L’Amérique aime les come-back. Rocky. Top Gun. Et maintenant… Trump. Mais si son retour à la Maison Blanche provoque déjà des convulsions diplomatiques et des crises d’urticaire médiatiques, le domaine de la cybersécurité, lui, assiste à un véritable rodéo réglementaire. Un Executive Order fraîchement signé par Donald J. Trump, version 2025, vient de renverser la table des initiatives cybers de l’ère Biden.
Et quand Trump fait du Trump, ça décoiffe : adieu le SBOM (Software Bill of Materials), cette tentative fastidieuse de transparence logicielle ; bye-bye l’identité digitale fédérale, qualifiée de « Big Brother communiste » dans un tweet matinal en majuscules ; en revanche, la cryptographie post-quantique et les étiquettes de sécurité pour l’IoT sont miraculeusement sauvées. À croire qu’il a lu une fiche (ou deux) avant de signer. Une révolution ? Plutôt un bon vieux désossage made in MAGA.
🧨 Le SBOM ? Trop woke pour l’Amérique !
Le Software Bill of Materials, c’était pourtant un outil salué par les experts. Une « liste des ingrédients » logicielle pour savoir ce que vous installez dans vos serveurs, qui l’a codé, et où se cache la faille zero-day du jour. Biden avait poussé fort pour imposer son adoption dans les appels d’offre publics, espérant créer un écosystème plus transparent, plus résilient. Bref, plus mature.
Mais pour Trump, cette transparence est une menace. « L’État profond n’a pas à savoir ce qu’il y a dans le code de mes frigos connectés ! » a-t-il déclaré, visiblement convaincu qu’un SBOM allait permettre au FBI de surveiller sa consommation de steaks. Résultat : retour à l’opacité joyeuse, où les éditeurs font du vendor-lock-in en toute liberté, et où les vulnérabilités s’échangent comme des cartes Pokémon.
👋 L’identité numérique ? Une autre lubie socialiste
On dit que Trump est un homme d’habitudes. Alors quand il voit le mot « identité » accolé à « fédérale », il sort son stylo rouge et ses insultes préférées. Le projet d’identité digitale lancé sous Biden visait à unifier l’authentification pour les services publics, réduire la fraude, et, soyons fous, simplifier la vie des administrés. Trop simple, sans doute. Trop européen aussi.
Exit donc la possibilité de prouver numériquement qu’on est bien un citoyen américain sans devoir faxer son certificat de naissance. L’administration Trump préfère manifestement les bons vieux silos, chacun avec ses logins, ses politiques de mot de passe absurdes, et son service client en Pologne. Plus de « liberté » disent-ils. Sauf qu’en cybersécurité, liberté rime souvent avec fragmentation, frustration et phishing.
🤔 Mais alors, que reste-t-il ? Des miettes post-quantiques
Dans ce grand ménage idéologique, deux piliers ont étrangement survécu : la cryptographie post-quantique, parce que même les trumpistes ont compris que les ordinateurs quantiques ne sont pas une invention du FBI, et l’étiquetage IoT, probablement parce qu’il peut être imprimé avec un petit drapeau américain.
Côté crypto, c’est plutôt une bonne nouvelle. La menace quantique n’est pas pour demain matin, mais elle approche à petits pas. Les agences fédérales continueront donc leur migration vers des algorithmes résistants au quantum hacking. Bon point.
Pour l’IoT, les étiquettes de sécurité (type Nutri-Score du routeur) restent en place. Gadget ? Peut-être. Mais c’est toujours mieux que de laisser mamie acheter une caméra de surveillance chinoise avec un mot de passe en dur dans le firmware.
🎪 Conséquences : vers un Far West numérique 2.0
Ce renversement de cap, sous couvert de lutte contre l’État tentaculaire, va surtout plonger l’écosystème cyber américain dans une ambiance spaghetti western. Chaque État, chaque agence, chaque fournisseur reprendra sa route, sans cohérence ni gouvernance globale. À droite, un ministère qui impose un SBOM ; à gauche, un autre qui l’interdit. Au centre, un DSI public qui pleure.
Les PME, elles, n’auront plus d’incitations à documenter leur code ou à intégrer les bonnes pratiques de supply chain logicielle. Les RSSI fédéraux devront jouer les équilibristes, tentant de sécuriser des systèmes obsolètes avec des politiques contradictoires.
Et pour le reste du monde ? Suspense. L’Europe va probablement hausser un sourcil circonspect et renforcer ses propres exigences (Digital Markets Act, Cyber Resilience Act…), tandis que la Chine et la Russie se frottent les mains : moins d’harmonisation côté occidental = plus d’opportunités côté offensif.
🪓 En résumé : gouverner, c’est sabrer
Ce décret n’est pas seulement un virage idéologique. C’est un signal. Celui que l’Amérique trumpienne préfère l’illusion de contrôle individuel à la réalité d’un système sécurisé, qu’elle rejette toute standardisation comme une entrave à sa souveraineté numérique, et qu’en 2025, la cybersécurité est encore un jouet politique comme un autre.
Alors, plus de liberté ? Certainement. Celle de se faire pirater sans le savoir. Celle de réinventer la roue tous les trois mois. Et celle, surtout, de crier au complot quand la roue explose.
