Aux États-Unis, le puissant levier encore sous-exploité dans la compétition technologique mondiale réside dans les 774 milliards de dollars de dépenses annuelles liées aux achats publics fédéraux, selon les chiffres de 2024. Cette capacité d’achat, lorsqu’elle s’appuie sur des normes de sécurité automatisées et rigoureuses, pourrait orienter les alliés vers des solutions technologiques américaines nettement supérieures aux alternatives chinoises ou autres, non pas par pression diplomatique, mais grâce à leur mérite technique.
La Maison-Blanche a identifié ce potentiel. Son récent Plan d’action pour l’intelligence artificielle souligne l’importance d’une boîte à outils robuste pour les achats d’IA, tandis que le décret exécutif Policy-as-Code de juin 2025 ordonne aux agences fédérales d’automatiser les normes et la conformité en matière de sécurité. En renforçant cette base et en priorisant la recherche en sécurité via une coordination continue avec le National Institute of Standards and Technology (NIST), les États-Unis peuvent utiliser leurs exigences d’achat pour déterminer et automatiser les standards de sécurité essentiels aux infrastructures critiques.
En tant que responsable des politiques chez Dreadnode, une entreprise spécialisée dans l’IA offensive développant des outils de sécurité pour des clients publics et privés, je me trouve directement concernée par ce débat. Ma réflexion repose néanmoins sur mon expérience comme conseillère technique auprès du DARPA AI Cyber Challenge et ma recherche constante sur les solutions stratégiques pour relever les défis de cybersécurité à grande échelle.
À l’heure actuelle, la stratégie américaine face à la compétition technologique repose principalement sur des restrictions, plutôt que sur l’innovation. Pour préserver un ordre mondial favorable à sa puissance, Washington doit montrer la voie sur un marché technologique où les choix techniques conditionnent étroitement le positionnement géopolitique. L’avantage compétitif des États-Unis est donc de créer des standards de sécurité que les autres adopteront volontairement. Étendre la démarche Policy-as-Code des objets connectés grand public aux systèmes d’IA et aux infrastructures critiques permettra aux États-Unis de s’imposer par l’innovation, en faisant de la sécurité, la transparence et la résilience les socles de leur leadership technologique mondial.
Le contrôle des données, levier stratégique majeur
La récente attribution par l’Espagne d’un contrat de collecte de renseignement à Huawei pour 12,3 millions d’euros (14,2 millions de dollars) illustre un pari calculé. Malgré le mécontentement croissant au sein de la police nationale espagnole et de la Guardia Civil sur l’implication chinoise dans des systèmes sensibles, Madrid a sans doute préféré le prix compétitif et un compromis géopolitique visant à éviter d’éventuelles représailles des fournisseurs chinois dans un contexte de tensions internationales exacerbées.
Cette stratégie s’oppose cependant frontalement à celle de nombreux alliés de l’OTAN, qui développent une approche collective de sécurité contre l’infiltration technologique chinoise, notamment en raison d’attaques liées à la Chine ciblant des institutions européennes et la coopération au sein des structures de l’alliance occidentale. Le classement de Huawei en tant que fournisseur à haut risque par l’Union européenne et la mise sur liste noire des groupes de pression affiliés à l’entreprise ont poussé la majeure partie des pays européens à exclure ces fournisseurs risqués de leurs infrastructures.
Le contrôle de l’adversaire sur des infrastructures critiques entraîne des risques majeurs. Des mesures de sécurité opaques ou compromises ouvrent la voie à l’exfiltration malveillante de données sensibles en temps réel. Ces fuites peuvent paraître anodines isolément, mais elles précèdent souvent des manipulations, chantages ou attaques directes contre des réseaux civils et militaires. Comprendre les conversations privées ou les configurations des systèmes de sécurité permet à l’adversaire d’exécuter espionnage, campagnes de désinformation voire attaques ciblées contre des infrastructures essentielles.
