
La mesure relative à la cryptographie et à l'authentification multifacteur est essentielle pour sécuriser les liaisons sol-satellite et l'accès aux systèmes de contrôle. Le protocole SDLS est reconnu comme le moyen le plus sûr d'exploiter des satellites, mais son déploiement reste marginal. L'ANSSI encourage son adoption pour les nouvelles missions et la migration progressive des systèmes existants.
Pour les accès aux centres de contrôle et aux réseaux de gestion, le ReCyF impose le déploiement d'une authentification multifacteur (MFA) pour tous les comptes administrateurs et la mise en place de canaux de communication chiffrés dédiés aux cellules de crise. L'attaque Viasat a démontré que la compromission d'un simple VPN mal configuré pouvait suffire à paralyser un réseau entier. Le renforcement de l'authentification et la protection des échanges d'information sont désormais des exigences non négociables.
Prestataires qualifiés ANSSI à mobiliser pour le secteur Espace
La mise en conformité NIS2 impose aux opérateurs spatiaux de recourir à des prestataires qualifiés pour certaines missions sensibles. L'ANSSI maintient un annuaire officiel des prestataires qualifiés qui peuvent être mobilisés à différents stades.
PASSI : audit des systèmes d'information
Le Prestataire d'Audit de la Sécurité des Systèmes d'Information (PASSI) est la qualification historique pour les audits techniques. Pour le secteur spatial, les PASSI interviennent sur les systèmes de contrôle mission, les stations sol, les réseaux de distribution de données. La qualification PASSI-LPM (Loi de Programmation Militaire) s'impose pour les infrastructures classées OIV, notamment les systèmes du CNES ou du Commandement de l'Espace.
Un audit PASSI pour un opérateur spatial couvre typiquement la cartographie des systèmes, l'évaluation des vulnérabilités des stations sol, les tests d'intrusion sur les réseaux de gestion, l'analyse de la sécurité des liaisons de télémesure et la revue des procédures de gestion de crise. Les rapports d'audit PASSI peuvent être présentés à l'ANSSI en cas de contrôle NIS2.
PRIS et PDIS : réponse et détection d'incident
Les Prestataires de Réponse aux Incidents de Sécurité (PRIS) et Prestataires de Détection des Incidents de Sécurité (PDIS) sont complémentaires. Un PDIS déploie une supervision continue des infrastructures critiques (SOC sectoriel), alerte en cas d'anomalie et qualifie les incidents. Un PRIS intervient en urgence pour contenir, éradiquer et restaurer les systèmes compromis.
Pour un opérateur de constellation, un PDIS supervise les logs des stations sol, les flux de télémétrie, les accès aux systèmes de contrôle. En cas d'incident, le PRIS mène l'investigation forensic, isole les systèmes touchés, restaure la configuration saine et documente l'incident pour la notification ANSSI. Le délai de 24h pour l'alerte précoce impose une réactivité que seuls des prestataires qualifiés peuvent garantir.
PACS : accompagnement stratégique
Les Prestataires d'Accompagnement et de Conseil en Sécurité (PACS) interviennent en amont pour structurer la gouvernance cyber, piloter l'analyse de risques EBIOS RM, définir la politique de sécurité des systèmes d'information (PSSI) et préparer la documentation ReCyF. Pour un acteur NewSpace franchissant le seuil d'assujettissement NIS2, le PACS fournit la méthode et accompagne le dirigeant dans la mise en conformité progressive.
L'ensemble de ces qualifications est référencé sur l'annuaire des prestataires qualifiés ANSSI. Le recours à un prestataire qualifié permet de se prévaloir de la conformité en cas de contrôle et constitue une garantie de niveau de service reconnu par l'autorité nationale.
Calendrier et prochaines étapes : Loi Résilience, MonEspaceNIS2, ReCyF
Le calendrier réglementaire français accuse un retard significatif. La directive NIS2 devait être transposée avant le 17 octobre 2024. La Loi Résilience, adoptée au Sénat en mars 2025 puis votée en commission spéciale à l'Assemblée nationale en septembre 2025, est désormais attendue en promulgation pour juillet 2026. Les décrets d'application et arrêtés techniques de l'ANSSI suivront au second semestre 2026.
L'ANSSI a ouvert le service de pré-enregistrement MonEspaceNIS2 en novembre 2025 pour permettre aux entités concernées d'anticiper leurs obligations. Le pré-enregistrement est facultatif mais fortement recommandé : il permet d'identifier les secteurs d'activité couverts, de connaître les contacts de l'ANSSI et de recevoir les mises à jour réglementaires.
Le Référentiel Cyber France (ReCyF), publié le 17 mars 2026, est disponible en version de travail. Ce référentiel liste les 20 objectifs de sécurité et les moyens acceptables de conformité recommandés par l'ANSSI. Bien que non obligatoire à ce stade, il constitue la base concrète pour structurer sa démarche de mise en conformité. Les entités qui l'appliquent peuvent s'en prévaloir en cas de contrôle.
L'ANSSI a également mis en ligne un outil de comparaison de référentiels permettant de positionner ReCyF par rapport à ISO 27001, DORA ou à des référentiels sectoriels existants. Pour les opérateurs spatiaux déjà soumis à la LOS ou impliqués dans des programmes institutionnels, cet outil facilite l'alignement entre les différentes exigences.
L'ensemble des ressources (guides, services numériques, outils) est centralisé sur MesServicesCyber, la plateforme d'accompagnement de l'ANSSI. Le message de l'agence est clair : ne pas attendre la promulgation de la loi pour agir. La menace est déjà active, les risques n'attendent pas la réglementation.
Pour en savoir plus sur les autres secteurs couverts par NIS2, consultez notre page dédiée ou explorez l'ensemble des mesures de l'article 21.