En tant que journaliste en cybersécurité chez ProPublica, une grande partie de mon travail au cours des deux dernières années s'est concentrée sur la façon dont le gouvernement fédéral et ses sous-traitants informatiques comme Microsoft ont fait face à des changements technologiques majeurs. Ce qui fait l’actualité chaque jour désormais, c’est l’intelligence artificielle.

Cette technologie émergente a tout le monde à sa portée : les particuliers, les entreprises et le gouvernement fédéral réclament tous de l’utiliser. Le président Donald Trump et son cabinet affirment que l’IA transformera la nation et nous rendra plus riches, plus efficaces et plus sûrs – si nous parvenons à l’adopter assez rapidement.

Mais ce message n'est pas nouveau. L’administration du président Barack Obama a utilisé à peu près le même langage il y a quinze ans, alors que les États-Unis se lançaient dans la révolution technologique du cloud computing.

J'ai examiné comment le gouvernement fédéral a géré – et mal géré – cette transition au cours des deux dernières décennies, et mes reportages proposent des mises en garde et des leçons précieuses alors que les décideurs politiques encouragent l'utilisation de l'IA et que les agences fédérales adoptent cette technologie.

Leçon 1 : Il n’y a pas de déjeuner gratuit

Alors: Au début des années 2020, une série de cyberattaques liées à la Russie, à la Chine et à l’Iran ont ébranlé le gouvernement fédéral. L’administration Biden a appelé les grandes entreprises technologiques à aider les États-Unis à renforcer leurs défenses. En réponse, le PDG de Microsoft, Satya Nadella, s'est engagé à fournir au gouvernement 150 millions de dollars en services techniques pour l'aider à améliorer sa sécurité numérique. Il proposait également une mise à niveau de sécurité « gratuite » aux clients gouvernementaux.

Maintenant: L’année dernière, l’administration Trump a annoncé une série d’accords avec des entreprises technologiques visant à aider les agences fédérales à « acquérir des outils d’IA d’entreprise à des prix avantageux pour le gouvernement ». Les agences pourraient utiliser ChatGPT d’OpenAI pour 1 $. Gemini de Google pour 47 cents. Grok de xAI pour 42 cents. Le gouvernement espérait que les bas prix permettraient « aux équipes fédérales d’acquérir plus facilement de puissantes capacités d’IA… pour améliorer l’exécution des missions et l’efficacité opérationnelle ».

Les plats à emporter : Soyez prudent avec les offres gratuites. Notre enquête sur l'engagement apparemment simple de Microsoft a révélé un programme plus complexe, axé sur le profit. Une fois les mises à niveau installées, les clients fédéraux seraient effectivement bloqués dans le système, car passer à un concurrent après l'essai gratuit serait fastidieux et coûteux. À ce stade, le client n’aurait d’autre choix que de payer des frais d’abonnement plus élevés. Le plan a fonctionné : un ancien vendeur de Microsoft m’a dit : « Ce fut un succès au-delà de ce qu’aucun d’entre nous aurait pu imaginer. » En réponse aux questions sur cet engagement, Microsoft a déclaré que son « seul objectif pendant cette période était de soutenir une demande urgente du gouvernement visant à améliorer la posture de sécurité des agences fédérales qui ont été continuellement ciblées par des acteurs de menace sophistiqués au niveau des États-nations ».

Les agences qui cherchent aujourd’hui à acheter des outils d’IA à des tarifs réduits doivent réfléchir à la manière dont les coûts pourraient augmenter plus tard. La General Services Administration prévient que les coûts d’utilisation de l’IA « peuvent augmenter rapidement sans contrôles de surveillance et de gestion adéquats » et conseille aux agences de « fixer des limites d’utilisation et d’examiner régulièrement les rapports d’utilisation ».

Leçon 2 : Les programmes de surveillance sont aussi efficaces que leurs ressources

Alors: Sous l’ère Obama, le gouvernement fédéral a transféré ses besoins informatiques et d’informations sensibles vers des centres de données détenus et exploités par des entreprises privées. Compte tenu des risques potentiels, le gouvernement a créé le Programme fédéral de gestion des risques et des autorisations (FedRAMP) en 2011 pour garantir la sécurité des services de cloud computing qu'il encourageait les agences américaines à utiliser.

