Les politiques de cybersécurité sont un domaine à la fois très technique et supposément consensuel. Pourtant, les deux premiers mois de la seconde administration Trump démontrent que ce n’est pas nécessairement le cas. Non pas qu’elles fassent prioritairement l’objet de débats politiques et idéologiques partisans, mais plutôt qu’elles sont considérées comme une dimension au mieux négligeable, au pis dommageable pour les objectifs principaux de Donald Trump et de la coalition qu’il fédère.
La victoire électorale de Donald Trump cristallise plusieurs tendances politiques qui ont entravé les actions de son prédécesseur. Un dossier hautement politisé – de manière surprenante si l’on prend en compte l’évolution en cours dans les autres États occidentaux – concerne l’atténuation progressive de la distinction entre les enjeux de cybersécurité et ceux de la manipulation de l’information dans la protection des élections. À la suite de la pandémie de Covid‑19 et de l’assaut sur le Capitole le 6 janvier 2021, les partisans et alliés objectifs de Donald Trump ont combattu systématiquement et avec succès les tentatives de l’administration Biden, des agences de sécurité nationale et des parties prenantes (acteurs de la société civile comme responsables politiques locaux) de consolider, voire d’institutionnaliser le dispositif qui s’était construit après les interférences russes dans les élections de 2016. À coup de harcèlement judiciaire, d’assignations à comparaître et de campagnes de communication, ils ont de fait obtenu du FBI et de l’Agence de cybersécurité et de sécurité des infrastructures (CISA) qu’ils renoncent à leur coopération avec les réseaux sociaux pour détecter et contrecarrer les opérations d’influence.
Ce mouvement s’est poursuivi après la victoire de Donald Trump par la renonciation de Meta au fact – checking ainsi que par les manœuvres visant à mettre au pas les organes de presse, les médias traditionnels et les chercheurs sur la désinformation. La division du FBI chargée de lutter contre l’ingérence étrangère a été dissoute tandis que les employés de la CISA coordonnant le dispositif de sécurisation des élections ont été licenciés. Les programmes permettant d’assister les autorités locales dans l’organisation d’élections sécurisées (comme l’Election infrastructure Information sharing and analysis center fondé en 2018) ont été considérés comme du gaspillage ou comme la preuve d’une « arsenalisation » du gouvernement fédéral. Par décret présidentiel, Donald Trump prétend également dicter l’organisation des élections à tous les niveaux : sa priorité n’est pas d’empêcher le jeu de l’ingérence étrangère, un « hoax » à ses yeux, mais de libérer ses partisans de toute contrainte en matière de communication politique. Ce dossier s’adosse à une stratégie plus globale qui, sous couvert de défendre la liberté d’expression (free speech), vise essentiellement à faire taire les critiques en les présentant comme de la censure.
Le deuxième dossier en cours de politisation concerne les dispositifs de régulation mis en place sous son prédécesseur afin de promouvoir et de standardiser des mesures de cybersécurité. L’opération contre Colonial Pipeline en mai 2021 a enclenché un processus de renouvellement des réglementations de la part des administrations chargées de la gestion des crises pour chacun des 16 secteurs englobant les infrastructures critiques. Mais le chemin a été plus ou moins semé d’embûches. Si l’administration des transports a réussi à établir des standards acceptables pour les secteurs de l’aviation civile, des chemins de fer ou des hydrocarbures, l’agence de protection de l’environnement a dû reculer pour celui de la distribution et du traitement des eaux après la levée de boucliers des opérateurs privés et de certaines autorités fédérées. À la suite de l’invasion de l’Ukraine, le Congrès a adopté à une écrasante majorité l’obligation pour les opérateurs d’infrastructures critiques d’avertir les autorités fédérales en cas d’intrusion ou de tentatives d’extorsion.
Trois ans plus tard, les procédures de notification ont bien été établies par la CISA, mais doivent désormais passer sous les fourches caudines des différentes parties prenantes. En décembre 2023, l’autorité régulatrice des marchés financiers a aussi pris des mesures en ce sens. Loin d’avoir les effets attendus, cette nouvelle couche normative a affaibli les procédures, mais aussi accentué le mécontentement du secteur privé et de nombreux élus envers cette fièvre régulatrice. Il existe encore un consensus bipartisan pour réfléchir à des projets de coordination et de simplification en matière de standards de cybersécurité, particulièrement en ce qui concerne la notification d’une intrusion. Mais l’atmosphère politique au Congrès de même que l’absence d’impulsion politique – voire une hostilité manifeste – de la part de la Maison – Blanche augure mal d’un sentier serein vers un paysage plus unifié en matière de cybersécurité du secteur privé.
