Trump 2.0 : menaces cyber et réponse politique, un logiciel consensuel ?

Dans le maëlstrom qui agite actuellement Washington D.C. et l’espace médiatique mondial, un sujet reste peu évoqué : la menace cyber. Si l’Intelligence Artificielle (IA) est restée bien présente dans le débat public, notamment en raison du soutien apporté au président Donald Trump par les "Tech Bros", dont Sam Altman d’Open AI, bien peu d’attention s’est portée sur les enjeux cyber. Or, s’il s’agit bien d’un sujet technique et d’un sous-ensemble de la sécurité nationale américaine, le domaine cyber a pourtant fait l’objet d’un des nombreux Executive Order (EO) de Joe Biden qui ont été annulés et de plusieurs décisions controversées. Ces choix marquent ainsi du sceau du politique l’importance du sujet. Qu’est-ce que cela nous dit de l’état du débat cyber dans l’arène politique américaine ?

Un débat très vif sur la menace chinoise

Pour comprendre ce qu’il se passe actuellement aux États-Unis, il est nécessaire de reposer le contexte cyber. La tension n’a jamais été aussi vive, en raison de l’ampleur des attaques chinoises révélées en 2023 et 2024 et attribuées à des groupes de hackers surnommés Volt Typhoon, Salt Typhoon et Flax Typhoon. En réponse, le sentiment de vulnérabilité et d’impuissance s’est fortement développé et a largement renforcé la perception collective d’une Chine menaçante et agressive.

En effet, Volt Typhoon a pénétré des systèmes d’information, sans en collecter les données, pour maintenir une présence durable sans se faire détecter : cette attaque s’appelle une exploitation des ressources locales (ou "Living off the land" LoTL).

En octobre 2024, un nouveau scandale a émergé : un groupe surnommé Salt Typhoon a été découvert dans les réseaux de plus de 80 entreprises de télécommunications, dont au moins 9 grands opérateurs tels que Verizon, AT&T ou T-Mobile. Bien qu’il soit difficile de dater le début des attaques, qui pourraient avoir démarré en 2022, il semble que ces hackers chinois aient disposé d’un accès pérenne aux données de télécommunications (SMS, métadonnées des appels, possiblement communications) de millions d’Américains et notamment de cibles importantes du renseignement chinois, comme les candidats Trump et Vance. Cette opération d’espionnage est une des plus ambitieuses et douloureuses que les États-Unis ont subi de la part de la Chine. Un troisième groupe, surnommé Flax Typhoon, a aussi été détectée dans des infrastructures critiques américaines et fait l’objet de sanctions. Les réseaux gouvernementaux ne sont pas en reste, par exemple comme l’ordinateur personnel de Janet Yellen, la secrétaire d’État au Trésor.

D’une ampleur inédite et d’une agressivité affirmée, dans les domaines de l’espionnage comme de la conflictualité numérique, ces attaques ont renforcé le consensus bipartisan sur la menace chinoise, mais ouvrent des brèches dans les débats internes sur la cybersécurité.

Un consensus dans le domaine cyber qui se lézarde

À la différence du sujet de la désinformation, très conflictuel aux États-Unis sur fond d’accusation d’ingérence russe dans la campagne politique de Donald Trump en 2016, 2020 et 2024, les questions cyber sont un domaine de rare exception : un consensus bipartisan solide existe sur la nature des menaces et la nécessité de renforcer les capacités cyber américaines. Des débats existent sur la nature des capacités et leurs volumes, mais ils sont transpartisans et illustrent plutôt un débat technique exigeant et bienveillant.

En clair, ces attaques ont remis au centre les débats sur la faiblesse des défenses américaines, notamment des entreprises qui n’appliquent que trop rarement les standards de cybersécurité ou qui ne prennent pas l’ampleur des menaces, étatiques et non-étatiques, qui pèsent contre elles.

