Les politiques de cybersécurité sont un domaine à la fois très technique et supposément consensuel. Pourtant, les deux premiers mois de la seconde administration Trump démontrent que ce n’est pas nécessairement le cas. Non pas qu’elles fassent prioritairement l’objet de débats politiques et idéologiques partisans, mais plutôt qu’elles sont considérées comme une dimension au mieux négligeable, au pis dommageable pour les objectifs principaux de Donald Trump et de la coalition qu’il fédère.
La victoire électorale de Donald Trump cristallise plusieurs tendances politiques qui ont entravé les actions de son prédécesseur. Un dossier hautement politisé – de manière surprenante si l’on prend en compte l’évolution en cours dans les autres États occidentaux – concerne l’atténuation progressive de la distinction entre les enjeux de cybersécurité et ceux de la manipulation de l’information dans la protection des élections. À la suite de la pandémie de Covid‑19 et de l’assaut sur le Capitole le 6 janvier 2021, les partisans et alliés objectifs de Donald Trump ont combattu systématiquement et avec succès les tentatives de l’administration Biden, des agences de sécurité nationale et des parties prenantes (acteurs de la société civile comme responsables politiques locaux) de consolider, voire d’institutionnaliser le dispositif qui s’était construit après les interférences russes dans les élections de 2016. À coup de harcèlement judiciaire, d’assignations à comparaître et de campagnes de communication, ils ont de fait obtenu du FBI et de l’Agence de cybersécurité et de sécurité des infrastructures (CISA) qu’ils renoncent à leur coopération avec les réseaux sociaux pour détecter et contrecarrer les opérations d’influence.
Ce mouvement s’est poursuivi après la victoire de Donald Trump par la renonciation de Meta au fact – checking ainsi que par les manœuvres visant à mettre au pas les organes de presse, les médias traditionnels et les chercheurs sur la désinformation. La division du FBI chargée de lutter contre l’ingérence étrangère a été dissoute tandis que les employés de la CISA coordonnant le dispositif de sécurisation des élections ont été licenciés. Les programmes permettant d’assister les autorités locales dans l’organisation d’élections sécurisées (comme l’Election infrastructure Information sharing and analysis center fondé en 2018) ont été considérés comme du gaspillage ou comme la preuve d’une « arsenalisation » du gouvernement fédéral. Par décret présidentiel, Donald Trump prétend également dicter l’organisation des élections à tous les niveaux : sa priorité n’est pas d’empêcher le jeu de l’ingérence étrangère, un « hoax » à ses yeux, mais de libérer ses partisans de toute contrainte en matière de communication politique. Ce dossier s’adosse à une stratégie plus globale qui, sous couvert de défendre la liberté d’expression (free speech), vise essentiellement à faire taire les critiques en les présentant comme de la censure.
Le deuxième dossier en cours de politisation concerne les dispositifs de régulation mis en place sous son prédécesseur afin de promouvoir et de standardiser des mesures de cybersécurité. L’opération contre Colonial Pipeline en mai 2021 a enclenché un processus de renouvellement des réglementations de la part des administrations chargées de la gestion des crises pour chacun des 16 secteurs englobant les infrastructures critiques. Mais le chemin a été plus ou moins semé d’embûches. Si l’administration des transports a réussi à établir des standards acceptables pour les secteurs de l’aviation civile, des chemins de fer ou des hydrocarbures, l’agence de protection de l’environnement a dû reculer pour celui de la distribution et du traitement des eaux après la levée de boucliers des opérateurs privés et de certaines autorités fédérées. À la suite de l’invasion de l’Ukraine, le Congrès a adopté à une écrasante majorité l’obligation pour les opérateurs d’infrastructures critiques d’avertir les autorités fédérales en cas d’intrusion ou de tentatives d’extorsion.
Trois ans plus tard, les procédures de notification ont bien été établies par la CISA, mais doivent désormais passer sous les fourches caudines des différentes parties prenantes. En décembre 2023, l’autorité régulatrice des marchés financiers a aussi pris des mesures en ce sens. Loin d’avoir les effets attendus, cette nouvelle couche normative a affaibli les procédures, mais aussi accentué le mécontentement du secteur privé et de nombreux élus envers cette fièvre régulatrice. Il existe encore un consensus bipartisan pour réfléchir à des projets de coordination et de simplification en matière de standards de cybersécurité, particulièrement en ce qui concerne la notification d’une intrusion. Mais l’atmosphère politique au Congrès de même que l’absence d’impulsion politique – voire une hostilité manifeste – de la part de la Maison – Blanche augure mal d’un sentier serein vers un paysage plus unifié en matière de cybersécurité du secteur privé.
