CTI & OSINT

Privatisation du renseignements ?

by  • 

Lorsque j’ai découvert les propos de Tulsi Gabbard – aujourd’hui Directrice du renseignement national américain – préconisant que la communauté du renseignement cesse de développer ses propres outils technologiques pour s’appuyer davantage sur des solutions du secteur privé, j’ai été profondément surpris.

En tant qu’observateur du milieu de la cybersécurité et de la souveraineté numérique, je ne m’attendais pas à entendre la cheffe des espions américains promouvoir ouvertement une telle externalisation technologique. Historiquement, le renseignement a souvent misé sur des solutions maison hautement classifiées, développées à l’abri des regards, pour conserver son avantage stratégique.

L’idée de renoncer à ces développements internes au profit d’outils commerciaux disponibles sur étagère me semble donc à contre-courant, et soulève immédiatement de nombreuses questions sur les risques associés.

Je vous propose, dans cet article, d’analyser en profondeur les implications d’une telle orientation – notamment en matière d’efficacité, de résilience, de gouvernance, d’éthique et de souveraineté numérique – afin de déterminer si les gains escomptés justifient les enjeux sécuritaires et stratégiques que cette dépendance accrue au privé ferait peser sur le renseignement.

Le Contexte : une position iconoclaste dans le renseignement américain

Tulsi Gabbard, ancienne élue et vétérane de l’armée de réserve, a été nommée en 2025 à la tête de la communauté américaine du renseignement (DNI) dans un contexte de volonté de modernisation accélérée.

C’est lors d’une conférence AWS Summit à Washington en juin 2025 qu’elle a clairement exprimé sa vision : sous sa direction, elle « veut s’éloigner de l’idée que le gouvernement construise lui-même des solutions technologiques » et préconise d’acheter des solutions privées « partout où c’est possible », de sorte que les équipes de renseignement puissent se concentrer sur ce qu’elles font le mieux.

Gabbard estime en effet que développer des outils high-tech en interne n’est « pas ce que le gouvernement fait de mieux », sous-entendu que le secteur privé dispose d’un savoir-faire plus pointu en la matière. Ses déclarations, faites aux côtés d’un vice-président d’Amazon Web Services, soulignaient les liens déjà étroits entre les géants technologiques et les 18 agences de renseignement américaines, liens qu’Amazon n’a pas manqué de mettre en avant lors de l’événement.

Il est vrai que depuis près de deux décennies, des entreprises privées fournissent des outils numériques puissants – et souvent hautement confidentiels – aux espions américains, qu’il s’agisse de solutions cloud pour la CIA et la NSA ou de programmes d’intelligence artificielle pour analyser des masses de données. Jusqu’ici toutefois, ces apports industriels venaient compléter des capacités internes : par exemple, la NSA a longtemps utilisé sa plateforme maison XKeyscore pour intercepter et analyser les communications internet en s’appuyant sur ses propres infrastructures, tandis que la CIA développait ses propres outils de cyber-intrusion via son Embedded Development Branch (révélé par les fuites Vault7). La nouveauté du discours de Tulsi Gabbard est de formuler un changement de paradigme : plutôt que de garder en interne le développement des technologies critiques, son objectif affiché est de basculer franchement vers des partenariats industriels, en traitant les grandes entreprises tech comme des alliés stratégiques incontournables pour bâtir l’avenir du renseignement.

Cette position, jugée iconoclaste par beaucoup, s’inscrit pourtant dans une continuité : déjà en 2024, Avril Haines (prédécesseure de Gabbard sous l’administration Biden) admettait que le secteur privé possède des talents, connaissances et capacités uniques dans des domaines clés de la sécurité nationale, auxquels l’État n’a pas forcément accès en interne. En outre, des programmes de cloud classifié ont prouvé leur utilité ces dernières années. Amazon, par exemple, opère depuis 2017 une “région secrète” (Secret Region) cloud dédiée aux clients fédéraux classifiés, qui a permis à la CIA, la NSA et d’autres agences de stocker et d’échanger d’énormes volumes d’informations sensibles dans des infrastructures modernes. En 2025, Amazon a même annoncé le lancement d’un deuxième cloud secret (Secret-West Region) pour les besoins de la Défense et du renseignement, en le présentant comme un catalyseur d’innovation en intelligence artificielle pour ces agences. Tulsi Gabbard salue d’ailleurs ce type d’initiatives : selon elle, rendre possibles les applications d’IA dans des environnements cloud hautement sécurisés a été un véritable « game changer » pour la communauté du renseignement. Dans sa vision, « moderniser » le renseignement signifie notamment tirer parti des outils disponibles « principalement dans le secteur privé » afin que les analystes et opérateurs « se concentrent sur ce que seuls eux peuvent faire » – c’est-à-dire le travail de renseignement en lui-même. Autrement dit, pourquoi réinventer des solutions techniques déjà fournies par les Amazon, Microsoft ou Google, alors que ces acteurs disposent de ressources colossales et d’une expertise pointue ? Pour Gabbard, il vaut mieux “acheter” que “construire”, et nouer des partenariats rapprochés avec ces entreprises afin d’accomplir plus efficacement la mission fondamentale de renseignement.