Ce risque s’amplifie avec le virage de Huawei vers une infrastructure centrée sur l’IA pour traiter les communications interceptées, générant naturellement de multiples vecteurs d’attaque. Ces derniers incluent notamment la pollution des données, où l’intelligence chinoise pourrait fausser subtilement les données interceptées pour biaiser les analyses d’IA ; la reconnaissance de schémas, qui par l’accès aux systèmes de stockage des écoutes, révèle les priorités et méthodes des services espagnols ; ou encore la perturbation opérationnelle par compromission ou coupure à distance de l’infrastructure.
Les preuves de cyber-opérations liées à la Chine s’accumulent, notamment aux États-Unis. Des hackers chinois ont accédé de manière furtive à des infrastructures critiques américaines pendant jusqu’à cinq ans, se positionnant pour potentiellement perturber la technologie opérationnelle en cas de conflit. Ce constat a conduit à une coordination internationale inédite en juillet 2024, où huit nations alliées ont conjointement alerté sur des activités d’État chinoises dans leurs réseaux. En 2025, les tensions se sont accrues : le département de la Justice américain a inculpé 12 ressortissants chinois, tandis que Pékin a riposté publiquement en accusant pour la première fois trois hackers de la NSA, signalant une escalade mutuelle annonciatrice de cyberconflits futurs.
Le paysage des menaces a changé en profondeur : les attaques proviennent désormais de n’importe où, les adversaires compromettent des systèmes en quelques minutes alors que les défenses mettent des heures ou des semaines à réagir, et le cloud permet à des acteurs non étatiques d’obtenir un impact comparable à celui d’États. Le succès chinois repose sur une asymétrie critique : la Chine fusionne contrôle étatique et corporatif des données dans un même objectif stratégique, tandis que les États-Unis, avec leurs approches fragmentées entre agences et sous-traitants, laissent des failles exploitables. Le département de la Justice note que les hackers chinois ont pu occuper des réseaux américains plusieurs années précisément parce que les systèmes privilégiaient la fonctionnalité à l’architecture sécuritaire. Cette compétition bilatérale dépasse la sphère technologique, influant sur les valeurs, normes et comportements mondiaux et incitant chaque pays à renforcer sa souveraineté technologique face aux risques d’escalade sino-américaine.
La réforme des achats publics : un levier d’amélioration systémique
La réforme des achats publics fédéraux offre une voie directe pour combler ces vulnérabilités structurelles, à condition que les critères de sécurité soient mis en avant comme un avantage concurrentiel. Cette faille explique pourquoi les États-Unis doivent exploiter leur principal atout : la capacité d’innovation des entreprises technologiques américaines guidées par des exigences gouvernementales stratégiques.
L’ordonnance exécutive sur la cybersécurité de juin 2025, initiée sous l’administration Trump, représente une avancée majeure. La méthode Policy-as-Code transforme les politiques de sécurité écrites en code informatique capable de vérifier automatiquement la conformité. Plutôt que de recourir à des audits humains pour contrôler le respect de normes comme le Federal Information Security Modernization Act ou FedRAMP, un logiciel peut instantanément détecter les manquements. Dès janvier 2027, les agences ne pourront acheter que des objets connectés grand public dont le contrôle de sécurité est vérifiable automatiquement dans un format lisible par machine.
Ce changement illustre la prise de conscience que l’avantage compétitif américain réside dans des standards de sécurité évoluant à la vitesse des machines, non plus des humains, inaugurant une nouvelle ère d’évaluations plus rapides, précises et moins coûteuses. Si cette première étape concerne les objets connectés, la logique doit s’étendre aux systèmes d’IA et aux infrastructures cloud pour rivaliser avec l’approche globale chinoise, tout en poursuivant le soutien fédéral au NIST dans le développement de ces cadres de conformité.
