Le ministère de l’efficacité du gouvernement (DOGE), la commission spéciale du président Donald Trump chargé de réduire les dépenses fédérales, continue de perturber Washington et la bureaucratie fédérale. Selon des rapports publiés, ses équipes se penchent dans les agences fédérales avec un mandat pratiquement illimité de réformer le gouvernement fédéral conformément aux décrets récents.
En tant que vétéran de la cybersécurité de 30 ans, je trouve les activités de Doge jusqu’à présent. Son large mandat à travers le gouvernement, une surveillance apparemment inexistante, et le manque apparent de compétence opérationnelle de ses employés ont démontré que Doge pourrait créer des conditions idéales pour la cybersécurité ou les incidents de confidentialité des données qui affectent toute la nation.
Traditionnellement, le but de la cybersécurité est d’assurer la confidentialité et l’intégrité des systèmes d’information et d’information tout en aidant à garder ces systèmes à la disposition de ceux qui en ont besoin. Mais dans les premières semaines d’existence de Doge, les rapports indiquent que son personnel semble ignorer ces principes et potentiellement rendre le gouvernement fédéral plus vulnérable aux cyber-incidents.
Compétence technique
La cybersécurité et les technologies de l’information, comme toute autre fonction commerciale, dépendent des employés formés spécifiquement pour leur travail. Tout comme vous ne laissez pas quelqu’un uniquement qualifié en premiers soins pour effectuer une chirurgie en plein air, les professionnels de la technologie ont besoin d’un ensemble de référence d’éducation, de formation et d’expérience accréditées pour s’assurer que les personnes les plus qualifiées sont au travail.
Actuellement, le grand public, les agences fédérales et le Congrès ont peu d’idée qui bricolent les systèmes critiques du gouvernement. Le processus d’embauche de Doge, y compris la façon dont il dépasse les candidats aux compétences techniques, opérationnels ou de cybersécurité, ainsi que l’expérience au gouvernement, est opaque. Et les journalistes enquêtant sur les antécédents des employés de Doge ont été intimidés par l’avocat américain par intérim à Washington.
Doge a embauché des jeunes à sortir de – ou toujours à – au collège ou avec peu ou pas d’expérience au gouvernement, mais qui auraient eu de fortes prouesses techniques. Mais certains ont des antécédents discutables pour un travail aussi sensible. Et un principal employé de Doge travaillant au département du Trésor a depuis démissionné d’une série de publications racistes sur les réseaux sociaux.
Selon les rapports, ces employés de Doge ont obtenu un accès technique au niveau de l’administrateur à une variété de systèmes fédéraux. Il s’agit notamment de systèmes qui traitent tous les paiements fédéraux, y compris la sécurité sociale, l’assurance-maladie et les fonds appropriés par le Congrès qui gèrent le gouvernement et ses opérations contractantes.
Les agents de Doge développent et déploient rapidement des changements de logiciels majeurs dans les anciens systèmes et bases de données très complexes, selon les rapports. Mais étant donné la vitesse du changement, il est probable qu’il y ait peu de planification formelle ou de contrôle de la qualité pour s’assurer que ces changements ne cassent pas le système. De telles actions se déroulent contrairement aux principes de cybersécurité et aux meilleures pratiques pour la gestion de la technologie.
En conséquence, il n’y a probablement aucun moyen de savoir si ces modifications facilitent l’introduction de logiciels malveillants dans les systèmes gouvernementaux, si des données sensibles peuvent être accessibles sans autorisation, ou si le travail de Doge rend les systèmes gouvernementaux autrement plus instables et plus vulnérables.
Si vous ne savez pas ce que vous faites dedans, de très mauvaises choses peuvent arriver. Un exemple notable est l’échec du lancement du site Web de Healthcare.gov en 2013. Dans le cas des systèmes du département du Trésor, il est assez important de se souvenir, car la nation s’occupe d’une autre crise et des citoyens du plafond de la dette recherchent leurs paiements de sécurité sociale.
Le 6 février 2025, un juge fédéral a ordonné que le personnel de Doge soit limité à l’accès en lecture seule aux systèmes de paiement du Département du Trésor, mais la procédure judiciaire remettant en cause la légalité de leur accès aux systèmes informatiques du gouvernement est en cours.
Serveurs de courrier électronique doge
Le manque apparent de la compétence de cybersécurité de Doge se reflète dans certaines de ses premières actions. Doge a installé ses propres serveurs de courrier électronique à travers le gouvernement fédéral pour faciliter la communication directe avec les employés de base en dehors des canaux officiels, sans tenir compte des meilleures pratiques éprouvées pour la cybersécurité et l’administration informatique. Un procès des employés fédéraux allègue que ces systèmes n’ont pas subi de révision de la sécurité, comme l’exige les normes fédérales de cybersécurité actuelles.