Cette logique séduisante d’un point de vue managérial (gagner en agilité et en efficacité en s’appuyant sur les meilleurs outils du marché) ne doit pas occulter les risques multiples qu’elle implique. Dans les sections qui suivent, j’examinerai ces risques et enjeux sous différents angles – efficacité opérationnelle, résilience face aux cybermenaces, gouvernance et contrôle, éthique du renseignement, souveraineté numérique – sans oublier de mettre en perspective cette évolution avec le précédent historique de l’externalisation massive du renseignement américain après la Guerre du Golfe et le 11-Septembre. Mon objectif est d’évaluer, en toute neutralité professionnelle, si les bénéfices potentiels de cette transformation “tout privé” l’emportent réellement sur les menaces qu’elle pourrait faire peser à long terme sur la sécurité nationale et la démocratie.

Efficacité opérationnelle : innovation rapide vs. dépendance technologique

Du point de vue de l’efficacité, l’argument de Tulsi Gabbard a de solides justifications. Les technologies évoluent à un rythme effréné dans le secteur privé, et le gouvernement peine souvent à suivre la cadence. S’appuyer sur des outils éprouvés de l’industrie permettrait théoriquement d’accélérer la modernisation du renseignement.

Gabbard cite par exemple l’apport de l’IA pour le traitement automatisé des documents : là où il fallait autrefois des équipes nombreuses épluchant des milliers de pages, des algorithmes d’analyse permettent désormais à un seul agent de passer en revue des heures de contenus en un temps record. Elle a ainsi révélé que des outils d’intelligence artificielle ont permis de décrypter « 10 000 heures de contenu média en une heure » pour aider au tri de documents déclassifiés liés aux assassinats de JFK et MLK, une tâche titanesque qui mobilisait jadis plusieurs personnes pendant des semaines.

Le fait de confier au cloud des charges de travail classifiées complexes offre une puissance de calcul et une échelle quasi illimitée, que le gouvernement aurait du mal à bâtir seul. Amazon Web Services souligne que disposer de plusieurs “régions” cloud sécurisées dédiées aux agences permet d’améliorer la vitesse d’exécution et la disponibilité des missions sensibles, grâce à la scalabilité et la redondance de ces infrastructures industrielles. En clair, l’industrie technologique apporte sur un plateau des capacités qu’il serait coûteux et lent de développer à la main au sein des agences publiques.

Un autre avantage espéré est la réduction des coûts et délais. Le cycle d’acquisition publique est souvent lourd, et le développement en interne de solutions customisées a pu conduire par le passé à des gaspillages ou des retards importants. En misant sur des solutions déjà disponibles commercialement (COTSCommercial off-the-shelf), la communauté du renseignement pourrait théoriquement économiser du temps et de l’argent. Tulsi Gabbard l’a d’ailleurs martelé : il faut rationaliser la manière dont l’Intelligence Community (IC) acquiert ses outils, standardiser certains achats transverses, et « streamliner les contrats » pour éviter les doublons inutiles. Elle a insisté sur la nécessité de « faire des économies » et d’obtenir « le meilleur retour sur investissement » en ouvrant la porte à des acteurs innovants (startups, PME) plutôt que de s’en remettre systématiquement aux quelques grands prestataires historiques.

Cette remarque laisse entendre qu’actuellement, le processus est trop figé, avec une poignée de mastodontes captant l’essentiel des marchés publics, ce qui n’est ni efficient ni propice à l’innovation. En cassant ce monopole et en adoptant une approche plus agile, on pourrait accélérer le déploiement de nouvelles capacités technologiques sur le terrain du renseignement.

