L’armée américaine a alloué environ 30 milliards de dollars à la cybersécurité en 2025

Lucas Morel

La NDAA 2025 fournit à l’armée américaine des fonds pour retirer les équipements chinois des réseaux de télécommunications, protéger les appareils mobiles contre les logiciels espions étrangers, créer un centre de sécurité de l’IA, et bien plus encore.

L’armée américaine recevra environ 30 milliards de dollars de financement pour la cybersécurité au cours de l’exercice 2025, sur les 895,2 milliards de dollars réservés aux activités militaires américaines en vertu de la National Defense Authorization Act (NDAA), une loi annuelle incontournable signée par le président Joe Biden le mois dernier.

Le budget du projet de loi de près de 1 000 pages ne permet pas de calculer clairement et rapidement quelle part du financement total est consacrée aux activités de cybersécurité. Cependant, à titre indicatif, le budget annuel proposé par l’administration pour l’exercice 2025 NDAA, publié en mars, allouait environ 30 milliards de dollars aux efforts militaires totaux en matière de cybersécurité. La législation finale ne s’écartait probablement pas sensiblement de ce niveau.

Comme chaque année, le projet de loi est rempli de dizaines de dispositions majeures et mineures liées à la cybersécurité. Les dispositions les plus substantielles du projet de loi vont des postes de dépenses majeurs visant à remplacer la technologie chinoise potentiellement problématique dans les réseaux de télécommunications, à la protection des employés du DoD contre les logiciels espions étrangers, à la création d’un centre de sécurité de l’intelligence artificielle et bien plus encore.

Comme c’est également le cas chaque année, la NDAA a omis des dispositions que certains s’attendaient à voir apparaître dans le projet de loi, notamment une qui garantissait le financement continu d’un effort du Département d’État visant à traquer la désinformation des adversaires étrangers. Une autre omission donne à la nouvelle administration Trump plus de pouvoir pour espionner les citoyens américains qu’elle considère comme des adversaires.

Dispositions clés en matière de cybersécurité dans la NDAA 2025

Les dispositions relatives aux dépenses en matière de cybersécurité sont dispersées dans la NDAA, avec des références à la création de systèmes militaires numériques plus sécurisés ou à l’établissement d’alliances internationales appelant à une plus grande collaboration en matière de cybersécurité apparaissant dans toute la législation.

Les résumés suivants mettent en évidence certaines des dispositions de cybersécurité les plus importantes et les plus remarquables de la NDAA :

3 milliards de dollars alloués pour combler le déficit de remplacement des équipements chinois

La NDAA a accordé à la Commission fédérale des communications des États-Unis près de 5 milliards de dollars pour aider les sociétés de télécommunications locales à retirer et à remplacer ce qui pourrait poser problème aux équipements fabriqués par les fournisseurs de technologie chinois, notamment Huawei et ZTE. Ce financement compense un déficit de 3 milliards de dollars qui s’est produit alors que le Congrès n’avait initialement accordé que 1,9 milliard de dollars à cette fin.

Protéger les appareils mobiles du DoD contre la prolifération et l’utilisation de logiciels espions commerciaux étrangers

Le projet de loi vise à protéger les appareils mobiles militaires, notamment les smartphones, les tablettes et les ordinateurs portables, contre les logiciels espions commerciaux étrangers. Il ordonne aux agences gouvernementales compétentes de publier des normes, des directives, des meilleures pratiques et des politiques à l’intention du personnel du Département et de l’Agence des États-Unis pour le développement international (USAID) afin de protéger les appareils couverts contre la compromission par des logiciels espions commerciaux étrangers.

Il ordonne en outre à ces agences d’examiner les processus utilisés par le Département et l’USAID pour identifier et cataloguer les cas où un appareil couvert a été compromis par un logiciel espion commercial étranger au cours des deux années précédentes, entraînant une divulgation non autorisée d’informations sensibles. En outre, il exige que ces agences soumettent aux commissions compétentes du Congrès un rapport éventuellement classifié sur les mesures visant à identifier et cataloguer les cas de telles compromission par des logiciels espions commerciaux étrangers.

Créer un cadre de risque pour les applications mobiles étrangères :

La législation exige que le responsable de l’information du ministère de la Défense, en coordination avec le sous-secrétaire à la défense chargé du renseignement et de la sécurité, crée un rapport sur la faisabilité et l’opportunité de développer un cadre de risque pour les appareils mobiles personnels et les applications mobiles du personnel du ministère de la Défense.

Le cadre devrait inclure la collecte, la conservation, la vente et l’utilisation abusive potentielle des données, l’exposition à la désinformation et à la désinformation, la nomenclature des logiciels et l’origine des applications auprès des gouvernements de la Fédération de Russie, de la République populaire de Chine, de la République islamique d’Iran ou République populaire démocratique de Corée.

Création d’un centre de sécurité de l’intelligence artificielle

La NDAA contient de nombreuses dispositions liées à l’intelligence artificielle, dont beaucoup touchent à des questions de sécurité. Cependant, une disposition relative à l’IA se démarque : une initiative qui ordonne au directeur de l’Agence nationale de sécurité d’établir un centre de sécurité de l’intelligence artificielle au sein du Centre de collaboration de l’agence.

