Alors que les États-Unis modernisent leurs infrastructures et réseaux de transport, la cybersécurité doit s’imposer comme une priorité majeure pour protéger ces systèmes vitaux. Sept ans après un premier plaidoyer en ce sens, le point sur les risques, les défis et les progrès réalisés en 2025.
En 2018, Andrew Grotto soulignait déjà l’impératif pour les États-Unis de traiter la cybersécurité avec la même rigueur que les menaces traditionnelles. Depuis, alors que la technologie prend une place toujours plus prégnante dans la vie quotidienne, la gestion des risques cyber n’a pas considérablement progressé malgré une prise de conscience constante.
Les dirigeants d’entreprise demeurent très préoccupés par les cyberrisques, mais cette inquiétude de longue date n’a pas encore donné lieu à des résultats tangibles. Un exemple emblématique est la multiplication des vulnérabilités zero-day dans des logiciels couramment utilisés, un phénomène aggravé ces dernières années. Cette situation reflète un manque d’incitations fortes pour les fournisseurs afin d’améliorer la sécurité de leurs produits. Par ailleurs, les attaques par ransomware continuent de croître chaque année, signalant que les organisations peinent toujours à se protéger efficacement face à ces menaces.
Il est cependant complexe de mesurer précisément la cybersécurité, les données disponibles étant insuffisantes et sujettes à bruit. La sophistication croissante des logiciels et la valeur stratégique des nouvelles failles expliquent en partie cette escalade des zero-days. Toutefois, certains fournisseurs sont manifestement plus vulnérables que d’autres, ce qui montre qu’ils peuvent influencer cette dynamique.
La sécurité reste un investissement coûteux. Pour les éditeurs de technologies, elle ralentit souvent la sortie de fonctionnalités innovantes. Côté clients, notamment dans les infrastructures critiques, la cybersécurité est perçue comme un centre de coûts et non une source de revenus. Tant que le marché ne valorisera pas à sa juste mesure cet investissement, les fournisseurs et leurs clients ne lui accorderont pas la priorité nécessaire. Aujourd’hui encore, cette évolution n’a pas eu lieu à l’échelle requise pour renforcer significativement la résilience du cyberespace américain.
L’intelligence artificielle pourrait-elle bouleverser cet équilibre ? Sans doute, mais il est trop tôt pour évaluer si son impact sera globalement positif ou négatif pour la cybersécurité.
Concernant les réseaux de transport, vous aviez mis en lumière les faiblesses du système ferroviaire de Washington D.C., un secteur crucial en cas de conflit. Quels sont aujourd’hui les maillons les plus vulnérables des réseaux ferroviaires et de transport américains, et quelle est leur importance stratégique ?
Les lignes de fret commerciales qui assurent la circulation des personnes et surtout des équipements depuis les bases militaires américaines sont des artères essentielles dans le dispositif logistique du Pentagone. Ces infrastructures constituent des cibles privilégiées pour un adversaire cherchant à ralentir une mobilisation militaire.
Il faut souligner que la plupart des bases militaires américaines dépendent de services d’infrastructures civiles — notamment pour le rail, l’électricité, l’eau et autres services indispensables — qu’elles obtiennent via des contrats de fourniture.
En novembre dernier, la première phase du nouveau système de Certification de Maturité en Cybersécurité (Cybersecurity Maturity Model Certification) du Pentagone est entrée en vigueur pour les sous-traitants de la Défense. Cette certification ne s’applique cependant qu’aux systèmes gérant des informations non classifiées contrôlées. Les systèmes numériques qui commandent des équipements opérationnels, comme la répartition des charges sur un réseau électrique ou la gestion des aiguillages ferroviaires — appelés technologies opérationnelles — ne sont généralement pas concernés. Ce vide réglementaire est pointé comme une lacune majeure. Il est crucial que le Pentagone travaille avec l’industrie pour définir des normes de cybersécurité adaptées à ces technologies, intégrables dans les contrats d’approvisionnement.
Avec le recul, que modifieriez-vous dans votre analyse initiale ?
Je mettrais davantage l’accent sur la dépendance des États-Unis à l’égard de la puissance manufacturière chinoise. La Chine représente une superpuissance industrielle capable d’exercer un levier coercitif important sur une large partie du secteur industriel américain, que ce soit via des attaques cybernétiques sur les infrastructures critiques ou en perturbant les chaînes d’approvisionnement, notamment en matières premières stratégiques.
Heureusement, la situation liée au métro de Washington D.C., dont j’évoquais le cas en 2018, semble évoluer favorablement. Suite à mon article, la Washington Metropolitan Area Transit Authority (WMATA) a retiré et révisé son appel d’offres initial après l’alerte lancée par l’un de ses directeurs, David Horner. En 2021, la WMATA a signé un contrat de 2,2 milliards de dollars avec le groupe japonais Hitachi pour fournir les nouvelles rames, avec une clause exigeant leur fabrication sur le sol américain.
***
Andrew J. Grotto est fondateur et codirecteur du Programme Géopolitique, Technologie et Gouvernance à l’université de Stanford, ainsi que chercheur invité à la Hoover Institution. Il supervise également la filière Cybersécurité et Politique au sein du master en politique internationale et enseigne le cours fondamental du programme. Il a précédemment été directeur principal pour la politique cyber au Conseil de Sécurité Nationale dans les administrations Obama et Trump I.