Cependant, ce tableau optimiste de l’efficacité améliorée doit être nuancé par les risques de dépendance technologique inhérents à l’externalisation. En misant largement sur des solutions externes, les agences de renseignement pourraient devenir tributaires de fournisseurs uniques et voir leur liberté d’action limitée. Par exemple, si une grande partie des systèmes d’analyse ou de stockage de données d’une agence repose sur un seul prestataire cloud, un changement de stratégie commerciale de ce prestataire ou une hausse brutale de ses tarifs pourrait mettre l’État en difficulté (phénomène de vendor lock-in). De même, l’innovation étant principalement dictée par le marché, le gouvernement perd en maîtrise sur l’orientation technologique des outils : il devra suivre l’évolution des produits privés, même si ceux-ci ne collent pas exactement aux besoins spécifiques du renseignement.

L’histoire récente offre un exemple éclairant avec la Défense américaine : en 2018, Google a dû renoncer à un contrat d’IA militaire (projet Maven) sous la pression de ses employés opposés à l’utilisation de ses technologies à des fins létales, illustrant qu’une entreprise privée peut décider unilatéralement de se retirer d’un projet stratégique. Une communauté du renseignement trop dépendante d’un acteur privé pourrait se retrouver prise au dépourvu si celui-ci, pour des raisons éthiques, économiques ou juridiques, cesse de coopérer ou impose ses conditions.

L’efficacité immédiate qu’apporte la solution externe peut alors se payer d’une perte de contrôle à long terme. C’est pourquoi certains experts recommandent de toujours conduire une analyse bénéfice-risque rigoureuse avant d’externaliser des services numériques de l’État, afin de s’assurer que « le gain d’efficacité dépasse les concessions en termes de souveraineté ». En d’autres termes, oui à l’innovation du secteur privé, mais pas au prix d’une dépendance aveugle : il faudra maintenir un juste équilibre pour ne pas aliéner l’efficacité future au bénéfice d’un gain présent.

Résilience et cybersécurité : l’envers de l’externalisation technologique

La résilience – c’est-à-dire la capacité à continuer d’opérer en cas de coup dur – et la sécurité informatique sont des préoccupations majeures pour toute infrastructure critique du renseignement. Sur ce plan, l’externalisation technologique présente des enjeux ambivalents. D’un côté, les grands fournisseurs comme AWS, Microsoft ou Google affichent des niveaux de sécurité élevés, avec des équipes dédiées à la cybersécurité 24/7, des data centers redondants aux quatre coins du globe, et des investissements massifs dans la protection contre les cyberattaques. Mutualiser les besoins de nombreuses organisations leur permet en théorie de proposer des systèmes très robustes, souvent plus à jour et mieux supervisés que de petits réseaux développés en interne par chaque agence. D’ailleurs, l’un des arguments mis en avant lors du lancement des clouds classifiés est l’amélioration de la tolérance aux pannes : en déployant les charges classées sur plusieurs régions cloud, on réduit le risque qu’un incident majeur (panne matérielle, catastrophe naturelle, etc.) n’interrompe complètement les opérations sensibles. L’infrastructure distribuée du cloud apporte donc une certaine résilience technique.

Cependant, l’autre côté de la médaille est que cette interconnexion avec l’extérieur multiplie la surface d’attaque et introduit de nouvelles vulnérabilités. En se reposant sur un écosystème technologique globalisé, le renseignement s’expose aux risques de la chaîne d’approvisionnement numérique (supply chain). Un rapport du Government Accountability Office (GAO) notait que la dépendance à une chaîne d’approvisionnement mondiale introduit de multiples risques pour les systèmes fédéraux : des acteurs malveillants (par exemple des services de renseignement étrangers ou des cybercriminels) peuvent exploiter les vulnérabilités de la chaîne logistique et ainsi compromettre la confidentialité, l’intégrité ou la disponibilité des systèmes et des données sensibles. En clair, plus on intègre de composants externes (logiciels tiers, librairies, matériels fabriqués à l’étranger, services cloud, etc.), plus on offre de points d’entrée potentiels à qui voudrait infiltrer nos systèmes. Et ces failles dans la chaîne d’approvisionnement peuvent avoir des conséquences catastrophiques sur la mission d’une agence.

