Le Government Accountability Office s’inquiète du fait que la NASA n’a toujours pas intégré les pratiques de cybersécurité dans les politiques requises de l’agence, en particulier pour ses grands projets d’engins spatiaux. Sans ces exigences, la NASA pourrait se retrouver avec « une mise en œuvre incohérente des contrôles de cybersécurité », a prévenu l’agence d’audit dans un nouveau rapport envoyé au Congrès.
« Les responsables de la NASA ont expliqué que l’une des principales raisons pour lesquelles ils n’ont pas encore intégré ces directives dans les politiques et normes d’acquisition requises est le temps nécessaire pour le faire. Le GAO reconnaît que le processus d’établissement de normes peut prendre du temps, mais il est essentiel que la NASA le fasse pour les pratiques qui devraient être requises », indique le rapport.
Les engins spatiaux dépendent énormément des logiciels et de l’informatique, conclut le rapport. Même si l’agence spatiale a inclus des éléments de cybersécurité dans certains de ses contrats, ceux-ci doivent être standardisés. Pour cette raison, le GAO recommande que l’ingénieur en chef, le directeur de l’information et le conseiller principal pour la protection de l’entreprise élaborent un calendrier spécifique pour mettre réellement à jour « ses politiques et normes d’acquisition d’engins spatiaux » afin de faire face aux menaces de cybersécurité.
Pourtant, la NASA a repoussé certaines recommandations. Selon le rapport, le CIO de la NASA a déclaré qu’il n’était « pas réalisable » d’avoir un seul ensemble de contrôles essentiels pour tous les engins spatiaux de mission. Le GAO a repoussé cette réponse, écrivant que « la NASA devrait tirer parti de son guide de sécurité spatiale pour déterminer les contrôles qui répondent aux menaces probables pesant sur son vaisseau spatial ».
La NASA n’était pas non plus intéressée par l’établissement d’un calendrier, affirmant qu’elle devait examiner attentivement les exigences. L’agence spatiale a déclaré qu’elle disposait de systèmes pour faire face aux risques liés à l’espace.
“Bien que nous ne contestions pas cela, nous notons que le guide de sécurité spatiale de la NASA reconnaît que la NASA ne dispose pas actuellement d’un cadre de gestion des risques de cybersécurité pour les systèmes de mission spatiale intégrés de bout en bout”, a répondu l’agence d’audit. “Sans plan avec des délais identifiés, on ne sait pas quand l’agence effectuera réellement une mise à jour pour intégrer, si nécessaire, des contrôles de cybersécurité supplémentaires.”
