Le président Donald Trump a signé ce mois-ci une loi interdisant à toute personne basée en Chine et dans d’autres pays hostiles d’accéder aux systèmes de cloud computing du Pentagone.

L'interdiction, inscrite dans la loi sur la politique de défense de 900 milliards de dollars, a été promulguée en réponse à une enquête de ProPublica cette année qui a révélé comment Microsoft a utilisé des ingénieurs basés en Chine pour entretenir les systèmes informatiques du ministère de la Défense pendant près d'une décennie – une pratique qui a laissé certaines des données les plus sensibles du pays vulnérables au piratage par son principal cyber-adversaire.

Les superviseurs basés aux États-Unis, appelés « escortes numériques », étaient censés servir de contrôle à ces employés étrangers, mais nous avons constaté qu’ils manquaient souvent de l’expertise nécessaire pour superviser efficacement des ingénieurs dotés de compétences techniques bien plus avancées.

Suite à ce reportage, les dirigeants du Congrès ont appelé le ministère de la Défense à renforcer ses exigences en matière de sécurité tout en critiquant Microsoft pour ce que certains républicains ont qualifié de « trahison nationale ». Des experts en cybersécurité et en renseignement ont déclaré à ProPublica que l'accord pose un risque majeur pour la sécurité nationale car les lois chinoises donnent aux autorités du pays de larges pouvoirs pour collecter des données.

Microsoft s'est engagé en juillet à cesser de faire appel à des ingénieurs basés en Chine pour maintenir les systèmes cloud du Pentagone après que le secrétaire à la Défense Pete Hegseth a publiquement condamné cette pratique. « Les ingénieurs étrangers – de n’importe quel pays, y compris la Chine, bien sûr – ne devraient JAMAIS être autorisés à maintenir ou à accéder aux systèmes du DoD », a écrit Hegseth sur X.

En septembre, le Pentagone a mis à jour ses exigences en matière de cybersécurité pour les entreprises technologiques, interdisant aux fournisseurs informatiques d'utiliser du personnel basé en Chine pour travailler sur les systèmes informatiques du ministère de la Défense. La nouvelle loi codifie effectivement ce changement et oblige Hegseth à interdire aux individus de Chine, de Russie, d’Iran et de Corée du Nord d’accéder directement ou indirectement aux systèmes informatiques en nuage du ministère de la Défense.

Microsoft a refusé de commenter la nouvelle loi. Suite aux changements antérieurs, un porte-parole a déclaré que l'entreprise “travaillerait avec nos partenaires de sécurité nationale pour évaluer et ajuster nos protocoles de sécurité à la lumière des nouvelles directives”.

La représentante Elise Stefanik, républicaine et membre de la commission des services armés de la Chambre des représentants, a salué ce développement, affirmant que cela « comble les lacunes des entrepreneurs… après que des entreprises comme Microsoft se sont avérées les avoir exploitées ». Le sénateur Tom Cotton, président républicain de la commission sénatoriale du renseignement qui a critiqué le géant de la technologie, a également salué la législation, affirmant qu'elle “comprend des efforts indispensables pour protéger les infrastructures critiques de notre pays, qui sont menacées par la Chine communiste et d'autres adversaires étrangers”.

La législation renforce également la surveillance du Congrès sur les pratiques de cybersécurité du Pentagone et exige que le secrétaire informe les commissions de défense du Congrès des changements au plus tard le 1er juin 2026. Par la suite, de telles séances d'information auront lieu chaque année pendant les trois prochaines années, y compris des mises à jour sur « l'efficacité des contrôles, les incidents de sécurité et les recommandations d'actions législatives ou administratives ».

Comme l'a rapporté ProPublica, Microsoft a initialement développé le programme d'accompagnement numérique pour contourner une exigence du ministère de la Défense selon laquelle les personnes manipulant des données sensibles doivent être des citoyens américains ou des résidents permanents.

La société a affirmé avoir divulgué le programme au Pentagone et que les escortes avaient reçu « une formation spécialisée sur la protection des données sensibles » et la prévention des dommages. Mais de hauts responsables du Pentagone ont déclaré qu'ils n'étaient pas au courant du programme de Microsoft jusqu'à ce que ProPublica rapporte.

Une copie du plan de sécurité que l'entreprise a soumis au ministère de la Défense en 2025 a montré que Microsoft avait omis des détails clés du programme compagnon et ne faisait aucune référence à ses opérations basées en Chine ou à ses ingénieurs étrangers.

Cet été, Hegseth a annoncé que le département avait ouvert une enquête pour déterminer si l'un des ingénieurs de Microsoft basés en Chine avait mis en danger la sécurité nationale. Il a également ordonné un nouvel audit par un tiers du programme d'escorte numérique de l'entreprise. Le Pentagone n'a pas répondu à une demande de commentaires sur l'état de ces enquêtes.