La NASA ne sait pas si ses vaisseaux spatiaux disposent de cyberdéfenses adéquates, prévient le GAO

La NASA ne sait pas si ses vaisseaux spatiaux disposent de cyberdéfenses adéquates, prévient le GAO
La NASA ne sait pas si ses vaisseaux spatiaux disposent de cyberdéfenses adéquates, prévient le GAO

La NASA a pris des mesures ces dernières années pour renforcer les exigences cybernétiques incluses dans ses contrats, mais n’a pas publié de directives de sécurité obligatoires pour ses politiques et normes d’acquisition d’engins spatiaux, a averti le Government Accountability Office dans un rapport publié mercredi.

L’agence spatiale nationale a publié en 2019 des normes liées à la cybersécurité qui établissent des exigences de sécurité pour tous les programmes et projets de la NASA. L’audit de surveillance a toutefois noté que l’agence « a envisagé, mais n’a pas encore mis en œuvre » des cyber-règles exécutoires pour ses achats d’engins spatiaux extérieurs et de systèmes associés.

Au lieu de cela, le GAO a constaté que les exigences en matière de cybersécurité pour les politiques d’acquisition de la NASA sont régies par des orientations facultatives, telles qu’un guide des meilleures pratiques de 2023 qui décrit « des informations sur les principes et les contrôles de cybersécurité, les capacités des acteurs menaçants et les stratégies d’atténuation potentielles, entre autres choses ».

Le guide comprenait des principes pour intégrer des normes de cybersécurité dans les programmes de développement d’engins spatiaux, par exemple garantir que les systèmes spatiaux peuvent « se protéger contre les accès non autorisés ».

Dans ses commentaires sur le rapport, le directeur informatique de la NASA, Jeffrey Seaton, a noté que l’agence « intègre des contrôles basés sur leur type spécifique de cybermenaces et de risques », qui pourraient avoir un impact sur des véhicules de mission spécifiques, depuis les vaisseaux spatiaux avec équipage jusqu’aux petits satellites. Seaton a déclaré qu’il n’était “pas possible de développer un ensemble de contrôles essentiels applicables à tous les types d’engins spatiaux de mission”.

Le rapport note également que la NASA doit être prudente lorsqu’elle introduit de nouvelles exigences « parce qu’elle n’a pas d’accès physique au vaisseau spatial pour les réparations après le lancement ».

L’organisme de surveillance a toutefois averti l’agence que « sans établir un plan pour mettre à jour ses politiques et normes afin de garantir qu’elles prennent en compte les contrôles essentiels de cybersécurité à la lumière de cet environnement dynamique, les informations contenues dans le guide restent facultatives pour les programmes ».

“En conséquence, la NASA risque de prendre en compte et de mettre en œuvre des contrôles de cybersécurité de manière incohérente et n’aura pas l’assurance totale que le vaisseau spatial utilisé pour soutenir les missions de la NASA dispose d’une défense globale et à plusieurs niveaux contre les cyberattaques”, a ajouté le GAO.

Le GAO a recommandé que l’agence « élabore un plan de mise en œuvre assorti de délais pour mettre à jour ses politiques et normes d’acquisition d’engins spatiaux afin d’incorporer les contrôles essentiels requis pour se protéger contre les cybermenaces ».

Même si la NASA a accepté la recommandation de mettre à jour ses politiques, elle n’est pas d’accord avec la nécessité d’établir un calendrier pour le faire, en partie à cause des préoccupations selon lesquelles « la transition des capacités de cybersécurité traditionnelles dans un environnement spatial nécessite un examen attentif pour éviter les impacts sur les objectifs du vaisseau spatial. et la capacité d’opérer en toute sécurité.

 
For Latest Updates Follow us on Google News
 

PREV les informations complémentaires demandées par le parquet « n’apportent aucun élément nouveau »
NEXT Pierre Forman, Le Palais de Tokyo est-il devenu fou ? – Règles du jeu – .