Un cas d’école illustrant ce danger est l’attaque SolarWinds découverte en 2020. Dans cette cyber-opération d’une ampleur inédite, des hackers liés au renseignement russe ont compromis le processus de mise à jour d’un logiciel de supervision réseau très répandu (SolarWinds Orion), utilisé par de nombreuses agences gouvernementales américaines. En corrompant une mise à jour logicielle légitime, les attaquants ont pu infiltrer discrètement les réseaux de plusieurs ministères et agences fédérales – vraisemblablement même certains réseaux sensibles de la sécurité nationale – et espionner leurs communications. Ce type d’attaque par ricochet montre bien qu’une faiblesse chez un fournisseur tiers peut devenir une porte dérobée vers les secrets les mieux gardés. Si la communauté du renseignement adopte massivement des solutions communes du secteur privé, elle doit envisager que ces solutions deviendront des cibles privilégiées pour les services adverses. Un logiciel utilisé à grande échelle par toutes les agences présente un intérêt immense pour un attaquant : il suffit d’une faille exploitable dans ce logiciel pour potentiellement accéder à un vaste éventail d’informations classifiées. La concentration technologique augmente donc le risque systémique : un seul point de défaillance peut impacter l’ensemble de la communauté.

Par ailleurs, externaliser les outils implique de faire confiance aux mesures de sécurité du fournisseur, ce qui peut être problématique en matière de souveraineté de la donnée. Certes, les contrats de cloud classifié prévoient généralement que les données restent sous contrôle gouvernemental dans des environnements isolés. Néanmoins, l’histoire a montré que même des géants comme Microsoft ou Amazon ne sont pas infaillibles – on a vu des brèches chez des prestataires du DoD ou des incidents de configuration exposant des données sensibles par erreur. La question se pose : en cas d’attaque majeure touchant un fournisseur, que se passerait-il pour les données du renseignement hébergées chez lui ? Quelle est la capacité de reprise en main du gouvernement si la plateforme externe devient indisponible ou compromise ? Sans solution de secours interne, une dépendance exclusive pourrait s’avérer dangereuse.

Il y a également le risque d’érosion des compétences internes en cybersécurité. Si les agences arrêtent de développer leurs propres outils, leurs ingénieurs et spécialistes risquent de perdre en expertise pratique. À terme, l’IC pourrait devenir incapable d’évaluer en profondeur la sécurité des solutions qu’elle achète, faute de savoir-faire maison pour “mettre les mains dans le cambouis”. Elle devrait alors se fier aux audits fournis par les vendeurs, ce qui n’offre jamais la même garantie qu’une maîtrise en interne. En somme, la résilience organisationnelle pourrait décliner : en cas de défaillance du prestataire, les équipes sauraient-elles reprendre le flambeau ? C’est toute la question de la dilution de la responsabilité technique.

On le voit, la cybersécurité apporte un cinglant démenti à l’idée que l’externalisation serait sans risques. Même le Pentagone et les agences de sécurité nationale en ont conscience : diverses études et rapports internes ont pointé la nécessité de mieux sécuriser la supply chain IT pour contrer les menaces d’intrusion étrangères. Diversifier les fournisseurs, imposer des standards de sécurité robustes aux partenaires privés et conserver en interne une capacité de veille technologique et de contrôle du code source sont autant de mesures indispensables si l’on veut profiter des innovations du privé sans exposer nos flancs. À défaut, on court le risque qu’une future attaque de grande ampleur ne cause des dommages disproportionnés parce qu’elle frapperait un écosystème homogène adopté par tout le renseignement. La robustesse d’un système vient aussi de son hétérogénéité : une chaîne est aussi forte que son maillon le plus faible, et si tous les maillons sont identiques, le jour où l’un cède, c’est toute la chaîne qui rompt.

En résumé, sur le volet de la résilience et de la cybersécurité, l’approche préconisée par Gabbard offre des bénéfices (infrastructures hautement disponibles, sécurité mutualisée au top niveau, etc.), mais elle impose de nouvelles disciplines en matière de gestion des risques. Le renseignement devra investir autant d’efforts à vérifier et surveiller ses prestataires qu’il n’en investissait jadis à sécuriser ses propres systèmes. La vigilance devra être de tous les instants pour s’assurer que cette dépendance technologique ne devienne pas le talon d’Achille de la communauté du renseignement.

Gouvernance et contrôle : quand le secret rencontre l’intérêt privé

Au-delà des aspects techniques, l’orientation vers le « tout privé » soulève de sérieuses questions de gouvernance et de contrôle démocratique sur les opérations de renseignement. Traditionnellement, les activités de renseignement sont entourées de secret, mais restent sous la responsabilité d’agences publiques redevables – au moins en théorie – envers les instances élues (le Congrès aux États-Unis, par exemple, via ses commissions de surveillance). L’introduction massive d’acteurs privés vient complexifier ce schéma de responsabilité.

