L’Agence Spatiale Européenne a fait appel à l’expertise en cybersécurité de l’acteur luxembourgeois pour mieux s’assurer de la qualité et de la sécurité des applications qu’elle développe ou fait développer. Telindus a permis à l’ESA de mieux intégrer les enjeux de sécurité au niveau des cahiers des charges établis pour chaque projet, en considérant les risques et la sensibilité des systèmes concernés, afin de s’assurer de leur robustesse dans le temps. – Par Sébastien Lambotte

Parce qu’un système IT embarqué dans un satellite ne se corrige pas aussi facilement qu’un autre bien ancré sur terre, parce que la donnée qu’il permet de traiter a une haute  valeur scientifique, l’Agence Spatiale Européenne (ESA) est particulièrement soucieuse de la qualité de ses développements informatiques. En matière de qualité, rien n’est laissé au hasard. Dans ce contexte, afin de renforcer ses normes et exigences en matière de cybersécurité, et d’apporter une plus grande cohérence dans ses développements, l’ESA a fait appel à l’expertise de Telindus. « Une des volontés de l’ESA était de mieux intégrer les enjeux de sécurité informatique by-design et by-default pour chacun de ses projets de développement, en assurant une meilleure cohérence au regard des risques encourus, de la sensibilité des données exploitées ou encore des systèmes avec lesquels les nouvelles applications allaient être interconnectées », explique Dr Tom Leclerc, Senior Security Consultant attaché au département Cybersecurity de Telindus.

Assurer une plus grande cohérence

Ainsi, Telindus, a revu la sécurité du processus de développement pour répondre aux besoins de l’ESA. « Nous sommes partis du Software Development Life Cycle (SDLC) s’appuyant sur des standards de développement européen, avec la volonté d’y intégrer les besoins en sécurité, poursuit Jérémy Thimont, Security Consultant au sein du département Cybersecurity de Telindus. L’objectif, était d’ajouter le « S » de sécurité à ce cycle de vie, pour en faire le Security Software Development Life Circle (SSDLC). »

Dans ce contexte, Telindus a développé un outil novateur et établi un catalogue d’exigences de sécurité à mettre en œuvre, au regard de la nature et de la sensibilité de chaque projet. « L’ESA procède à de nombreux développements, très différents les uns des autres. Chacun ne doit pas forcément requérir le même niveau de sécurité.  Ce dernier dépend de l’environnement dans lequel le développement est mis en œuvre, des risques encourus, des données concernées. L’enjeu est donc d’optimiser les efforts en la matière, en garantissant cohérence et robustesse », poursuit Jérémy Thimont.

Telindus a dû, compte tenu des développements de l’ESA, identifier les divers besoins en sécurité, les risques et les responsabilités, pour établir différents profils associés à des exigences en matière de sécurité. Pour chaque projet, en fonction des éléments en présence, l’outil va superposer les divers profils, afin de définir une liste complète des mesures à prendre pour assurer une sécurité optimale. « Selon les spécificités du projet, l’outil permet d’établir les exigences à mettre en œuvre. Elles peuvent ensuite être facilement reprises dans le cahier des charges », commente Tom Leclerc.

D’un outil dynamique vers une démarche globale

Les exigences ainsi identifiées et traduites dans le cahier des charges facilitent aussi la vérification des mesures de sécurité à l’issue du développement. « L’outil permet une mise en œuvre plus facile dans une démarche security-by-design.  Les éléments de sécurité sont ainsi intégrés dès l’établissement des spécifications du projet. En outre, la démarche peut être appliquée pour tous les projets, assurant ainsi une plus grande cohérence au sein de l’agence dans ce qui est mis en œuvre et donc de se prémunir des risques de sécurité», poursuit Tom Leclerc.

Aujourd’hui, l’ESA souhaite développer un standard applicable à d’autres missions de l’agence. « La solution que nous avons proposé est un outil pratique. L’ESA a souhaité, en s’appuyant sur les exigences qu’il reprend, le transformer en une approche plus globale et cohérente. L’objectif est de pouvoir garantir une sécurité optimale dans le temps, quelles que soient les situations envisagées. Aujourd’hui, nous avons été invités à évaluer le travail de normalisation effectué par l’ESA et à l’enrichir le cas échéant », précise Jérémy Thimont.

Ouvrir l’outil à d’autres industries

Au-delà du domaine spatial, Telindus évalue la possibilité d’ouvrir l’outil développé à d’autres industries. L’acteur luxembourgeois souhaite que la démarche globale sur laquelle il se fonde facilite l’accès au security-by-design. « L’outil sera ainsi une aide à la décision pour simplifier l’instauration de la sécurité dans tous les domaines. Le but est d’être flexible et adaptable aux normes sectorielles applicables à nos différents clients. Nous envisageons également son application dans le mouvement actuel pour les technologies en support des régulations (RegTech) », conclut Tom Leclerc.