Plus globalement d’ailleurs, la philosophie de l’administration Trump comme de ses alliés et partisans au Congrès ou dans le secteur privé semble bien de renverser les prémisses des politiques de la période Biden. Rappelons que celles-ci ont tenté de revenir sur les fondamentaux du « contrat social de cybersécurité », en en déplaçant le fardeau vers les pouvoirs publics et le secteur de l’économie numérique (1). Plutôt que de laisser le marché réguler la cybersécurité, il faut s’appuyer sur l’importance de la commande publique et le rôle central de l’État administratif fédéral pour inciter les acteurs à intégrer la sécurité dès la conception et la sécurité par défaut. Cette logique est désormais absente de la réorganisation institutionnelle de la cybersécurité. Le rôle pilote des agences fédérales est ainsi abandonné. La CISA notamment semble considérablement affaiblie dans sa mission de coordination de la gestion des risques cyber, que ce soit par le licenciement de ses experts, l’annulation de contrats avec des prestataires privés, mais surtout le coup d’arrêt donné à la coopération avec le secteur privé de la cybersécurité et de l’écosystème numérique. Cet abandon du rôle moteur de l’État se retrouve globalement dans les décrets pris par la Maison – Blanche pour restructurer la protection des infrastructures critiques en postulant qu’il s’agit là d’un rôle dévolu aux autorités locales et aux opérateurs privés, le niveau fédéral n’intervenant qu’à titre de facilitateur ou de soutien.
Le niveau général de cybersécurité (en matière de protection des réseaux informatiques et de sécurisation des données gérées par les secteur public) est aussi la victime collatérale de l’action du prétendu « département de l’Efficience gouvernementale » (DOGE) impulsé par Elon Musk. La frénésie et la rapidité de son action dans les différents ministères et agences ajoutent à l’opacité de ses modes opératoires et compliquent l’analyse du phénomène. On peut toutefois constater deux aspects inquiétants. D’une part, les employés du DOGE – qui n’ont pas toujours les compétences ni la légitimité bureaucratique pour ce faire – ont pris le contrôle des bases de données et des réseaux des agences qu’ils ont investies. Par conséquent, ils ont été capables de geler des fonds, d’établir des listes d’employés à licencier, d’exclure les experts des systèmes et d’accéder à des données plus ou moins sensibles. Outre cette action directe qui s’apparente à un « hacking des services publics », le DOGE a aussi affaibli les mesures de cybersécurité au sein des agences comme, plus largement, dans l’ensemble du service public. Rappelons en effet que lors des trois années écoulées, l’effort au sein du secteur fédéral s’est porté sur l’établissement d’une architecture dite de « zéro confiance ». L’intrusion dans les agences et l’accès à leurs données loin de tout contrôle, supervision ou contre-pouvoir a de facto affaibli ces efforts. La décision de la Maison – Blanche de mettre fin au cloisonnement entre les bases de données détenues par les agences fédérales pourrait ajouter un risque supplémentaire.
L’administration Trump fait aussi preuve d’ambiguïté sur certains sujets. Par exemple des moyens mis en œuvre face aux menaces qui, jusqu’à récemment, étaient prioritaires. L’affaire d’espionnage « Salt Typhoon » a notamment mis en lumière les vulnérabilités criantes du secteur des télécommunications. Avant de démissionner en janvier, l’ancienne commissaire aux télécommunications Jessica Rosenworcel a tenté d’obliger les opérateurs à mettre en œuvre des mesures minimales de cybersécurité, contre l’avis du futur commissaire Brendan Carr. Celui-ci a cependant annoncé la création, au sein de la Federal communications commission, d’un « conseil de sécurité nationale » dont l’une des premières mesures va être de poursuivre l’élimination de tout composant chinois dans les infrastructures. Cette continuité tranche avec les revirements stratégiques vis-à‑vis de la menace russe comme vis-à‑vis de la priorité nouvelle donnée à la lutte contre les organisations criminelles transnationales en matière de trafic de drogue. Sur ces points, la question essentielle sera la capacité du secteur de sécurité nationale (Cyber Command, NSA, FBI) de réorienter ses ressources organisationnelles et ses infrastructures sans augmenter les risques de cybersécurité.
Note
(1) Stéphane Taillat, De la cybersécurité en Amérique : puissance et vulnérabilités à l’ère numérique, PUF, Paris, 2024.
Légende de la photo en première page : De nombreux licenciements ont touché le secteur étatique américain de la cybersécurité. Avec des conséquences que l’on ne connaît pas encore. (© Rena Schild/Shutterstock)