L’impact dépasse largement le marché des contrats publics. Lorsque le gouvernement américain impose des normes de sécurité automatisées, il impose par effet de levier une adoption industrielle globale renforçant tout l’écosystème technologique. Toute entreprise amenée à vendre logiciels, services cloud ou objets connectés au secteur public devra démontrer que ses contrôles de sécurité sont basés sur des règles informatiques. Les entreprises anticipant Policy-as-Code bénéficieront d’un avantage concurrentiel dans un marché où les règles d’achat évolueront, tandis que celles qui tarderont verront leur part de marché diminuer avec la fin des audits manuels.
Plusieurs défis restent à prendre en compte. D’une part, le pouvoir d’achat : les 774 milliards de dollars de dépenses fédérales annuelles comprennent approximativement 95 milliards alloués aux investissements en technologies de l’information en 2024, dont 37 milliards par le Pentagone, sans compter les dépenses discrétionnaires. Cela établit une base d’investissement solide, avec un potentiel d’augmentation pour les technologies résilientes. D’autre part, une grande partie des fonds passe par des réseaux de sous-traitants établis, constituant un frein pour les entreprises innovantes dépourvues des ressources nécessaires pour gérer des processus manuels complexes de conformité. Remplacer ces audits manuels par des évaluations standardisées lisibles par machine élimine ces barrières favorisantes les grands groupes au détriment des petites sociétés innovantes. Enfin, des standards d’évaluation open-source pourraient instaurer des bases minimales de sécurité pour les applications à faible risque, permettant des avancées progressives et claires dans les exigences pour les applications à risque élevé, positionnant les sociétés pour une compétition basée sur le mérite sécuritaire plutôt que les capacités bureaucratiques.
Le calendrier est déjà fixé : les agences doivent piloter Policy-as-Code d’ici juin 2026, et les fournisseurs devront apposer des labels de sécurité lisibles par machine dès janvier 2027. Pour garantir l’efficacité, cette approche devra aussi alléger les processus lourds de gestion des correctifs et des remédiations. La construction et les tests d’un correctif de sécurité reposent encore souvent sur des revues et approbations manuelles, ainsi que des considérations juridiques importantes. Les efforts de recherche dans la détection automatique des vulnérabilités et leur correction, comme ceux soutenus par le DARPA AI Cyber Challenge, méritent davantage de financements et d’opportunités pour une mise en œuvre opérationnelle.
Les organisations qui traduiront les politiques en pipelines exécutables – avec surveillance continue des correctifs et vérification automatisée de la conformité – anticiperont la fermeture rapide des vulnérabilités, réduiront les coûts d’évaluation et pourront concourir en tant que partenaires de confiance. Ce modèle permet de résoudre les failles majeures, telles que la gestion tardive des correctifs qui ont laissé à la Chine un accès prolongé aux systèmes américains, mais uniquement si les standards automatisés requièrent un entretien continu de la sécurité : mise à jour rapide des logiciels, scans réguliers des vulnérabilités, supervision des accès et sauvegardes de données, et non de simples contrôles ponctuels.
Fixer des standards mondiaux par l’innovation
Les exigences du gouvernement américain en matière d’achats publics constituent un levier puissant pour établir des standards technologiques mondiaux, d’autant plus efficaces lorsqu’ils s’appuient sur des efforts ciblés de recherche et développement. Pourtant, la sécurité à elle seule ne garantit pas l’adoption dans des marchés globaux. L’histoire montre que beaucoup de technologies fondamentales d’Internet ont évolué sans protocoles sécuritaires robustes, jusqu’à ce que les marchés poussent à l’innovation. Par exemple, le réseau Internet fonctionnait sans sécurité véritable jusqu’à l’attaque du ver Morris en 1988, qui a déclenché une prise de conscience majeure et accéléré les recherches en sécurité numérique.
