Les changements négligés des deux décrets Trump qui pourraient transformer la cybersécurité

Deux décrets signés par le président Donald Trump ces derniers mois pourraient avoir un impact sur la cybersécurité plus important que prévu, que ce soit en bien ou en mal.

De manière générale, certains des décrets de Trump semblent davantage viser à faire passer un message qu’à induire un changement durable, leurs pouvoirs étant limités. En particulier, certaines dispositions des deux décrets ayant des implications sur la cybersécurité — l’un signé en mars concernant la préparation des États et des collectivités locales, et l’autre en juin, axé explicitement sur la cybersécurité — suscitent plus d’interrogations chez les experts que d’autres choses, tandis que d’autres encore conservent des politiques de l’ancienne administration que Trump a critiquées avec véhémence. Dans la pratique, d’autres pourraient ne pas atteindre les objectifs visés par ces décrets.

Au milieu des changements de personnel, des coupes budgétaires et d’autres activités au sein de l’administration au cours du premier semestre 2025, l’étendue réelle de ces deux décrets liés à la cybersécurité aurait pu être quelque peu négligée. Les effets de certains de ces décrets pourraient bientôt se manifester alors que des responsables clés en matière de cybersécurité sous Trump prennent leurs fonctions.

Mark Montgomery, de la Foundation for Defense of Democracies, a souligné que ces décrets étaient « plus importants » qu’il ne l’avait initialement compris, notant qu’il avait « sous-estimé » l’ordre de mars après l’avoir examiné de plus près. Certains des pas à franchir seraient positifs s’ils étaient entièrement mis en œuvre, comme l’appel à la création d’une stratégie nationale de résilience, a-t-il affirmé.

Le Centre pour la démocratie et la technologie a déclaré que l’ordre de juin, qui annulerait certains éléments des décrets des présidents Joe Biden et Barack Obama, aurait un effet négatif sur la cybersécurité.

« Reculer sur de nombreuses dispositions conçues pour améliorer la cybersécurité et la vérification d’identité sous prétexte de prévenir la fraude et les abus, c’est comme dire que l’on a besoin de routes plus sûres tout en retirant les garde-fous des ponts », a déclaré la présidente du groupe, Alexandra Reeve Givens. « Les seuls bénéficiaires de ce retour en arrière sont les hackers qui souhaitent pénétrer dans les systèmes fédéraux, les fraudeurs qui veulent détourner l’argent des contribuables à partir de services non sécurisés, et les fournisseurs historiques qui souhaitent maintenir des contrats lucratifs sans mettre en place de protections modernes. »

Les grands changements et les nuances

Peut-être le plus grand changement dans l’un ou l’autre des décrets est la suppression d’une section d’un décret que Biden avait signé en janvier sur la vérification d’identité numérique, censée combattre la cybercriminalité et la fraude. En annulant les mesures de cette section, la Maison Blanche a affirmé qu’elle supprimait des mandats « qui risquaient d’entraîner des abus généralisés en permettant aux immigrants illégaux d’accéder indûment aux prestations publiques ».

Un critique, prenant la parole sous couvert d’anonymat pour discuter des changements en toute franchise, a déclaré qu’« il n’y a pas une seule déclaration vraie dans cette affirmation provenant de la Maison Blanche ». Le Conseil national de sécurité n’a pas répondu aux demandes de commentaires sur cet ordre.

Certains, comme Nick Leiserson de l’Institut pour la sécurité et la technologie, ont fait remarquer que le langage relatif aux identités numériques dans l’ordre de Biden était l’un des « plus faibles » du document, car il ne parlait que de la manière dont les agences devraient « envisager » d’accepter des identités numériques.

La plus grande prospective de changement dans l’ordre de mars était un déplacement des responsabilités vers les gouvernements étatiques et locaux pour gérer la préparation aux catastrophes, y compris face aux cyberattaques, une idée qui avait suscité de vives critiques de la part d’experts en cybersécurité à l’époque, qui affirmaient que les États n’avaient pas les ressources pour se défendre seuls contre des hackers chinois. Mais cette évolution pourrait avoir des répercussions plus importantes que prévu.

