Cette mesure, qui fait suite à une enquête menée par ProPublica, interdit aux ingénieurs de Microsoft basés en Chine et dans d’autres pays hostiles de travailler sur les systèmes informatiques sensibles du Pentagone.
Par Renee Dudley, avec les recherches de Doris Burke.
Le président Donald Trump a promulgué ce mois-ci une mesure interdisant à toute personne basée en Chine et dans d’autres pays hostiles d’accéder aux systèmes informatiques du Pentagone.
Cette interdiction, qui figure dans la loi sur la politique de défense de 900 milliards de dollars, a été promulguée en réponse à une enquête menée cette année par ProPublica, qui a révélé comment Microsoft avait utilisé des ingénieurs basés en Chine pour entretenir les systèmes informatiques du ministère de la Défense pendant près d’une décennie, une pratique qui a exposé certaines des données les plus sensibles du pays au piratage de son principal adversaire cybernétique.
Les superviseurs basés aux États-Unis, appelés « escortes numériques », étaient censés contrôler ces employés étrangers, mais nous avons constaté qu’ils manquaient souvent de l’expertise nécessaire pour superviser efficacement des ingénieurs dotés de compétences techniques bien plus avancées.
À la suite de ces révélations, des membres éminents du Congrès ont appelé le département de la Défense à renforcer ses exigences en matière de sécurité, tout en critiquant Microsoft pour ce que certains républicains ont qualifié de « trahison nationale ». Des experts en cybersécurité et en renseignement ont déclaré à ProPublica que cet accord présentait des risques majeurs pour la sécurité nationale, étant donné que les lois chinoises accordent aux autorités du pays des pouvoirs étendus en matière de collecte de données.
Microsoft s’est engagé en juillet à ne plus faire appel à des ingénieurs basés en Chine pour assurer la maintenance des systèmes cloud du Pentagone après que le secrétaire à la Défense Pete Hegseth ait publiquement condamné cette pratique. « Les ingénieurs étrangers, quel que soit leur pays d’origine, y compris bien sûr la Chine, ne devraient JAMAIS être autorisés à entretenir ou à accéder aux systèmes du ministère de la Défense », a écrit M. Hegseth sur X.
En septembre, le Pentagone a mis à jour ses exigences en matière de cybersécurité pour les prestataires technologiques, interdisant aux fournisseurs informatiques de faire appel à du personnel basé en Chine pour travailler sur les systèmes informatiques du ministère de la Défense. La nouvelle loi codifie effectivement ce changement, obligeant M. Hegseth à interdire aux personnes originaires de Chine, de Russie, d’Iran et de Corée du Nord d’avoir un accès direct ou indirect aux systèmes de cloud computing du ministère de la Défense.
Microsoft a refusé de commenter la nouvelle loi. À la suite des changements antérieurs, un porte-parole a déclaré que la société « travaillerait avec ses partenaires de sécurité nationale pour évaluer et ajuster ses protocoles de sécurité à la lumière des nouvelles directives ».
La représentante Elise Stefanik, une républicaine qui siège à la commission des forces armées de la Chambre des représentants, s’est félicitée de cette évolution, affirmant qu’elle « comble les lacunes des sous-traitants… après avoir découvert que des entreprises comme Microsoft les exploitaient ». Le sénateur Tom Cotton, président républicain de la commission sénatoriale spéciale sur le renseignement, qui a critiqué le géant technologique, a également salué cette législation, affirmant qu’elle « comprend des mesures indispensables pour protéger les infrastructures critiques de notre nation, qui sont menacées par la Chine communiste et d’autres adversaires étrangers ».
La législation renforce également le contrôle du Congrès sur les pratiques du Pentagone en matière de cybersécurité, en obligeant le secrétaire à informer les commissions de défense du Congrès des changements au plus tard le 1er juin 2026. Par la suite, ces briefings auront lieu chaque année pendant les trois années suivantes, et porteront notamment sur « l’efficacité des contrôles, les incidents de sécurité et les recommandations d’actions législatives ou administratives ».
Comme l’a rapporté ProPublica, Microsoft a initialement développé le programme d’accompagnement numérique pour contourner l’exigence du ministère de la Défense selon laquelle les personnes traitant des données sensibles devaient être des citoyens américains ou des résidents permanents.
La société a affirmé avoir divulgué le programme au Pentagone et que les accompagnateurs avaient reçu « une formation spécifique sur la protection des données sensibles » et la prévention des dommages. Mais les hauts responsables du Pentagone ont déclaré qu’ils n’étaient pas au courant du programme de Microsoft avant la publication de l’article de ProPublica.
Une copie du plan de sécurité que l’entreprise a soumis au ministère de la Défense en 2025 montre que Microsoft a omis des détails essentiels du programme d‘escorte, ne faisant aucune référence à ses opérations basées en Chine ni à ses ingénieurs étrangers.
Cet été, M. Hegseth a annoncé que le département avait ouvert une enquête afin de déterminer si l’un des ingénieurs de Microsoft basés en Chine avait compromis la sécurité nationale. Il a également ordonné un nouvel audit indépendant du programme d’escorte numérique de l’entreprise. Le Pentagone n’a pas répondu à une demande de commentaires sur l’état d’avancement de ces enquêtes.
Groupe Gaulliste Sceaux 