Ce que les premières semaines fulgurantes de Trump signifient pour le cyber-risque

Par Danny Bradbury • 20er Février 2025.

Moins d’un mois après l’arrivée au pouvoir de Trump, les professionnels de la cybersécurité doivent avoir l’impression que cela fait un an. Le président a travaillé à une vitesse incroyable, émettant une série de décrets qui ont eu un impact sans précédent sur la sécurité nationale et la préparation aux risques.

Selon Herbert Lin, chercheur principal au Centre pour la sécurité et la coopération internationales de l’université de Stanford, un élément sous-tend bon nombre des mesures du nouveau gouvernement. Il s’étonne de la position agressive de l’administration Trump contre Biden. « Il veut simplement se débarrasser de tout ce qui a un jour porté une trace de Biden », dit-il, qualifiant le niveau d’agressivité de « sans précédent ».

Cette approche est dangereuse, prévient Lin, qui a siégé à la Commission du président Obama sur le renforcement de la cybersécurité nationale en 2016. Il suggère qu'elle pourrait éliminer les personnes concentrées sur des menaces claires et présentes.

La nouvelle administration a mis fin à tous les membres des comités consultatifs du département de la Sécurité intérieure dès ses débuts. Il s'agit notamment du Cyber Security Review Board (CSRB), une initiative de l'ère Biden chargée d'analyser les incidents cybernétiques majeurs et de recommander des mesures pour renforcer les défenses numériques. Le CSRB est peut-être surtout connu pour avoir mis Microsoft sur la sellette après l'acquisition par le groupe d'attaque Storm-0558 de clés de signature internes de l'entreprise.

Inquiétudes concernant l’échange de données

La Maison Blanche du président Trump a également démis de ses fonctions trois membres affiliés aux démocrates du Conseil de surveillance de la vie privée et des libertés civiles (PCLOB), qui a contribué à la révision du Cadre transatlantique de confidentialité des données (TADPF).

Le TADPF est la dernière itération d'un effort continu visant à normaliser les échanges de données entre les États-Unis et l'UE. Accepté par l'UE en 2023, il a remplacé le bouclier de protection des données UE-États-Unis, que la Cour de justice de l'UE a invalidé en raison de préoccupations concernant les pratiques de surveillance américaines.

NOYB, l'association autrichienne à but non lucratif dirigée par l'avocat Max Schrems, averti que l'élimination des trois démocrates a rendu impossible pour le conseil d'administration d'atteindre le quorum. Cela a pour effet de paralyser le PCLOB jusqu'à ce que de nouveaux candidats soient trouvés.

« Nous avons déclaré que le TADPF était décapité à ce stade », a déclaré Cody Venzke, conseiller principal en matière de surveillance, de confidentialité et de technologie à l'American Civil Liberties Union. L'un des éléments clés du TADPF était la possibilité pour les citoyens de l'UE de contester l'interception et l'utilisation de leurs communications et données par le gouvernement américain. Le conseil d'administration a supervisé la Cour de révision de la protection des données, qui a dirigé ces efforts.

« Il n’est pas certain que le PCLOB soit en mesure de se conformer aux exigences du cadre de protection des données », a averti Venzke. « Cela va soulever de sérieuses questions des deux côtés de l’Atlantique sur l’état des flux de données transfrontaliers. »

Le Département de l'efficacité gouvernementale

L’un des décrets les plus marquants est peut-être celui qui a créé le Département de l’efficacité gouvernementale (DOGE). Lorsque Trump est arrivé au pouvoir, le monde était déjà au courant de son projet de nommer Elon Musk au poste de responsable de l’efficacité gouvernementale, mais les événements qui ont suivi ont stupéfié les commentateurs.

Le département de Musk a rapidement pris le contrôle des systèmes informatiques de plusieurs agences fédérales, avec le consentement des chefs d'agences nouvellement nommés par Trump et confirmés par un Sénat contrôlé par les républicains.

