La Cybersecurity and Infrastructure Security Agency (CISA) est la principale force de cyberdéfense du gouvernement américain. Mais ce statut ne l'a pas protégé pour autant : la CISA a été ravagée par les mesures d'austérité de l'administration Trump. Ces mesures ont entraîné le démantèlement de l'expertise et du leadership de la CISA en matière de cybersécurité et d'IA. Un rapport révèle que la CISA a perdu presque tous ses hauts cadres. Plusieurs des principaux dirigeants des divisions opérationnelles de la CISA ont quitté ou quitteront bientôt l'agence. Certains programmes ont été mis en veille ou abandonnés, malgré l'accroissement des menaces cybernétiques.Les coupes budgétaires et licenciements au sein de la CISA ont considérablement affaibli ses capacités. Ces mesures ont été mises en œuvre par le département de l'efficacité gouvernementale (DOGE) dans le cadre d'une politique de réduction des dépenses et de la taille du gouvernement fédéral. Depuis sa création en janvier 2025, le DOGE était dirigé par Elon Musk, mais il vient de se retirer son départ pour se concentrer sur ses entreprises en difficulté.
Selon un courriel interne obtenu par Cybersecurity Dive, la quasi-totalité des hauts responsables de la CISA a déjà quitté l'agence ou le fera à la fin de ce mois, ce qui ne fait qu'aggraver le manque d'expertise et de leadership au sein de la principale force de cyberdéfense du gouvernement.
Dans un courriel adressé au personnel le 22 mai, le nouveau directeur adjoint de la CISA, Madhu Gottumukkala, a annoncé que cinq des six divisions opérationnelles de la CISA et six de ses dix bureaux régionaux auront perdu leurs principaux dirigeants d'ici la fin du mois. En raison de l'impact de ces mesures, le DOGE d'Elon Musk a été accusé de démanteler de l'intérieur les défenses cybernétiques des États-Unis sous prétexte de faire des économies.
Le courriel indique que les responsables des équipes de terrain de la CISA qui partent bientôt ou qui sont partis récemment sont : le directeur de la région 2, John Durkin, le directeur de la région 4, Jay Gamble, le directeur de la région 5, Alex Joves, et la directrice adjointe, Kathy Young, le directeur de la région 6, Rob Russell, le directeur de la région 7, Phil Kirk, et le directeur de la région 10, Patrick Massey. La CISA se vide de toute son expertise.
Steve Harris, chef intérimaire de la division de la sécurité des infrastructures, est parti le 16 mai, et Trent Frazier, chef intérimaire de la division de l'engagement des parties prenantes, est parti le 2 mai. Vince Delaurentis, numéro 2 de la division des communications d'urgence, partira le 30 mai. Sont confirmés les départs précédents de Matt Hartman, numéro 2 de la division de la cybersécurité, et de Boyden Rohner, chef de la division des opérations intégrées.
Risques liés au démantèlement d'une agence comme la CISA
Les superviseurs régionaux et les équipes qui leur rendent compte ont joué un rôle important dans l'expansion de la présence de la CISA sur le plan national, dans la sensibilisation de ses partenaires aux services qu'elle offre et dans le renforcement de sa réputation en tant que source fiable d'expertise et de soutien. Outre les départs susmentionnés, le courriel indique que de nombreux responsables administratifs de la CISA partent également.
Le directeur de la stratégie, Val Cofield, et le directeur financier, Tarek Abboushi, partiront le 30 mai, tandis que le directeur des contrats, Juan Arratia, est parti le 16 mai et le directeur du capital humain, Blair Duncan, le 2 mai. Selon un employé de la CISA, qui a requis l'anonymat pour discuter des tensions internes, parmi les personnes qui quittent l'agence, plusieurs sont des dirigeants qui sont là depuis l'époque de l'US-CERT, dissous en 2023.
« Il y a beaucoup d'anxiété quant au moment où les coupes et les départs vont enfin cesser et où nous pourrons aller de l'avant en tant qu'agence », a-t-il déclaré. En outre, la CISA aurait mis fin à ses travaux sur l'IA, licenciant environ 50 % de ses experts dans ce domaine et fermant le bureau de la chef de la division de l'IA, Lisa Einstein. Ces mesures compromettent la capacité de l'agence à anticiper et contrer les menaces émergentes liées à l'IA.
Le départ de ces dirigeants pourrait nuire à l'efficacité et à la clarté stratégique des partenariats de la CISA avec les opérateurs d'infrastructures critiques, les entreprises de sécurité privées, les alliés étrangers, les gouvernements des États et les responsables locaux de la gestion des situations d'urgence.