Ce point est à l’origine d’un débat politique : si les Démocrates comme les Républicains s’entendent sur la nécessité de dissuader les adversaires des États-Unis dans le cyberespace, ils ne sont pas d’accord sur les régulations à imposer aux entreprises pour leur cybersécurité. Ce débat s’inscrit dans le débat, plus vaste et plus ancien, entre les partisans de plus ou de moins de régulations, c’est-à-dire de coûts supportés par l’État, par les grandes ou par les petites entreprises mais il a des conséquences concrètes sur la sécurité du pays, ce qui rend le débat plus vif encore.

Un nouveau climat politique

Un des axes prioritaires de la stratégie de cybersécurité de Joe Biden, publiée en 2023, était d’imposer aux grandes entreprises informatiques de hardware ou software d’intégrer les standard de cybersécurité by design dans leurs produits, malgré les coûts, faisant le constat que les petites et moyennes entreprises ne parvenaient pas à mettre en œuvre ces standards (souvent pour des raisons de coûts, parfois de manque d’expertise). Cette stratégie a mené à une initiative Secure By Design, développant cette philosophie. Il s’agit d’un débat politique essentiel : qui doit supporter les coûts de la cybersécurité ? Est-ce mérité ou est-ce un problème, notamment pour la sécurité nationale, que les entreprises soient victimes de cyberattaques ? La différence entre les Démocrates et les Républicains est alors de répondre à ces questions en imposant ou non des normes, en rendant responsables ou non des acteurs suite aux attaques, en faisant supporter ou non des coûts obligatoires.

La position des spécialistes étatiques est claire : les entreprises doivent sérieusement monter en compétences pour se protéger. Les responsables de la NSA et de l’US Cyber Command, ou les conseillers politiques à la Maison Blanche, sont unanimes. L’État peut aider, en partageant de l’information (via le FBI, le JCDC du CISA ou le CCC de la NSA), mais ne peut pas assurer la cybersécurité de l’ensemble des particuliers et entreprise du pays, cela même dans le domaine des infrastructures critiques gérées par des entreprises privées.

Ainsi, 4 jours avant de rendre son poste, le président Joe Biden a signé l’EO 14144 "on Strengthening and Promoting Innovation in the Nation’s Cybersecurity" pour répondre à ces défis et à l’intensification et la sophistication des cyberattaques visant les États-Unis. Parmi les mesures : renforcement du partage d’informations public/privé, aide pour développer des technologies quantiques et de l’IA pour le cyber ou sanctions des acteurs étrangers. Parmi ces mesures figurent aussi l’imposition de nouveaux standards de cybersécurité pour les entreprises travaillant avec le gouvernement fédéral, parmi lesquels l’obligation d’utiliser l’authentification multi-facteur (MFA), de chiffrer ses données ou de mettre en œuvre des dispositifs de contrôle des flux aux points d’arrivées (ordinateurs, serveurs). Cet EO n’a pas (encore ?) été révoqué, probablement en raison de toutes les dimensions qu’il couvre, dont plusieurs font l’objet d’un accord bipartisan, mais il est probable que la nouvelle administration travaille à réduire ou enlever ces nouvelles régulations. (à noter, qu’à la date du 06 février 2025, la page web de l’EO n’était plus disponible - erreur 404 - ce qui pourrait indiquer une révocation à venir)

Le signal politique envoyé par Donald Trump

L’ONCD est une création récente de Joe Biden (2021). Bien accueilli par la communauté spécialisée, ce bureau a été particulièrement chargé de mener des réflexions sur les nouvelles normes et pratiques à déployer pour sécuriser le secteur civil contre les cyberattaques. La révocation de l’EO, qui ne change rien à la structure, pourrait indiquer une volonté de remodeler (ou de dissoudre) cette entité, à l’image de ce qui est aussi pratiqué avec le Cybersecurity and Infrastructure Security Agency (CISA).