Le centre d’IA aura pour fonction d’élaborer des orientations visant à prévenir ou à atténuer les « techniques de contre-intelligence artificielle », définies comme « des techniques ou des procédures permettant d’extraire des informations sur le comportement ou les caractéristiques d’un système d’intelligence artificielle, ou d’apprendre à manipuler un système d’intelligence artificielle. , afin de porter atteinte à la confidentialité, à l’intégrité ou à la disponibilité d’un système d’intelligence artificielle ou d’un système adjacent. Son autre mandat clair est de promouvoir des pratiques sécurisées d’adoption de l’intelligence artificielle auprès des gestionnaires des systèmes de sécurité nationale.

Évaluation indépendante de la nécessité d’une cyberforce

Le projet de loi appelle les Académies nationales des sciences, de l’ingénierie et de la médecine à évaluer des modèles organisationnels alternatifs pour les cyberforces des forces armées américaines. Cette disposition est un clin d’œil à l’idée fréquemment défendue selon laquelle les États-Unis devraient disposer d’une cyberforce indépendante fonctionnant sur un pied d’égalité avec les autres forces armées.

L’évaluation des modèles alternatifs devrait inclure, entre autres choses, l’affinement et l’évolution de l’approche organisationnelle actuelle des cyberforces des forces armées, la faisabilité et l’opportunité de créer une cyberforce armée distincte au sein du ministère de la Défense, et l’examen de l’adoption. ou l’adaptation de modèles organisationnels alternatifs pour les cyberforces des forces armées américaines.

Après leur évaluation, les académies nationales doivent présenter un rapport de consensus aux comités de défense du Congrès contenant leur évaluation des modèles organisationnels alternatifs.

Faire du réseau d’information du quartier général de la force interarmées et du ministère de la Défense un commandement unifié subordonné sous le Cyber ​​Command américain

La NDAA désigne le Joint Force Quarter-Department of Defense Information Networks (JFHQ-DODIN) responsable de la défense des réseaux du Pentagone dans le monde entier, un « commandement unifié subordonné » relevant de l’US Cyber ​​Command, faisant de JFHQ-DODIN l’organisation principale pour les opérations de réseau, la sécurité. , et la défense du réseau d’information du DoD.

Déclarer les auteurs de ransomwares et les États-nations qui les hébergent comme des cyberacteurs étrangers hostiles

Le projet de loi contient des termes qui élèvent essentiellement les attaques de ransomware au niveau du terrorisme en proclamant les organisations étrangères de ransomware et les filiales étrangères qui leur sont associées comme des cyberacteurs étrangers hostiles, étendant cette désignation aux États-nations qui dirigent ou hébergent ces acteurs.

Considérer les menaces de ransomware contre les infrastructures critiques comme une priorité nationale en matière de renseignement

La NDAA contient un libellé considérant les menaces de ransomware contre les infrastructures critiques comme une priorité nationale en matière de renseignement dans le cadre du cadre national des priorités en matière de renseignement. Il exige que le directeur du renseignement national, en consultation avec le directeur du FBI, soumette un rapport aux commissions compétentes du Congrès sur les implications de la menace des ransomwares pour la sécurité nationale américaine.

Étude du GAO sur la perturbation intentionnelle du système d’espace aérien national

Le projet de loi exige que le Government Accountability Office mène une étude et publie un rapport sur la vulnérabilité du système d’espace aérien national aux opérations perturbatrices potentielles de la part d’adversaires américains qui pourraient exploiter le spectre électromagnétique et les vulnérabilités de sécurité du système de communication, de reporting et d’adressage des avions et Communications de liaison de données pilote-contrôleur. Le rapport est destiné à devenir public, toute information classifiée étant omise.

Limitation des fonds pour l’architecture conjointe de lutte contre la cyberguerre

La NDAA cesse ou limite le financement des composants militaires de l’architecture conjointe de cyber-guerre (JCWA) jusqu’à ce que le commandant du Cyber ​​Command américain soumette un plan pour la prochaine itération du développement de la JCWA. Le JCWA est un système logiciel qui fournit des cyberoutils et des capacités à la Cyber ​​Mission Force.

Deux omissions flagrantes dans la législation

Malgré les nombreuses dispositions de grande envergure en matière de cybersécurité contenues dans la NDAA, la législation manquait de deux dispositions cruciales et anticipées.

Le premier était le manque de financement continu du Centre d’engagement mondial (GEC) du Département d’État, qui a été contraint de fermer ses portes le 26 décembre 2024 en raison d’un manque de financement. Le mandat du GEC était de servir « d’organisme axé sur les données et dirigeant les efforts interinstitutionnels américains pour répondre de manière proactive aux tentatives des adversaires étrangers de saper les intérêts américains en utilisant la désinformation et la propagande ».

Le groupe a été pris pour cible par des militants de droite, notamment Elon Musk, des procureurs généraux républicains des États américains et d’autres qui ont accusé le GEC de supprimer la « liberté d’expression ».

Une autre omission importante du projet de loi est l’incapacité du Congrès à restreindre l’expansion significative d’un programme de surveillance américain controversé, l’article 702 du Foreign Intelligence Surveillance Act (FISA).

Les groupes de défense des libertés civiles ont poussé les législateurs à combler une lacune dans la législation qui a réautorisé la FISA au début de l’année dernière. Cette faille a perpétué le droit des forces de l’ordre d’interroger sans mandat les bases de données FISA des agences de renseignement sur les communications des personnes américaines.

L’incapacité du gouvernement américain à contrôler la capacité du gouvernement américain à accéder aux appels sur écoute entre Américains et étrangers à l’étranger donne désormais à l’administration Trump des pouvoirs extraordinaires pour espionner les citoyens américains qu’elle considère comme des adversaires.