Ces changements interviennent dans un contexte de menaces cybernétiques accrues. Des experts en sécurité et d'anciens cadres de la CISA expriment leur inquiétude quant à l'impact de ces départs sur la capacité de l'agence à défendre le pays contre ces menaces. Le démantèlement de la CISA est perçu comme une fragilisation des défenses cybernétiques des États-Unis, laissant le pays vulnérable face à des adversaires de plus en plus sophistiqués.
Le départ de ces cadres clés met en péril l'avenir de l'agence
« La CISA devient de plus en plus faible et pourrait bien disparaître si l'administration Trump ne réajuste pas rapidement sa politique vis-à-vis de l'agence. Autrefois leader mondial dans presque tous les domaines, les États-Unis sont aujourd'hui en retrait. L'administration Trump semble décidée à réduire à néant notre cyberdéfense », a écrit un critique. Toutefois, Bridget Bean, directrice exécutive de la CISA, reste confiante dans les capacités de l'agence.
« La CISA redouble d'efforts pour remplir sa mission statutaire qui consiste à sécuriser les infrastructures critiques du pays et à renforcer notre cyberdéfense collective. Nous avons été créés pour être l'agence de cybersécurité de la nation, et nous avons la bonne équipe en place pour remplir cette mission et veiller à ce que nous soyons prêts à faire face à toute une série de cybermenaces de la part de nos adversaires », a déclaré Bridget Bean.
Madhu Gottumukkala, qui a succédé à Bridget Bean au poste de directeur par intérim dès son arrivée le 19 mai, a déclaré aux employés qu'il avait été « inspiré par le travail essentiel que cette agence accomplit chaque jour » au cours de sa première semaine de travail. Mais à l'intérieur comme à l'extérieur de la CISA, les récents départs ont alimenté des inquiétudes quant à l'avenir de l'agence. Selon les critiques, il sera difficile de combler ce vide.
« On a l'impression que ce ne sont pas les bonnes personnes qui partent. Tous ces départs donnent l'impression que les gens quittent la mission et créent un vide », a déclaré un employé de la CISA. Suzanne Spaulding, qui a dirigé le prédécesseur de la CISA au sein du ministère de la Sécurité intérieure de 2011 à 2017, a déclaré qu'il était « triste et exaspérant de voir tant d'expertise et de connaissances institutionnelles poussées vers la sortie ».
« La perte de ces dirigeants, y compris des dirigeants à travers le pays qui travaillent tous les jours avec les propriétaires et les opérateurs d'infrastructures critiques, laissera la nation moins sûre et moins résiliente », a déclaré Suzanne Spaulding. Cela expose le pays des cyberattaques dévastatrices.
D'autres agences spécialisées en cybersécurité ont aussi pâti
L'administration Trump a également démantelé systématiquement des organes consultatifs essentiels en matière de cybersécurité. En particulier, le Cyber Safety Review Board (CSRB), créé sous l'administration Biden pour enquêter sur les incidents cybernétiques majeurs, a été dissous en mettant fin aux fonctions de tous ses membres. Cette décision a interrompu les enquêtes sur les cyberattaques importantes, notamment les piratages chinois « Salt Typhoon ».
Les attaques du groupe « Salt Typhoon » visaient également Donald Trump et le vice-président JD Vance, mais pour une raison ou une autre, ils ne semblent pas s'en inquiéter. Qui devrait donc être chargé de protéger les ressources cybernétiques des États-Unis ? Les États et les collectivités locales.
Donald Trump a transféré la responsabilité de la défense cybernétique aux États et aux particuliers, une décision que les experts jugent irréaliste et dangereuse. Les programmes et subventions fédéraux en matière de cybersécurité ont été vidés de leur substance, tandis que les systèmes sensibles ont été exposés à des menaces internes. Les experts ont averti que ce sabotage délibéré pourrait conduire à des cyberattaques dévastatrices affectant les États-Unis.
Le décret indique : « la préparation est plus efficace lorsqu'elle est prise en charge et gérée au niveau de l'État, au niveau local et même au niveau individuel, avec le soutien d'un gouvernement fédéral compétent, accessible et efficace. Les citoyens sont les bénéficiaires immédiats de décisions et d'investissements locaux judicieux conçus pour faire face aux risques, notamment les cyberattaques, les incendies de forêt, les ouragans et la météorologie spatiale ».
Selon certains analystes, ce texte prépare le terrain pour se débarrasser de la Federal Emergency Management Administration (FEMA). Ils avertissent que les 50 États et les collectivités locales n'ont pas suffisamment de moyens pour embaucher des experts en sécurité informatique qualifiés. Cela pourrait entraîner une dispersion des ressources et des efforts. À la longue, cette situation pourrait se révéler inefficace dans la lutte contre les menaces cybernétiques.
[B][SIZE=3]Le DOGE perçu[/size=3]...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.