D’abord, il faut rappeler l’ampleur déjà considérable de l’outsourcing dans le renseignement américain depuis les années 2000. Sous l’effet de la guerre contre le terrorisme, le gouvernement a fait appel à des légions de contractuels pour pourvoir des postes d’analystes, d’ingénieurs, de linguistes, etc.

En 2010, une enquête du Washington Post révélait que près de 2 000 sociétés privées travaillaient sur des programmes liés au contre-terrorisme, à la sécurité intérieure ou au renseignement, réparties sur plus de 10 000 sites aux États-Unis. La même enquête notait qu’environ 70 % du budget du renseignement partait dans les contrats avec ces entreprises. Une présentation de l’ODNI allait jusqu’à déclarer : « We Can’t Spy… If We Can’t Buy! »« Nous ne pouvons pas espionner… si nous ne pouvons pas acheter » –, résumant crûment cette dépendance financière envers le privé.

L’usage extensif de contractuels est devenu un fait établi et « permanent » de l’infrastructure du renseignement, soulignait dès 2007 un ancien directeur du renseignement naval. Autrement dit, l’État profond du renseignement est déjà, en partie, sous-traité à des entités commerciales.

Ce constat pose un premier défi de gouvernance : comment assurer la transparence, la responsabilité et le contrôle de ces acteurs privés ? Par nature, les programmes de renseignement sont peu transparents, mais lorsqu’ils sont internalisés on peut au moins exercer un contrôle institutionnel (via des inspecteurs généraux, des audits classifiés, etc.). En revanche, l’opacité augmente encore lorsqu’on passe par le privé.

Comme le souligne Danielle Brian, directrice du projet de surveillance gouvernementale POGO, des millions de personnes détiennent aujourd’hui une habilitation de sécurité sans être fonctionnaires : « elles travaillent pour des entités dont le but n’est pas l’intérêt public mais la recherche du profit », rappelait elle, en insistant sur le conflit potentiel entre les impératifs commerciaux et l’intérêt général.

Ces contractuels et entreprises privées n’ont de comptes à rendre qu’à leurs actionnaires, pas aux citoyens. De plus, elles échappent en grande partie aux mécanismes de contrôle public : un sous-traitant privé n’est pas soumis au Freedom of Information Act (loi américaine sur l’accès à l’information) et peut opposer le secret industriel ou la confidentialité commerciale pour ne pas divulguer ses méthodes.

Même les organismes indépendants comme POGO ou les commissions parlementaires ont du mal à évaluer la performance et l’usage qui est fait de l’argent public dans ces contrats, faute de levier légal pour exiger des comptes. On obtient ainsi une couche supplémentaire de secret : « ce qui est déjà en grande partie secret au sein du gouvernement l’est encore davantage lorsque c’est dans le secteur privé », résume Danielle Brian.

Cette érosion de la surveillance démocratique est préoccupante : plus la communauté du renseignement s’appuie sur des prestataires externes, plus il devient difficile pour le public (et même pour ses représentants élus) de savoir ce qui se fait réellement en son nom et avec son argent. Le risque de dérapages non détectés (financiers ou éthiques) augmente mécaniquement lorsque l’on dilue ainsi la responsabilité.

Ensuite, l’enjeu de gouvernance se pose aussi en interne des agences : comment garder la maîtrise des décisions stratégiques quand les compétences techniques clés sont détenues par des contractuels ? Déjà dans les années 2010, on estimait qu’un analyste du renseignement sur quatre était un employé du privé, travaillant souvent côte à côte avec les agents fédéraux.

Des contractuels privés ont parfois occupé des fonctions au cœur même des opérations sensibles : le Washington Post relevait qu’ils ont recruté des espions, versé des pots-de-vin à des informateurs à l’étranger, interrogé des détenus dans des prisons secrètes et même protégé des directeurs de la CIA en déplacement. Ce brouillage des rôles soulève la question des fonctions “intrinsèquement régaliennes” (inherently government functions en jargon administratif) : en principe, certaines missions trop sensibles ou engageant la souveraineté ne devraient jamais être déléguées.

Pourtant, la réalité est que, « de fait, elles le sont tout le temps et dans toutes les agences de renseignement et de contre-terrorisme », écrivait le journaliste Tim Shorrock. Quand des employés du privé en viennent à conduire des opérations d’espionnage ou de guerre (comme ce fut le cas avec les contractuels d’entreprises militaires privées en Irak ou en Afghanistan), on assiste à une forme de privatisation de fonctions souveraines, avec les problèmes que cela comporte en cas d’abus ou d’échec.

