Trump fait exploser la cybersécurité : un revirement politique majeur qui enterre l'héritage de Biden

Trump fait exploser la cybersécurité : un revirement politique majeur qui enterre l'héritage de Biden

Le 6 juin 2025, le président Donald Trump a signé un décret exécutif sur la cybersécurité marquant un virage radical par rapport aux politiques de l'ère Biden. Ce décret, intitulé 'Soutenir certains efforts pour renforcer la cybersécurité nationale et modifier les décrets 13694 et 14144', abroge plusieurs mesures clés de l'administration précédente concernant l'identité numérique et la conformité logicielle.

Ce revirement intervient moins de 24 heures après une altercation publique entre Trump et Elon Musk. Le décret modifie fondamentalement le cadre de cybersécurité établi par Biden en janvier 2025, privilégiant le pragmatisme opérationnel plutôt que l'expansion réglementaire. Cette décision survient alors que la nomination de Sean Plankey à la tête de la CISA (Cybersecurity and Infrastructure Security Agency) est bloquée par des manœuvres politiques.

Le décret de Trump répond directement au dernier acte de Biden en matière de cybersécurité. Le 16 janvier 2025, quatre jours avant l'investiture de Trump, Biden avait publié le décret 14144 visant à renforcer la sécurité de la chaîne d'approvisionnement logicielle et à accélérer l'adoption de la cryptographie post-quantique. Trump qualifie ces mesures de 'problématiques et distractives', les accusant d'avoir été 'glissées en douce' à la fin du mandat de Biden.

Principaux changements introduits par le décret de Trump : 1. Attribution des menaces : Identification explicite de la Chine comme principale menace cybernétique, ainsi que de la Russie, l'Iran et la Corée du Nord. 2. Sécurité logicielle : Abandon des attestations obligatoires au profit de guides volontaires du NIST. 3. Identité numérique : Annulation complète des initiatives d'identité numérique fédérale, citant des risques de fraude. 4. IA en cybersécurité : Recentrage sur la gestion des vulnérabilités plutôt que sur la collaboration. 5. Cryptographie post-quantique : Simplification du calendrier avec des échéances en 2025 et 2030. 6. Sanctions cybernétiques : Limitation aux acteurs étrangers, excluant explicitement l'activité politique intérieure.

Conséquences pour l'industrie et le gouvernement : Les entrepreneurs fédéraux bénéficieront d'allègements réglementaires, tandis que les gouvernements locaux gagneront en autonomie. Cependant, l'abandon des cadres de conformité standardisés crée des incertitudes pour les entreprises, notamment concernant les risques liés aux identités machines. Kevin Bocek de CyberArk souligne que les identités machines surpassent désormais les identités humaines 82 à 1, avec 68% des organisations manquant de contrôles de sécurité adaptés.

Le revirement sur l'identité numérique marque un rejet de l'infrastructure centralisée, tandis que la nouvelle approche de l'IA privilégie la gestion des risques plutôt que l'innovation. Ce décret s'inscrit dans le cadre plus large du 'Projet 2025', préfigurant d'autres réformes dans les capacités cybernétiques offensives et la résilience des infrastructures. Il signale une réorientation stratégique où la cybersécurité devient une question de souveraineté nationale plus que de simple conformité.