- Accueil
- Cybersécurité
- Un colosse aux pieds d’argile : le cas de la cybersécurité aux États-Unis
Un colosse aux pieds d’argile : le cas de la cybersécurité aux États-Unis
Le 5 novembre 2024, Donald Trump était élu président des États-Unis. Avant cela, l’administration du président sortant Joe Biden a travaillé à la sécurité du pays dans le cyberespace, publiant officiellement le 2 mars 2023 une Stratégie nationale de cybersécurité (NCS) de la Maison-Blanche. Dans ce document, Joe Biden qualifiait la cybersécurité « d’essentielle au fonctionnement de base de notre économie, au fonctionnement de nos infrastructures critiques, à la force de notre démocratie et de nos institutions démocratiques, à la confidentialité de nos données et de nos communications, et à notre défense nationale ». « Les démocrates ont toujours été pour plus de régulation, quel que soit le domaine. Suite aux attaques dont avaient été victimes les États-Unis durant les deux premiers mandats de Barack Obama – les premières cyberattaques datent de 2008 – et surtout, dû à ce qu’il s’était passé durant l’élection de 2020 – les attaques provenant de la Corée du Nord, de l’Iran de la Russie – l’administration Bien avait compris que cette question était véritablement majeure aujourd’hui. Voilà pourquoi elle a décidé d’agir très fermement concernant la cybersécurité et pour essayer de contrer les cyberattaques » explique Romuald Sciora, chercheur associé à l’IRIS (Institut de relations internationales et stratégiques) et spécialiste des États-Unis.
Ce document arrivait alors dans le contexte tendu de la guerre en Ukraine, déclenchée en février 2022. Mais face à la diversité et la variété des cyberattaques, telles que les ransomwares, l’administration Biden a décidé de réagir, cette Stratégie nationale de cybersécurité constituant la première mise au point depuis septembre 2018. « Le cyberespace […] est devenu un enjeu géopolitique (de rivalité et d’influence). Pour les États-Unis, cela s’est traduit par une position dominante dans les chaînes d’interdépendances créées par les réseaux de systèmes d’information et de communication, en particulier Internet. En retour, l’omniprésence de ces technologies et de ces réseaux a généré une forte dépendance mais aussi des risques nouveaux, directs ou indirects, sur des pans de plus en plus larges de la vie politique, économique et sociale » note Stéphane Taillat dans son ouvrage se concentrant sur la période 2021-2023 et s’appuyant sur un vaste corpus interdisciplinaire.
Face à l’Empire du Milieu
Si les États-Unis demeurent la première puissance mondiale, ils font face à la Chine aspirant à leur rafler la place. Les dirigeants américains redoutent que Pékin profite de leurs infrastructures globales pour les retourner contre eux. Cette crainte se cristallise dans le rapport qu’entretient le pays avec l’application TikTok, considérée comme une menace à la sécurité nationale : « les accusations portent sur les risques d’espionnage par la collecte massive des données publiques et privées des utilisateurs étasuniens (données auxquelles les services de renseignements chinois pourraient accéder), ainsi que sur les menaces de désinformation dont l’application pourrait se faire le relais par la manipulation supposée de son algorithme de recommandation » détaille Stéphane Taillat. Si TikTok affirme avoir sécurisé les données en les hébergeant sur les serveurs de l’entreprise Oracle, située au Texas, et en avoir confié la gestion à un organisme cogéré par la Commission des investissements étrangers aux États-Unis (Cfius), le journal The New York Times a révélé en mai 2023 une autre réalité. Selon cette enquête, les données des utilisateurs américains auraient été partagées avec les employés de ByteDance, l’entreprise chinoise qui a lancé TikTok. Pour autant, certains élus et responsables politiques rejettent l’idée d’une législation nationale, car celle-ci pourrait affecter les revenus publicitaires des entreprises américaines, qui diffusent leurs annonces sur TikTok. « L’État fédéral américain a beaucoup de mal à pouvoir agir comme il le souhaiterait, souligne Romuald Sciora, même sur les questions régaliennes, et la cybersécurité a été pendant longtemps, et encore aujourd’hui, le parent pauvre des principaux domaines du gouvernement fédéral – celui-ci a toujours privilégié la défense civile, militaire, la cybersécurité passant après, pour des raisons de moyens, de volonté, de fébrilité de l’État. Les États-Unis sont institutionnellement le pays le plus fragile du monde occidental. » Le poids des entreprises américaines dans les questions de cybersécurité a été soulevé lors de l’adoption du premier texte de l’ONU contre la cybercriminalité, validé à l’unanimité le 8 août 2024 : d’après l’organisation Cybersecurity Tech Accord, qui représente une centaine d’entreprises du secteur – dont Microsoft ou Meta -, le traité pourrait nuire aux systèmes informatiques des entreprises et porter atteinte à la sécurité nationale.