L’exemple d’Edward Snowden, contractuel de Booz Allen ayant pu accéder à des programmes ultra-secrets de la NSA qu’il finira par dévoiler en 2013, est souvent cité comme le symptôme des dérives de cette sous-traitance généralisée.

Le scandale Snowden a mis en lumière l’impossibilité pour l’État de garder le contrôle absolu de ses secrets lorsque plus de 1/3 des 4 millions d’Américains détenteurs d’une habilitation Top Secret travaillent en réalité pour des employeurs privés.

Plus il y a d’intermédiaires, plus le risque de fuites ou de violations augmente – « plus on laisse de monde entrer sous la tente du Top Secret, plus le risque de fuites est élevé », notait-on après l’affaire Snowden. C’est un vrai défi de gouvernance interne : le cœur de métier du renseignement, qui requiert loyauté et sens du devoir envers la nation, peut-il être exercé par des entités motivées par le profit ou par des individus moins imbriqués dans la culture de service public ? L’esprit de corps et la discipline propres aux institutions de renseignement ne se transmettent pas nécessairement à des employés extérieurs de passage.

Enfin, la question se pose de la collusion d’intérêts et de la dépendance vis-à-vis des fournisseurs. Si l’IC s’habitue à travailler main dans la main avec quelques grands groupes technologiques, il y a un risque de conflit d’intérêt dans les choix technologiques (préfèrera-t-on la solution la plus sûre ou celle proposée par le prestataire favori avec qui on a un contrat-cadre ?).

Tulsi Gabbard a mentionné vouloir ouvrir à la concurrence des startups pour éviter de redonner systématiquement les marchés aux mêmes grands contractants – signe que le problème du confort des agences avec leurs partenaires établis est réel. Une fois lié par d’énormes contrats pluriannuels, le gouvernement peut perdre sa marge de manœuvre face aux fournisseurs. Ceux-ci peuvent exercer un lobbying pour influencer les politiques publiques à leur avantage (par exemple pour assouplir certaines régulations ou obtenir des subventions de R&D).

On a déjà vu, dans le domaine de la défense, de grands industriels devenir si incontournables que le DOD ne pouvait plus se permettre de les écarter malgré des dépassements de coûts ou des performances discutables.

Transposé au renseignement, cela pourrait signifier que des choix critiques en matière d’architecture de sécurité ou de normes de chiffrement soient dictés de facto par les capacités et limites des produits commerciaux disponibles, plutôt que par une décision souveraine de l’État sur ce qu’il estime le plus sûr ou approprié.

En conclusion de cette section, il apparaît que la gouvernance du renseignement à l’ère de l’externalisation doit faire face à un sérieux défi de contrôle. Qui garde les gardiens ? Si les “gardiens” (analystes, opérateurs, administrateurs IT du renseignement) sont eux-mêmes en partie employés par le privé ou utilisent des outils opaques fournis par le privé, la chaîne de responsabilité se distend dangereusement.

Il sera essentiel de renforcer les mécanismes de supervision des contractuels (par exemple via des audits indépendants réguliers, une traçabilité accrue des actions des prestataires, des clauses contractuelles strictes sur la responsabilité en cas de faute, etc.). Faute de quoi, on pourrait voir se multiplier les cas de gaspillage, de fraudes ou d’abus non détectés – avec à la clé un coût, non seulement financier pour le contribuable, mais aussi stratégique si des programmes entiers deviennent inefficaces ou contraires aux valeurs du pays sans que personne ne s’en aperçoive à temps.

Enjeux éthiques : la mission de renseignement à l’épreuve du marché

Liée à la gouvernance, la dimension éthique mérite un examen à part. Le renseignement est un domaine où les impératifs de sécurité nationale entrent souvent en collision avec des valeurs éthiques (respect de la vie privée, des libertés civiles, du droit international, etc.). En confiant davantage de rôles ou d’outils à des entreprises privées, on ajoute de nouveaux acteurs avec leurs propres systèmes de valeurs, leurs intérêts et leurs contraintes, ce qui peut compliquer la gestion éthique des opérations de renseignement.

Un premier enjeu éthique concerne la protection des données personnelles et des libertés civiles. L’essor des technologies de surveillance numérique a déjà posé de difficiles questions sur l’équilibre entre sécurité et vie privée. La collecte de masse de données – téléphoniques, internet, etc. – par la NSA (exposée par Snowden) a suscité de vifs débats. Or, l’écosystème privé regorge de données sur les citoyens : historiques de navigation, données de géolocalisation, profils de réseaux sociaux, etc., souvent collectées à des fins commerciales.

