Comment une entreprise américaine de la taille de Microsoft a-t-elle fini par confier la maintenance de services sensibles du ministère de la Défense américain à des ingénieurs basés en Chine ? Et surtout, pourquoi les dispositifs mis en place pour garantir la sécurité de ces interventions n’ont-ils pas suffi ? Cette révélation, issue d’une enquête de Pro Publica, soulève de sérieuses questions sur les pratiques de cybersécurité de géants technologiques au service d’institutions stratégiques.
Selon le rapport, la plateforme cloud de Microsoft utilisée par le DoD bénéficiait d’une maintenance fournie, au moins en partie, par des ingénieurs chinois. Officiellement, des « escortes numériques », des citoyens américains bénéficiant d’une habilitation de sécurité, devaient superviser à distance tous les accès sensibles. Pourtant, peut-on vraiment s’assurer que cette surveillance était effectivement opérationnelle et efficace, surtout lorsque les compétences techniques des superviseurs étaient parfois insuffisantes pour comprendre toutes les actions réalisées ?
La faille était donc double. D’un côté, une dépendance à des compétences externalisées en Chine ; de l’autre, un dispositif de supervision dont la compétence technique semble avoir été sous-évaluée. Avec un tel cocktail, le risque de fuite ou de compromission potentielle de données sensibles devenait-il inévitable ?
La sécurité informatique ne se résume-t-elle qu’à une affaire de procédures ou devrait-elle aussi être une question de compétences réelles ?
Face au tollé déclenché par la publication du rapport, la réaction du Pentagone a été rapide. Sur X (ex-Twitter), le secrétaire à la Défense Pete Hegseth n’a pas mâché ses mots : « Des ingénieurs étrangers – de n’importe quel pays, y compris bien sûr la Chine – ne devraient JAMAIS accéder ou assurer la maintenance de systèmes du ministère de la Défense. » L’indignation est-elle proportionnelle à la prise de conscience du risque encouru ?
Pour tenter de rassurer, Microsoft a réagi à son tour. Frank X. Shaw, responsable de la communication de la firme, a annoncé que, suite à ces alertes, Microsoft « a pris les mesures nécessaires pour s’assurer qu’aucune équipe d’ingénierie basée en Chine n’apporte désormais d’assistance technique pour les clouds et services associés au gouvernement américain, en particulier au DoD. » Peut-on vraiment croire qu’il s’agit d’un simple incident, ou s’agit-il d’une faille structurelle plus profonde dans la chaîne de sous-traitance qui relie le secteur technologique américain à la Chine ?
Alors que la tension géopolitique entre Washington et Pékin ne cesse de croître, l’affaire révèle la fragilité d’une certaine globalisation technique, où l’efficacité économique a parfois pris le pas sur la sécurité nationale. Microsoft, véritable colonne vertébrale du cloud américain, pourra-t-il restaurer la confiance de ses clients institutionnels après un tel aveu de faiblesse dans le contrôle de ses équipes internationales ?
À l’heure où les enjeux de cybersécurité dépassent largement le cadre national, comment s’assurer que des scénarios similaires ne se reproduiront pas ailleurs, dans d’autres entreprises ou agences publiques ?
Source : Techcrunch