Le CISA est l’agence opérationnelle et défensive chargée d’améliorer la cybersécurité des réseaux non classifiés étatiques et de fournir un cadre aux entreprises. Dans ce cadre, elle a plusieurs missions dont la diffusion publique des vulnérabilités à patcher, de bonnes pratiques et de données sur la menace cyber. Elle travaille aussi à produire ou diffuser des standards et régulations pour les entreprises. Or, si cette agence est une création de Donald Trump (2018), elle est devenue la cible des Républicains en raison de sa forte implication contre les ingérences russes dans le processus électoral, qui avait valu un licenciement de son premier chef, Chris Krebs, un spécialiste reconnu et respecté dans la communauté de la cybersécurité et de la désinformation. Ainsi, la nouvelle Secrétaire à la Sécurité Nationale (Department of Homeland Security), Kristi Noem, a promis, lors de ses auditions au Congrès, de diminuer considérablement le périmètre d’action de la CISA pour la recentrer sur son cœur.

À noter que, comme toutes les agences fédérales, NSA comprise, les personnels de la CISA ont reçu une offre de licenciement volontaire avec indemnité de 7 mois, ce qui s’inscrit dans une stratégie politique visant à aligner les agences et leurs personnels sur l’agenda de Donald Trump, tout en diminuant la taille du gouvernement fédéral.

Dès son arrivée aux affaires, le président Trump a aussi démantelé le Cyber Safety Review Board (CSRB), organe de conseil dont le rôle était de mener des analyses indépendantes sur les cyberattaques subies par les États-Unis et de prodiguer des conseils. Pourtant peu controversé, le CSRB semble avoir été victime de sa création sous Joe Biden. Le fait qu’il soit susceptible d’avoir recommandé plus de régulations imposées aux entreprises pourrait aussi possiblement la raison de sa mise en sommeil.

Ce changement de cap pourrait aussi s’exprimer dans le domaine offensif.

"Imposer des coûts"

Les attaques chinoises de Volt Typhoon et Salt Typhoon ont amené l’équipe de Donald Trump à s’exprimer pendant la campagne électorale et à promettre de contraindre la Chine, en lui "imposant des coûts" afin de rétablir une dissuasion efficace dans l’espace numérique et de l’inciter à stopper ses attaques. Cette rhétorique s’inscrit dans une stratégie plus large de l’administration Trump "d’enlever les gants" et de se confronter fermement à ses adversaires.

Le problème est que l’espace numérique n’est pas comme l’espace physique et que, pour l’heure, la dissuasion ne fonctionne pas. Cette leçon a été admise par les États-Unis en 2018, après deux décennies à subir des attaques russes, chinoises, iraniennes et nord-coréennes alors même qu’ils disposaient des capacités cyber-défensives et cyber-offensives les plus avancées. De ce constat était né le National Security Presidential Memorandum n°13 de septembre 2018, directive classifiée, signée par Donald Trump, donnant plus d’autorités et de capacités à l’US Cyber Command pour réaliser des opérations régulières contre les adversaires étatiques dans le cyberespace, à l’origine de la doctrine Persistent Engagement.

Pour cette raison, les experts américains estiment qu’il faut effectivement engager l’adversaire en continu dans le cyberespace, mais qu’il faut aussi améliorer sensiblement ses propres défenses. Cette crainte est d’autant plus grande qu’un conflit indirect entre les États-Unis et la Chine est dans tous les esprits, en cas d’invasion chinoise de Taiwan.

Ainsi, les experts restent sceptiques sur la volonté "d’imposer des coûts", sur ce que cela pourrait signifier concrètement, ou sur la possibilité de rétablir une dissuasion et estiment qu’il s’agit avant tout d’une rhétorique qui confirmera la tendance de la première administration Trump à ne poser aucune limite dans l’utilisation des opérations cyber, militaires et clandestines, contre la Chine. Or, dans ce domaine, le consensus bipartisan, mais aussi institutionnel et technique, existe. Seule l’ampleur des attaques ou la nature des cibles (pays tiers, moins menaçant ou allié) pourraient briser ce consensus.

Copyright image : POOL / GETTY IMAGES NORTH AMERICA / Getty Images via AFP
Kristi Noem, Secrétaire à la Sécurité intérieure des États-Unis, à Washington le 28 janvier.