La tentation est grande pour les agences de renseignement de simplement acheter ces données aux data brokers ou d’utiliser des outils d’entreprises pour y accéder, contournant ainsi certaines restrictions légales qui s’appliqueraient si elles faisaient la collecte elles-mêmes.

C’est un contournement éthique pointé par les ONG : le gouvernement pourrait accomplir via un tiers privé ce qu’il n’a pas le droit de faire directement. Danielle Brian évoquait ainsi le « conflit entre les motivations du profit – par exemple les données collectées par les entreprises de télécom – et la réelle valeur de renseignement de ces données jugées exploitables pour la sécurité nationale malgré les préoccupations en matière de vie privée ». En clair, les opérateurs télécom ou les géants du web peuvent engranger énormément d’informations sur les individus pour des raisons commerciales (publicité ciblée, amélioration de services), et le renseignement peut y puiser abondamment sous couvert de partenariat, sans transparence et sans débat public sur le bien-fondé de ces pratiques.

Le risque est d’affaiblir les garde-fous démocratiques : si par exemple la loi interdit aux services de surveiller tel type de données sans mandat, mais qu’il est possible de les obtenir via une société privée qui les vend, l’esprit de la loi est contourné. Ethiquement, cela pose la question de la redevabilité : les citoyens n’ont aucun recours contre une surveillance menée dans l’ombre via des canaux privés, puisque ces derniers ne sont pas soumis aux mêmes obligations constitutionnelles que l’État.

Cette dilution de la responsabilité évoquée plus tôt s’applique ici aux droits des individus : qui protège les citoyens contre d’éventuels excès de zèle si des entreprises participent à des programmes de surveillance ? L’affaire Snowden a montré comment le partenariat de la NSA avec des entreprises de télécommunication (programme PRISM) a permis un siphonnage colossal de données privées. Externaliser encore plus pourrait accentuer ce type de pratiques, rendant plus ardu le contrôle éthique.

Un autre aspect éthique est la question de la finalité et de l’alignement des valeurs. Les employés du renseignement prêtent généralement serment de défendre la Constitution et la nation.

Qu’en est-il des employés d’un sous-traitant ? Ils n’ont pas la même attache institutionnelle. Leur entreprise peut travailler pour plusieurs gouvernements ou acteurs à travers le monde, ce qui pose la question de leur loyauté ultime. Certes, les individus doivent obtenir une habilitation de sécurité et s’engagent à la confidentialité, mais l’entreprise qui les emploie a, elle, une allégeance première envers ses propres dirigeants et actionnaires.

Imaginons un cas extrême où une entreprise privée est amenée à faire un choix moral – par exemple, révéler un manquement grave à l’éthique découvert lors d’un contrat de renseignement (programmes illégaux, torture, etc.). Un fonctionnaire lanceur d’alerte pourrait invoquer l’intérêt général, la protection de la Constitution, etc. Un employé privé, lui, sera tenu par son contrat et la peur de perdre son emploi ou d’être poursuivi en justice par son employeur.

L’histoire récente montre que les lanceurs d’alerte du renseignement (Snowden, Reality Winner, etc.) ont subi de lourdes conséquences, et aucun canal de dénonciation interne efficace n’existe vraiment pour les contractuels.

Le secteur privé cultive souvent une culture du secret commercial encore plus stricte. Tout cela crée un contexte peu propice à l’éthique : un prestataire découvrant une pratique douteuse sera moins enclin à la signaler qu’un fonctionnaire protégé (théoriquement) par des statuts.

Par ailleurs, la quête de profit propre aux entreprises peut entrer en conflit avec les impératifs éthiques du renseignement. Par exemple, une entreprise vendant des solutions de surveillance pourrait pousser à élargir l’usage de son outil pour augmenter ses revenus, au risque d’encourager une surveillance excessive non justifiée.

Il y a aussi la question de la concurrence internationale : certaines firmes américaines travaillent aussi avec d’autres pays alliés, voire vendent des produits à des régimes moins regardants sur les droits humains (on pense aux outils d’espionnage vendus à l’Arabie Saoudite ou ailleurs). Une technologie développée pour le renseignement US pourrait être réutilisée commercialement à des fins moins avouables, ce qui impliquerait indirectement la responsabilité des États-Unis.

