Dossiers
Chroniques
Guides et carnets
Évènements
Tech In Sport
Green Tech Leaders
Alliancy TV
Alliancy Elevate
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Innovation
Alliancy Studio
Alliancy Le Mag
Lundi soir, la ministre déléguée chargée de l’IA et du numérique, Clara Chappaz organisait à Bercy une soirée consacrée à la souveraineté technologique. Ambition : montrer le leadership de l’État sur un sujet notoirement complexe, au vu des dépendances à tous les étages auxquelles sont soumises nos organisations. Reconnaissant l’intérêt de la démarche, les observateurs n’ont cependant pas manqué de souligner la timidité des « annonces majeures » qui avaient été promises sur l’invitation. Ils seront, en effet, repartis avec la création d’un Observatoire de la souveraineté numérique, sans doute loin d’être inutile, mais qui n’aura que peu d’impact à court terme, et le lancement d’un appel d’offres « cloud souverain » qui avait déjà été discuté l’an dernier. De quoi laisser tout l’écosystème sur sa faim, face au sentiment d’urgence provoqué par les décisions politiques très concrètes et déstabilisantes des États-Unis. Le dernier exemple en date a d’ailleurs fait monter la fièvre du côté des spécialistes cybersécurité du monde entier.
Coup de Jarnac sur la cybersécurité collective
L’Oncle Sam a, en effet, soufflé le chaud et le froid cette semaine sur le programme clé des Common Vulnerabilities and Exposures (CVE). Cette base de données est un actif cyber majeur, gérée de longue date par le centre de recherche à but non lucratif américain MITRE, et utilisée mondialement. En harmonisant et centralisant les informations et en donnant un identifiant unique aux failles de sécurité, elle permet à toutes les organisations de la planète de s’adapter au plus vite face à la menace et surtout de mieux se coordonner autour de références communes. La base CVE est donc un pilier essentiel de la philosophie du « plus fort ensemble » nécessaire pour rendre le monde numérique plus sûr.
Pas suffisant pour émouvoir l’administration Trump, prompte à appliquer sa propre vision très unilatérale et restrictive de la souveraineté. En début de semaine, l’écosystème cyber mondial a donc pris soudainement conscience que les autorités fédérales américaines ne comptaient pas prolonger le contrat qui les liait depuis 25 ans au MITRE pour faire vivre et exploiter la base de données mondiale. Dans un mémo interne, qui a fuité sur le réseau social Bluesky, le vice-président de MITRE mettait alors en garde sur les conséquences, « notamment la détérioration des bases de données et des avis de vulnérabilité nationaux, des capacités des fournisseurs d’outils, des opérations de réponse aux incidents et de toutes sortes d’infrastructures critiques ». En quelques heures, la surprise a laissé place à l’indignation et à la préoccupation chez tous les spécialistes de la cybersécurité, quelle que soit leur nationalité.
CISA dans tous ses états
Mais mercredi, coup de théâtre : « Le programme CVE est inestimable » a fait soudainement savoir l’Agence de cybersécurité et de sécurité des infrastructures des États-Unis (CISA), dans le plus pur style imprévisible des autorités américaines actuelles. L’agence explique avoir finalement exercé la « période d’option du contrat » pour s’assurer qu’il n’y aura pas d’interruption du service pour les onze prochains mois. Le soulagement immédiat pour la communauté cyber n’a cependant pas effacé le sentiment de danger : le mal était déjà fait.
En effet, le comportement chaotique de la CISA s’inscrit dans un contexte où l’agence devrait licencier près de 40 % de ses 3 300 employés, dans le cadre des coupes brutales dans les budgets et les effectifs du gouvernement américain menées par les équipes du « Department of Government Efficiency (DOGE) » d’Elon Musk. Les structures permettant l’échange de renseignements sur les menaces (« Threat intelligence ») entre l’État fédéral et le secteur privé seraient alors sans nul doute les premières à en souffrir.
Résilience face aux dépendances : ne pas tout attendre de l’État
Cette épée de Damoclès pousse les experts à agir. Les membres du conseil d’administration du CVE ont ainsi créé dans la foulée une fondation à but non lucratif pour assurer la future survie du programme, quelles que soient les errances de l’administration américaine, vue comme un possible « point de défaillance unique » pour l’initiative. Cela faisait déjà plusieurs années que ce conseil d’administration émettait des mises en garde sur cette dépendance à un « sponsoring gouvernemental » pour une ressource devenue un véritable commun numérique mondial. L’incertitude critique provoquée par le comportement du gouvernement américain aura été la goutte d’eau qui a fait déborder le vase.
De ce côté-ci de l’Atlantique, la séquence aura aussi comme intérêt de rappeler que la résilience vient également de la capacité d’un écosystème à se mobiliser pour faire mieux face collectivement aux situations de dépendance, sans tout attendre de l’État.