Il existe un processus établi dans le gouvernement fédéral pour configurer et déployer de nouveaux systèmes pour s’assurer qu’ils sont stables, sécurisés et peu susceptibles de créer des problèmes de cybersécurité. Mais Doge a ignoré ces pratiques, avec des résultats prévisibles.
Par exemple, un journaliste a pu envoyer des invitations à sa newsletter à plus de 13 000 employés de la National Oceanic and Atmospheric Administration via l’un de ces serveurs. Dans un autre cas, la façon dont les réponses des employés à la fourche de Doge dans l’offre de rachat routier aux employés fédérales sont collectées pourraient facilement être manipulées par une personne malveillante – une simple attaque d’ingénierie sociale pourrait mettre fin à tort à l’emploi d’un travailleur. Et les membres du personnel de Doge auraient relier leurs propres appareils non fiables aux réseaux gouvernementaux, ce qui introduit potentiellement de nouvelles façons pour les cyberattaques de pénétrer les systèmes sensibles.
Cependant, Doge semble adopter des pratiques créatives de cybersécurité pour se protéger. Il réorganise ses communications internes afin d’esquiver les demandes de la loi sur la liberté de l’information dans ses travaux, et il utilise des techniques de cybersécurité pour suivre les menaces d’initiés pour prévenir et étudier les fuites de ses activités.
Manque de contrôles de gestion
Mais ce n’est pas seulement la sécurité technique que Doge ignore. Le 2 février, deux responsables de la sécurité de l’agence américaine pour le développement international ont résisté à l’octroi d’une équipe Doge accès aux systèmes financiers et personnels sensibles jusqu’à ce que leurs identités et leur autorisation soient vérifiés, conformément aux exigences fédérales. Au lieu de cela, les fonctionnaires ont été menacés d’arrestation et mis en congé administratif, et l’équipe de Doge a eu accès.
L’administration Trump a également reclassé les chefs d’établissement fédéral de l’information, normalement des employés de carrière avec des années de connaissances spécialisées, pour être des employés généraux soumis à un licenciement pour des raisons politiques. Il pourrait donc bien y avoir une fuite cérébrale de talent informatique dans le gouvernement fédéral, ou un chiffre d’affaires constant à la fois de la direction informatique senior et d’autres experts techniques. Ce changement aura presque certainement des ramifications pour la cybersécurité.
Les agents de Doge ont désormais un accès direct à la base de données du Bureau de la gestion du personnel de millions d’employés fédéraux, y compris ceux qui ont des autorisations de sécurité occupant des postes sensibles. Sans surveillance, cet accès ouvre les possibilités de violations de la vie privée, la falsification des dossiers de l’emploi, de l’intimidation ou de la rétribution politique.
Le soutien de tous les niveaux de gestion est crucial pour assurer la responsabilité de la cybersécurité et de la gestion de la technologie. Ceci est particulièrement important dans le secteur public, où la surveillance et la responsabilité sont une fonction essentielle de la bonne gouvernance démocratique et de la sécurité nationale. Après tout, si les gens ne savent pas ce que vous faites, ils ne savent pas ce que vous faites de mal.
À l’heure actuelle, Doge semble opérer avec très peu de surveillance de toute personne en position disposée ou capable de la tenir responsable de ses actions.
Atténuer les dégâts
Les employés fédéraux de carrière qui tentent de suivre les pratiques juridiques ou de cybersécurité pour les systèmes et les données fédéraux sont désormais placés dans un poste difficile. Ils capitent les instructions des membres du personnel de Doge, abandonnant ainsi les meilleures pratiques et ignorant les normes fédérales, ou leur résistent et courent le risque d’être licencié ou discipliné.
Les vastes collections de données du gouvernement fédéral touchent chaque citoyen et chaque entreprise. Bien que les systèmes gouvernementaux ne soient pas aussi dignes de confiance qu’ils l’étaient autrefois, les gens peuvent toujours prendre des mesures pour se protéger contre les conséquences néfastes des activités de Doge. Deux bons points de départ consistent à verrouiller vos enregistrements de bureau de crédit au cas où vos données gouvernementales seront divulguées et à utiliser différentes connexions et mots de passe sur les sites Web fédéraux pour mener des affaires.
Il est crucial pour l’administration, le Congrès et le public de reconnaître les dangers de la cybersécurité que les activités de Doge posent et prennent des mesures significatives pour mettre l’organisation sous contrôle et surveillance raisonnable.
