Cybersécurité : les États-Unis sont-ils vraiment au bord de l’effondrement ?

Près d’un an après le retour de Donald Trump à la Maison Blanche, un rapport alerte sur les conséquences dévastatrices de ses coupes budgétaires, de 200 000 suppressions d’emploi au sein des agences gouvernementales américaines et sur les effets du shutdown le plus long de l’histoire des États-Unis. Certains y voient aussi un effet d’aubaine pour le secteur privé.

Y a-t-il péril en la demeure ? Selon le rapport annuel de la CSC 2.0, l’organisation qui a succédé à la Cyberspace Solarium Commission, une instance américaine bipartisane créée en 2019, les États-Unis prennent du retard en matière de cybersécurité. « Les défis les plus importants sont le résultat des réductions de plus de 30 % de personnel à la CISA (Agence américaine de cyberdéfense) et à la National Security Agency (2 000 personnes), confirme à INCYBER.org Mark Montgomery, contre-amiral de l’US Navy à la retraite et directeur exécutif de la CSC. La menace grandit au lieu de s’atténuer et ces réductions de personnel introduisent un risque. L’évaluation de cette année montre clairement que la technologie évolue plus rapidement que les efforts fédéraux pour la sécuriser. La capacité de notre nation à se protéger et à protéger ses alliés contre les cybermenaces stagne et, dans plusieurs domaines, recule. »

Intelligence artificielle

Selon des documents consultés par l’agence Reuters, l’administration Trump s’apprête à confier à des sociétés privées le soin d’assurer sa cybersécurité. Faute de budget, de nombreux postes stratégiques au sein de la NSA restent eux vacants, limitant la coordination et la réaction face aux menaces, comme celles du groupe de hackers chinois Volt Typhoon. « Les attaques de ce type contre les infrastructures critiques américaines constituent un effort agressif visant à mener une « préparation opérationnelle du champ de bataille » et mettent en danger la sécurité nationale des États-Unis », affirme Mark Montgomery. Car parallèlement, la menace croît de manière exponentielle avec l’essor de l’intelligence artificielle. Dans son rapport annuel sur les menaces numériques publié en octobre dernier, Microsoft a ainsi répertorié plus de 200 cas d’acteurs étrangers utilisant l’IA pour générer de faux contenus en ligne, soit plus du double par rapport à 2024 et dix fois plus qu’en 2023.

Nouvelles exigences

« De nombreuses fonctions opérationnelles chargées de surveiller les menaces et de réagir aux incidents restent en place, tempère toutefois Tony Anscombe. Basé à San Francisco, en Californie, il est évangéliste en chef de la sécurité pour la société de cybersécurité slovaque ESET. Elles ont été jugées essentielles et n’ont pas été affectées par les récentes fermetures. Le gouvernement américain continue de moderniser rapidement son utilisation des technologies de l’information, y compris la cybersécurité. Cela inclut l’introduction de nouvelles exigences, telles que la règle CMCC (cybersecurity maturity model certification) qui impose à plus de 80 000 fournisseurs du secteur de la défense de se conformer à des contrôles stricts en matière de cybersécurité définis par le NIST. »

Transformation globale

Si cette évolution de la politique vise des entreprises extérieures, des changements similaires sont également imposés aux agences fédérales, comme le nouveau Cyber Risk Management Construct qui s’applique au ministère de la Défense. Cette évolution des pratiques transparaît également dans les décisions opérationnelles prises par la CISA, par exemple la directive BOD 25-01 qui traite des pratiques sécurisées pour les services cloud. « Si les progrès ont récemment été ralentis par la fermeture des services publics, la volonté d’accélérer la transformation globale par le biais de politiques et de mesures concrètes ne semble pas avoir faibli », assure, confiant, M. Anscombe.

Opportunités commerciales

Tout le monde ne voit d’ailleurs pas forcément d’un mauvais œil cette irruption du secteur privé au sein des agences fédérales américaines. Kamel Ferchouche, PDG de l’éditeur français de logiciels de cybersécurité Evertrust (qui vient de lever 10 millions d’euros auprès du fonds américain Elephant, ndlr) estime ainsi que la stratégie de Donald Trump pourrait faire naître de nouvelles opportunités commerciales, en élargissant les missions des entreprises traditionnellement cantonnées à la défense. « Il y a vraiment des mouvements de consolidation aux États-Unis pour créer des mastodontes, observe-t-il. Palo Alto vient par exemple d’acheter la société américano-israélienne CyberArk pour 25 milliards de dollars. Ils ont toujours de gros moyens, mais ils sont en train de rationaliser et de limiter le nombre d’acteurs, contrairement à l’Europe où ça fourmille, où il y a beaucoup de startups et d’innovation, mais où on a du mal à devenir très gros. »

Élargir le vivier de talents

La publication des détails de ce nouveau plan stratégique élaboré par l’administration Trump est imminente. « C’est une sorte de privatisation et de délégation, résume M. Ferchouche, mais ce sont uniquement des solutions américaines qui vont sécuriser la partie gouvernementale, ils sont très protectionnistes. Impossible pour un acteur étranger d’accéder à ces marchés. » Dans ce contexte, le rapport de la CSC 2.0 avance plusieurs propositions comme le renforcement des pouvoirs du directeur national de la cybersécurité, dont le poste a été créé en 2020 et qui « ne dispose toujours pas, selon l’étude, de l’autorité et des relations interinstitutionnelles nécessaires pour faire appliquer les décisions à l’échelle du gouvernement. » Il propose aussi de rétablir le budget et les effectifs réduits de la CISA. Le rapport suggère enfin d’élargir le vivier de talents dans le domaine de la cybersécurité et d’améliorer la fidélisation. À cet égard, les auteurs notent que le recul de l’administration Trump en matière de diversité, d’équité et d’inclusion a sensiblement réduit le réservoir de main d’œuvre.