Les technologies sécurisantes ont souvent été développées par incitations économiques et collaboration industrielle : on pense aux pare-feux des années 1990 ou au protocole SSL en 1995, suivi du TLS en 1999. Ces modèles sécuritaires ou secure-by-design ont été adoptés à des degrés variables, selon leur impact sur les performances ou l’efficacité fonctionnelle.
La démarche Policy-as-Code reconnaît cette réalité en intégrant les exigences de sécurité dans des cas d’usage opérationnels clairs, assurant des bénéfices économiques. Plutôt que de demander aux alliés d’adopter la technologie pour des raisons purement sécuritaires, ce système d’évaluation automatisé offre des avantages concrets : réduction des coûts d’évaluation, accélération des procédures d’achat, et simplification de l’accès au marché. Quand la sécurité est indissociable de l’efficacité opérationnelle et de la compétitivité, son adoption suit une logique commerciale plus qu’une démarche militante.
L’avantage compétitif ainsi obtenu est durable car fondé sur l’innovation, non la restriction. Plutôt que de demander aux alliés de rejeter les fournisseurs chinois – un pari qui a échoué avec le contrat Huawei en Espagne – les États-Unis peuvent fournir des alternatives techniquement supérieures, plus sûres, transparentes et adaptables aux menaces évolutives. Cela construit ce que la pression diplomatique ne peut obtenir : une adoption volontaire des standards de sécurité américains par des alliés convaincus de leur valeur technique.
En se concentrant sur les capacités sécuritaires plus que sur le pays d’origine, cette stratégie contourne les objections liées aux barrières commerciales tout en encourageant la compétition mondiale. Les entreprises du monde entier peuvent rivaliser en se conformant aux standards américains, déclenchant une course vers l’excellence qui garantit la primauté de la sécurité tout en posant les bases d’une infrastructure numérique mondiale sûre.
Conclusion
Le contrat de 12,3 millions d’euros accordé à Huawei par l’Espagne, malgré les avertissements des alliés et la classification européenne de l’entreprise comme « haut risque », révèle la limite fondamentale de la stratégie américaine basée uniquement sur la restriction technologique. En incitant au contraire au développement de systèmes résilients, les États-Unis renforcent la sécurité collective avec partenaires et alliés. Cette stratégie prépare un leadership américain fondé sur une défense cybernétique collaborative, où le soft power s’exprime par la facilitation de solutions communes aux défis sécuritaires partagés.
La manne des 774 milliards de dollars liés aux achats publics fédéraux offre une voie alternative. En adoptant Policy-as-Code et des normes de sécurité qui seront indissociables de l’efficacité opérationnelle, les États-Unis peuvent façonner une technologie que leurs alliés choisiront d’adopter. La course à la suprématie technologique se remportera non par l’exclusion des compétiteurs, mais par l’innovation de solutions répondant aux défis sécuritaires communs.
Cette approche transforme la plus grande vulnérabilité américaine – la sécurité fragmentée entre agences et sous-traitants – en sa force principale : l’innovation des sociétés technologiques américaines soutenues par des exigences gouvernementales stratégiques. Lorsque la sécurité devient automatisée, scalable et économiquement avantageuse, la compétition évolue d’une bataille pour restreindre les adversaires à une course à l’innovation que d’autres veulent adopter. À une époque où les choix technologiques déterminent le positionnement géopolitique, le leadership par l’innovation demeure le plus solide avantage concurrentiel américain.
Daria Bahrami dirige la politique chez Dreadnode, une startup spécialisée dans la sécurité offensive par intelligence artificielle. Elle supervise les initiatives stratégiques à l’intersection de l’IA et de la cybersécurité. Elle a été conseillère technique pour le DARPA AI Cyber Challenge, analyste principale en cyber renseignement chez Deloitte Global, et gestionnaire de programme pour la cybersécurité et les menaces émergentes au R Street Institute. Diplômée de la School of Foreign Service de l’Université de Georgetown, elle se concentre sur les politiques de sécurité militaire, cyber et spatiale.