Plus globalement d’ailleurs, la philosophie de l’administration Trump comme de ses alliés et partisans au Congrès ou dans le secteur privé semble bien de renverser les prémisses des politiques de la période Biden. Rappelons que celles-ci ont tenté de revenir sur les fondamentaux du « contrat social de cybersécurité », en en déplaçant le fardeau vers les pouvoirs publics et le secteur de l’économie numérique (1). Plutôt que de laisser le marché réguler la cybersécurité, il faut s’appuyer sur l’importance de la commande publique et le rôle central de l’État administratif fédéral pour inciter les acteurs à intégrer la sécurité dès la conception et la sécurité par défaut. Cette logique est désormais absente de la réorganisation institutionnelle de la cybersécurité. Le rôle pilote des agences fédérales est ainsi abandonné. La CISA notamment semble considérablement affaiblie dans sa mission de coordination de la gestion des risques cyber, que ce soit par le licenciement de ses experts, l’annulation de contrats avec des prestataires privés, mais surtout le coup d’arrêt donné à la coopération avec le secteur privé de la cybersécurité et de l’écosystème numérique. Cet abandon du rôle moteur de l’État se retrouve globalement dans les décrets pris par la Maison – Blanche pour restructurer la protection des infrastructures critiques en postulant qu’il s’agit là d’un rôle dévolu aux autorités locales et aux opérateurs privés, le niveau fédéral n’intervenant qu’à titre de facilitateur ou de soutien.
Le niveau général de cybersécurité (en matière de protection des réseaux informatiques et de sécurisation des données gérées par les secteur public) est aussi la victime collatérale de l’action du prétendu « département de l’Efficience gouvernementale » (DOGE) impulsé par Elon Musk. La frénésie et la rapidité de son action dans les différents ministères et agences ajoutent à l’opacité de ses modes opératoires et compliquent l’analyse du phénomène. On peut toutefois constater deux aspects inquiétants. D’une part, les employés du DOGE – qui n’ont pas toujours les compétences ni la légitimité bureaucratique pour ce faire – ont pris le contrôle des bases de données et des réseaux des agences qu’ils ont investies. Par conséquent, ils ont été capables de geler des fonds, d’établir des listes d’employés à licencier, d’exclure les experts des systèmes et d’accéder à des données plus ou moins sensibles. Outre cette action directe qui s’apparente à un « hacking des services publics », le DOGE a aussi affaibli les mesures de cybersécurité au sein des agences comme, plus largement, dans l’ensemble du service public. Rappelons en effet que lors des trois années écoulées, l’effort au sein du secteur fédéral s’est porté sur l’établissement d’une architecture dite de « zéro confiance ». L’intrusion dans les agences et l’accès à leurs données loin de tout contrôle, supervision ou contre-pouvoir a de facto affaibli ces efforts. La décision de la Maison – Blanche de mettre fin au cloisonnement entre les bases de données détenues par les agences fédérales pourrait ajouter un risque supplémentaire.
L’administration Trump fait aussi preuve d’ambiguïté sur certains sujets. Par exemple des moyens mis en œuvre face aux menaces qui, jusqu’à récemment, étaient prioritaires. L’affaire d’espionnage « Salt Typhoon » a notamment mis en lumière les vulnérabilités criantes du secteur des télécommunications. Avant de démissionner en janvier, l’ancienne commissaire aux télécommunications Jessica Rosenworcel a tenté d’obliger les opérateurs à mettre en œuvre des mesures minimales de cybersécurité, contre l’avis du futur commissaire Brendan Carr. Celui-ci a cependant annoncé la création, au sein de la Federal communications commission, d’un « conseil de sécurité nationale » dont l’une des premières mesures va être de poursuivre l’élimination de tout composant chinois dans les infrastructures. Cette continuité tranche avec les revirements stratégiques vis-à‑vis de la menace russe comme vis-à‑vis de la priorité nouvelle donnée à la lutte contre les organisations criminelles transnationales en matière de trafic de drogue. Sur ces points, la question essentielle sera la capacité du secteur de sécurité nationale (Cyber Command, NSA, FBI) de réorienter ses ressources organisationnelles et ses infrastructures sans augmenter les risques de cybersécurité.
Note
(1) Stéphane Taillat, De la cybersécurité en Amérique : puissance et vulnérabilités à l’ère numérique, PUF, Paris, 2024.
Stéphane Taillat