L'une des premières agences sur la liste de DOGE était le Trésor, qui contrôle le traitement des fonds gouvernementaux. L'Autorité fédérale de l'aviation civile (FAA) en était une autre. Le nouveau secrétaire aux Transports, Sean Duffy, a expliqué que l'équipe de DOGE, composée d'une vingtaine d'employés, se préparait à « se connecter pour contribuer à la mise à niveau de notre système d'aviation ». Les systèmes du ministère de l'Énergie et du ministère du Travail ont également été consultés.

Bruce Schneier, expert en sécurité informatique, a été consterné par les actions de DOGE. « Il y a un risque pour la sécurité nationale ici », dit-il. « Il s’agit de leurs tactiques qui consistent à faire déplacer des données d’ordinateurs sécurisés vers des ordinateurs non sécurisés par des personnes sans autorisation de sécurité, et de tout ce qui rend ces données plus vulnérables. Leurs tactiques sont dangereuses pour la société. »

Dans une Essai Schneier souligne trois implications de ces actions en termes de sécurité. La première est la capacité des acteurs externes à modifier les opérations quotidiennes du système (par exemple en retenant des fonds). La deuxième est l'exposition des données, qui s'étend au-delà des informations personnelles de millions d'Américains, aux informations sur l'architecture de certains des systèmes informatiques les plus sensibles du pays. Enfin, ces opérateurs peuvent modifier les systèmes eux-mêmes de manière incontrôlable.

Un bouleversement radical dans l'IA

Les opérations de cybersécurité ne sont pas le seul domaine dans lequel Trump a fait volte-face par rapport aux politiques de l’ancienne administration. Trois jours après son investiture, il a également signé le décret visant à supprimer les obstacles au leadership américain dans le domaine de l’intelligence artificielle. Ce décret a remplacé le décret d’octobre 2023 de Biden sur le développement et l’utilisation sûrs, sécurisés et dignes de confiance de l’IA, que Trump a annulé.

Cela inquiète Venzke, qui suggère qu'une approche non interventionniste de l'IA pourrait laisser une voiture roulant à toute vitesse sur la route sans personne au volant.

« Cette administration avance à toute allure avec l’IA, et cela suscite de profondes inquiétudes quant au fait que, sans garde-fous, nous allons nuire aux personnes qui utilisent l’IA », prévient-il, ajoutant que cela pourrait inclure les personnes inscrites sur des listes de surveillance et les bénéficiaires d’avantages gouvernementaux. « Tout cela sans aucune des garanties rudimentaires que l’administration Biden commençait à mettre en place. »

La nouvelle administration a sans aucun doute le pied sur l’accélérateur. Cependant, en matière de cyber-risque, certains commentateurs notoires craignent qu’elle ne se dirige dangereusement et à toute vitesse dans la mauvaise direction.

Danny Bradbury

Danny Bradbury est journaliste de presse écrite spécialisé en technologie depuis 1989 et écrivain indépendant depuis 1994. Il a écrit pour des publications nationales des deux côtés de l'Atlantique et a remporté des prix pour son travail de journalisme d'investigation sur la cybersécurité.

Lire la suite de Danny Bradbury

La cyber-sécurité 15 Janvier 2026

De la sécurité périmétrique à l'identité comme bannière de sécurité

De la sécurité périmétrique à la sécurité de l'identité

Impossible aujourd'hui de jeter un œil à un événement de sécurité sans tomber sur l'expression « confiance zéro ». C'est un mot à la mode, certes…

Danny Bradbury

La cyber-sécurité 18 December 2025

Comment s'y retrouver dans le labyrinthe de la conformité en matière d'IA aux États-Unis

En matière de réglementation, le terme « États-Unis » est un oxymore. Les lois des États sont loin d'être unifiées, chaque juridiction ayant ses propres traditions…

Danny Bradbury

La cyber-sécurité 20 November 2025

Ce que les violations de Salesforce nous apprennent sur la responsabilité partagée (bannière)

Ce que les violations de données de Salesforce nous apprennent sur la responsabilité partagée

L'année 2025 n'a pas été favorable aux clients de Salesforce. Un groupe criminel peu scrupuleux a mené une série d'attaques contre ses clients, affectant finalement…

Danny Bradbury