Errol Weiss, responsable de la sécurité à Health-ISAC, une organisation dédiée à l’échange d’informations sur les menaces dans le secteur de la santé, a déclaré qu’à mesure que l’Agence de cybersécurité et de sécurité des infrastructures a réduit les services gratuits qu’elle propose, comme le scan de vulnérabilités, les États devraient théoriquement combler ce vide pour aider des entités comme celles que Weiss représente. « Si ce service disparaît, et que certaines de ses composantes l’ont probablement déjà fait, il y aura un vide », a-t-il affirmé.

Certaines des modifications de l’ordre de mars pourraient ne se manifester que maintenant que le Sénat a confirmé Sean Cairncross en tant que directeur national de la cybersécurité, ou après que le Sénat prenne des mesures concernant Sean Plankey pour diriger la CISA, a déclaré Jim Lewis, membre du Centre pour l’analyse des politiques européennes.

Par exemple : L’ordre demande un examen des documents de politique sur les infrastructures critiques, y compris le Mémorandum de sécurité nationale 22, une réécriture d’une directive vieille de dix ans visant à encourager un meilleur partage d’informations sur les menaces et à répondre aux menaces changeantes. Des signes montrent déjà que l’administration prévoit de s’éloigner de ce mémorandum, un développement qu’un analyste de l’Union of Concerned Scientists a qualifié d’inquiétant, bien que des critiques du mémorandum, comme Montgomery, aient affirmé qu’une remise à zéro pourrait être une bonne chose.

La plupart des autres plus grandes modifications potentielles, en revanche, figurent dans l’ordre de juin. En voici une liste partielle :

• Elle élimine une exigence de l’ordre de janvier de Biden, selon laquelle les fournisseurs gouvernementaux devaient fournir des certifications sur la sécurité de leur développement logiciel à la CISA pour examen. « Je ne pense tout simplement pas que l’on puisse faire semblant de se soucier de la cybersécurité tout en annulant ce contrôle exceptionnel d’imputabilité », a déclaré Jake Williams, directeur de la recherche et du développement à Hunter Strategy.
• Elle supprime une autre exigence de l’ordre de janvier de Biden qui demandait à l’Institut national des normes et de la technologie de développer de nouvelles directives sur les pratiques minimales de cybersécurité, considérées comme étant parmi les « prescriptions les plus ambitieuses » de cet ordre.
• Elle orienterait la CISA vers la mise en œuvre d’une approche de “no-knock” ou “no-notice” pour la recherche de menaces au sein des agences fédérales, a noté Leiserson.
• Elle supprime le langage déclarant que les règles de routage des données internet connues sous le nom de Border Gateway Protocol sont « vulnérables aux attaques et à la mauvaise configuration », ce qui, selon Williams, pourrait alléger la pression sur les fournisseurs d’accès à Internet pour améliorer la situation. « Les FAI savent que cela va leur coûter très cher de résoudre le problème », a-t-il dit.
• Elle efface une exigence de l’ordre de Biden qui ne contenait pas de date limite, mais indiquait que les systèmes fédéraux devaient déployer une authentification multifactorielle résistante au phishing.
• Elle supprime des exigences pour des projets pilotes découlant du défi en intelligence artificielle mené par l’Agence de recherche avancée de défense. La DARPA a récemment achevé son défi de 2025, attribuant des prix lors de la conférence sur la cybersécurité DEF CON de cette année.
• Elle stipule que « les politiques des agences doivent aligner les investissements et les priorités pour améliorer la visibilité des réseaux et les contrôles de sécurité afin de réduire les risques cybernétiques », un changement que l’expert en sécurité et professeur adjoint à l’université de New York, Alex Sharpe, a salué.

Certains changements ont amené des analystes à conclure, alternativement, à une continuité ou à un recul des directives de l’ordre exécutif de janvier sur des sujets tels que le cryptage des courriels dans les agences fédérales ou la cryptographie post-quantique.

Les zones d’ombre et les mystères

Certains des mouvements de l’ordre de juin ont intrigué les analystes.

Un des points était de spécifier que les sanctions cybernétiques doivent être limitées, selon un communiqué de la Maison Blanche, « aux acteurs malveillants étrangers, empêchant leur utilisation contre des opposants politiques domestiques et clarifiant que les sanctions ne s’appliquent pas aux activités liées aux élections ». Le Service de recherche du Congrès n’a trouvé aucune indication que des sanctions cybernétiques aient été utilisées sur le plan domestique et a déclaré que l’ordre exécutif semblait correspondre à une politique antérieure.

Un autre point est la suppression des directives de l’NIST sur les pratiques minimales de cybersécurité. « Si vous essayez de déréglementer, pourquoi tuer l’effort pour harmoniser les normes ? », a demandé Sharpe.