La volonté de contrôler TikTok (voire de l’interdire, comme le souhaitait Donald Trump lors de son précédent mandat) qui revendiquait 100 millions d’utilisateurs aux États-Unis en février 2023, est symptomatique de la volonté de leadership des États-Unis confrontée à la réalité d’un écosystème numérique où les acteurs Étatsuniens sont contestés par d’autres entreprises et d’autres États. « L’État fédéral américain est en déliquescence, explique Romuald Sciora. De l’extérieur, les États-Unis semblent très solides et l’économie galopante, mais ce n’est pas le cas : l’économie n’est pas représentative du niveau de vie des Américains, qui sont en voie de paupérisation. Les États-Unis sont un pays fragile et l’État fédéral a perdu énormément de crédibilité. »
Des faiblesses internes
Stéphane Taillat rappelle que la première puissance mondiale connaît des vulnérabilités internes dans la défense de son cyberespace. Ainsi, la Cisa (Cybersecurity and Infrastructure Security Agency), chargée d’améliorer le niveau de sécurité informatique, née en 2018 et chargée de piloter les programmes de cybersécurité et de sécularisation des infrastructures critiques, s’est rapidement retrouvée embarquée dans un jeu politique complexe. En décembre 2020, lors de l’affaire SolarWinds, alors que des hackers russes visaient des centres de pouvoirs américains, la Cisa a collaboré avec le FBI, la NSA et le CyberCom (Cyber Command) afin d’évincer les hackers des réseaux des neuf agences américaines concernées par cette attaque. Malgré cette réussite et sa montée en puissance, la Cisa se retrouve controversée et attaquée, car elle a assuré que l’élection présidentielle de 2020, désignant Joe Biden comme le 46e président des États-Unis, n’avait pas été truquée ; « le 4 juillet 2023, un juge fédéral nommé par Trump a ainsi donné droit à la plainte de deux ministres de la justice d’États républicains et interdit aux agences fédérales – notamment la Cisa – de poursuivre ses consultations et négociations avec les réseaux sociaux » rappelle Stéphane Taillat, démontrant le poids de l’imbroglio politique sur la défense du cyberespace.
La vulnérabilité du pays dans les questions de cybersécurité est intimement liée à son histoire, l’État fédéral ayant des pouvoirs de régulation limités et les acteurs privés possédant une importante marge de manœuvre. De facto, l’espace numérique Étatsunien se retrouve très ouvert. Si l’administration Biden souhaitait « refondre le contrat social de cybersécurité » en travaillant avec les pouvoirs publics, mais également les fournisseurs de services et les GAFAM, les acteurs privés n’ont pas voulu jouer le jeu ; actuellement, le Département de la justice des États-Unis (DOJ) tente de faire plier les GAFAM sur les questions de vie privée, ou pour mettre fin à leur monopole, jugé abusif. Le 21 novembre 2024, le gouvernement américain a demandé au DOJ de contraindre Google à céder son navigateur Chrome.
Mais l’élection de Donald Trump risque de changer la donne : « L’objectif de l’administration Biden, qui aurait été poursuivi par l’administration Harris si elle avait été élue, aurait été une plus grande régulation en ce qui concerne la cybersécurité, analyse Romuald Sciora. Les États-Unis sont connus pour avoir un État peu interventionniste, mais il y a néanmoins quelques domaines qui doivent être régulés par l’État : pour l’administration Biden, la cybersécurité était aussi importante que l’armement nucléaire, que personne ne déléguerait à des entreprises privées. Mais l’administration Trump voit les choses totalement différemment – c’est aussi ce qui explique son soutien par plusieurs géants de la tech, comme Elon Musk, qui soutenait Biden en 2020. Le souhait de l’administration Biden de réguler l’Intelligence artificielle et les nouvelles technologies a changé les choses. Trump, qui avait besoin des géants de la tech, est opposé à l’interventionnisme de l’État pour certains sujets. Aujourd’hui, avec son administration – alors qu’il faudrait des investissements supérieurs dans la cybersécurité, des nouvelles agences – nous allons assister à tout le contraire : réduction massive des régulations, allègement des réglementations imposées aux entreprises et visant à renforcer la cybersécurité des infrastructures, etc. L’un des projets de l’administration Trump est de déléguer la cybersécurité à des entreprises privées. »
Stéphane TAILLAT, De la cybersécurité en Amérique. Puissance et vulnérabilité à l’ère numérique, éditions PUF, octobre 2024, 224 p., 24 €.
Sources :
Stratégie nationale de cybersécurité : https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf
SolarWinds : https://www.ege.fr/infoguerre/la-cyber-attaque-solarwinds-contre-les-États-unis
Contestation traité ONU : https://www.lesechos.fr/tech-medias/hightech/pourquoi-le-traite-de-lonu-contre-la-cybercriminalite-est-sous-le-feu-des-critiques-2113141
Google face à la justice : https://www.dalloz-actualite.fr/flash/google-face-justice-americaine-demantelement-aura-t-il-lieu
Google vente Chrome : https://www.lepoint.fr/high-tech-internet/pourquoi-on-est-encore-loin-d-un-demantelement-de-google-28-11-2024-2576589_47.php
la newsletter
la newsletter