Mais lors de ma récente enquête sur le programme, j'ai découvert qu'il n'était pas à la hauteur de Microsoft, ce qui a épuisé l'équipe FedRAMP pendant cinq ans alors que la société cherchait à obtenir le sceau d'approbation du programme pour une offre cloud majeure appelée GCC High. Malgré de graves problèmes de cybersécurité, FedRAMP a finalement approuvé le produit, en partie parce qu'il manquait de ressources pour aller de l'avant. En réponse aux questions, Microsoft m'a dit : « Nous restons fidèles à nos produits et aux mesures approfondies que nous avons prises pour garantir que tous les produits autorisés par FedRAMP répondent aux exigences de sécurité et de conformité nécessaires. »

Maintenant: Aujourd’hui, ce petit avant-poste au sein de la General Services Administration dispose d’encore moins de ressources pour superviser la technologie cloud sur laquelle s’appuie le gouvernement, y compris l’IA. FedRAMP affirme qu'elle fonctionne désormais « avec un minimum absolu de personnel d'assistance » et un « service client limité ». Le programme était l’un des premiers objectifs du Département de l’efficacité gouvernementale de l’administration Trump.

Les plats à emporter : FedRAMP, qui, selon un mémo de la Maison Blanche de 2024, devait être « un programme expert capable d'analyser et de valider les allégations de sécurité des fournisseurs de cloud », n'est désormais guère plus qu'un tampon pour l'industrie technologique, m'ont dit d'anciens employés. Alors que les agences fédérales adoptent des outils d’IA qui s’appuient sur des quantités d’informations sensibles, l’impact de cette réduction des effectifs sur la cybersécurité fédérale est considérable. Un porte-parole de la GSA a défendu le programme, affirmant que FedRAMP « fonctionne désormais avec des mécanismes de surveillance et de responsabilité améliorés ».

Leçon 3 : Les examens « indépendants » ne sont que dans certaines limites

Alors: Le gouvernement s’appuie depuis longtemps sur des experts dits tiers pour vérifier les affirmations en matière de sécurité des fournisseurs de services cloud tels que Microsoft et Google. En théorie, ces sociétés sont des experts indépendants qui fournissent à FedRAMP une recommandation indiquant si un produit répond aux normes fédérales. Mais en pratique, leur indépendance s’accompagne d’un astérisque : ils sont payés par les entreprises qu’ils évaluent.

Ma récente enquête a révélé que cette configuration crée un conflit d'intérêts inhérent. Selon un ancien évaluateur de FedRAMP, deux évaluateurs ont recommandé le produit GCC High de Microsoft, même s'ils n'ont pas pu l'examiner entièrement. L'une de ces sociétés n'a pas répondu à mes questions et l'autre a rejeté ce compte.

Nous avons constaté que FedRAMP est parfaitement conscient de la manière dont les accords financiers entre les sociétés cloud et leurs évaluateurs peuvent fausser les conclusions officielles sur les questions de cybersécurité. Le programme a même créé un « canal secondaire » pour encourager les évaluateurs à exprimer des préoccupations qu'ils n'auraient pas pu soulever autrement dans leurs rapports officiels, de peur de contrarier leurs clients technologiques et de perdre des affaires.

Maintenant: Alors que FedRAMP devient, comme l’a dit un ancien responsable de la GSA, un simple « pousseur de papier », ces sociétés d’évaluation tierces sont devenues encore plus importantes dans le processus d’examen. En réponse aux questions de ProPublica, la GSA a déclaré que le système FedRAMP « ne crée pas de conflit d'intérêts inhérent pour les auditeurs professionnels répondant aux attentes de performance éthiques et contractuelles ». Les questions sur la chaîne arrière de l'émission sont restées sans réponse.

Les plats à emporter : Le pendule est essentiellement revenu à l’époque pré-FEDRAMP, lorsque chaque agence fédérale était individuellement responsable de l’examen des produits qu’elle utilisait. La GSA m'a dit que le travail de FedRAMP est de « garantir que les agences disposent de suffisamment d'informations pour prendre ces décisions en matière de risques ». Le problème est que les agences manquent souvent de personnel et de ressources pour mener des audits approfondis, ce qui signifie que l'ensemble du système repose sur les affirmations des sociétés de cloud computing et sur les avis des sociétés tierces qu'elles paient pour effectuer l'examen.