Encore un autre point est l’effacement d’une phrase de l’ordre de janvier de Biden sur l’importance du logiciel open source. « C’est un peu déroutant, car le logiciel open source est à la base de presque tous les logiciels, y compris des systèmes fédéraux », a écrit Leiserson (soulignement de son propos).

Plusieurs sources ont déclaré à CyberScoop qu’il était peu clair qui avait rédigé l’ordre de juin et avec qui ils avaient consulté lors de son élaboration. Une source a signalé que certains agents d’agences s’étaient plaints du manque d’examen inter-agences du document. Une autre personne a remarqué qu’Alexei Bulazel, le directeur de la cybersécurité du NSC, semblait n’avoir eu aucun rôle à cet égard.

Une autre question ouverte est de savoir quelle force sera mise derrière la mise en œuvre de l’ordre de juin.

Il assouplit la rigueur avec laquelle les agences doivent exécuter les directives qu’il énonce, du moins par rapport à l’ordre de janvier de Biden. Il confère au directeur national de la cybersécurité un rôle plus proéminent dans la coordination, a déclaré Leiserson. Et il offre de nouveaux postes à la CISA.

« Depuis que le président Trump est entré en fonction —et renforcé par son décret de juin— la CISA a pris des mesures décisives pour renforcer la cybersécurité de l’Amérique, se concentrant sur des protections critiques contre les menaces cybernétiques étrangères et en promouvant des pratiques technologiques sécurisées », a déclaré Marci McCarthy, directrice des affaires publiques pour la CISA.

Le représentant de Californie, Eric Swalwell, le principal démocrate au sein du sous-comité cybernétique de la Commission de la sécurité intérieure, a déclaré à CyberScoop qu’il était sceptique quant à l’engagement du président en matière de cybersécurité, tel qu’indiqué par l’ordre de juin.

« Le président parle fermement de sécurité cybernétique, mais tout cela n’est qu’un spectacle », a-t-il déclaré dans un communiqué. « Il a signé la loi créant la CISA et a augmenté son budget, mais il a également annulé des protections clés de l’ère Biden, abandonné des efforts liés à la chaîne d’approvisionnement et évincé des experts en cybersécurité. La CISA a perdu un tiers de son personnel, et son budget pour l’exercice 2026 le réduit de manière drastique…

« Même si ses objectifs en matière de cybersécurité et d’IA sont sincères, il a dégraissé le personnel nécessaire pour les atteindre », a poursuivi Swalwell. « Il a aussi rendu le gouvernement moins sûr en donnant à des alliés non vetés accès à des données sensibles. Ses actions ne correspondent pas à ses paroles. »

Montgomery a remarqué qu’il y avait une contradiction entre l’ordre de juin, qui confère plus de responsabilités à des agences comme le NIST, tandis que l’administration proposait une réduction d’environ 20 % de celle-ci, et l’ordre de mars qui transfère des responsabilités vers les gouvernements étatiques et locaux sans leur donner les ressources nécessaires pour les gérer.

Une analyse de WilmerHale a indiqué qu’à mesure que l’administration façonne la politique cybernétique, l’ordre de juin « signale quelle pourrait être cette approche : supprimer les exigences perçues comme des obstacles à la croissance et à l’expansion du secteur privé tout en préservant des exigences clés qui protègent les propres systèmes du gouvernement américain contre les menaces cybernétiques posées par la Chine et d’autres acteurs étrangers hostiles. »

Malgré tous les changements potentiels, les analystes s’accordent à dire que l’ordre de juin continue de maintenir de nombreuses politiques de l’administration Biden, telles que les engagements en faveur de l’initiative de label Cyber Trust Mark, de la politique de cybersécurité dans l’espace et des exigences pour les entrepreneurs en défense de protéger des informations sensibles.

Certaines de ces propositions n’avaient pas progressé avant le passage de Biden à Trump. Mais il pourrait être plus facile pour l’administration Trump d’atteindre ses objectifs.

« Il est difficile de dire que la voiture va dans la mauvaise direction quand elle n’a pas démarré le moteur », a déclaré Lewis. « Ces personnes, cette équipe actuelle, n’ont pas cette difficulté, car ils réduisent les choses. Ils disent : ‘Nous allons faire moins.’ Donc, c’est plus facile de faire moins. »