On touche là à la notion d’éthique de la technologie : lorsque l’État développe lui-même un outil, il en contrôle l’usage et la diffusion. Lorsqu’il achète un outil du commerce, rien ne garantit que le même outil (ou ses dérivés) ne se retrouve pas entre les mains d’acteurs aux intentions opposées (voire d’adversaires).

Les logiciels espions type Pegasus en sont un exemple frappant dans le domaine civil : conçus par des privés, vendus à des États, puis utilisés hors de tout cadre légal contre des journalistes ou militants.

Transposé au renseignement, confier la conception d’une arme cybernétique ou d’un algorithme de surveillance à une société privée soulève la question : que fera cette société dans dix ans ?

Si elle est rachetée par une entité étrangère ou si elle cherche de nouveaux débouchés, qui empêchera que ces mêmes capacités se retournent contre leurs concepteurs initiaux ? L’absence de maîtrise complète de la technologie soulève d’épineux problèmes éthiques quant à la responsabilité ultime en cas d’abus ou de prolifération incontrôlée.

Un dernier enjeu éthique tient au changement de culture que promeut Tulsi Gabbard en voulant faciliter les échanges avec l’industrie. Elle a par exemple déploré que les employés du renseignement doivent sortir s’asseoir dans leur voiture pour passer un appel Zoom avec un partenaire externe, faute d’espaces de travail non classifiés à Liberty Crossing (le siège de l’ODNI). Elle a donc encouragé la création d’espaces “doux” où des rencontres avec le privé sont possibles plus librement.

Si on croit que cette ouverture peut sembler positive pour innover, elle pourrait aussi banaliser l’immixtion d’intérêts privés dans la discussion des orientations du renseignement. La barrière de classification, aussi lourde soit-elle, garantissait une certaine étanchéité des décisions stratégiques vis-à-vis des pressions extérieures. En ouvrant grand les portes aux industriels, on prend le pari que ces derniers partageront les objectifs de l’État.

Mais n’oublions pas que les entreprises ont leurs propres objectifs (croissance, domination du marché, etc.). Par exemple, un fournisseur cloud peut orienter le débat vers plus de données stockées (puisque c’est son intérêt commercial), quand bien même du point de vue éthique et sécuritaire, collecter toujours plus de données n’est pas souhaitable.

C’est du déjà vu avec la surveillance de masse : plus de données collectées = plus de risques pour la vie privée et plus de difficultés à tout protéger. Le secteur privé n’a pas forcément le même arbitrage éthique que l’État doit avoir.

Si je devais résumé ce volet, l’externalisation technologique place la mission de renseignement dans un environnement où les valeurs du marché (rentabilité, croissance, secret commercial) cohabitent avec les valeurs régaliennes (sécurité nationale, respect des lois, obligation morale envers les citoyens). Sans garde-fous, cette cohabitation peut mener à des dérives : surveillance outrancière, détournement de technologies, manque de considération pour les droits individuels, etc.

Il sera crucial que les décideurs du renseignement fixent des lignes rouges éthiques claires dans les contrats et partenariats – par exemple en interdisant la revente de certaines données, en imposant l’audit d’algorithmes pour éviter les biais discriminatoires, ou en encadrant strictement les finalités d’utilisation des outils fournis. Faute de quoi, la quête d’efficacité pourrait bien se faire au détriment des principes que les agences sont supposées défendre, minant à terme la légitimité de la communauté du renseignement aux yeux du public.

Souveraineté numérique : indépendance stratégique ou assujettissement technologique ?

Le concept de souveraineté numérique est souvent évoqué en Europe pour souligner l’importance pour un État de conserver la maîtrise de ses choix technologiques, de ses données et de ses infrastructures critiques. Dans le contexte qui nous occupe, la souveraineté numérique américaine est également en jeu.

Si la communauté du renseignement cesse de développer ses propres technologies et s’en remet largement à des solutions industrielles, cela signifie qu’elle accepte de dépendre de capacités externes pour des fonctions stratégiques.

Peut-on encore parler de souveraineté pleine et entière lorsque les outils qui sous-tendent la puissance informationnelle de l’État sont conçus et contrôlés par des entreprises privées (même nationales) ?

La souveraineté technologique implique que l’État assure son indépendance en matière de ressources numériques essentielles. Cela ne veut pas dire tout fabriquer soi-même, mais au minimum pouvoir choisir ses fournisseurs sans subir de contrainte, et garder la possibilité de se passer d’un prestataire en cas de besoin. Or, plus le renseignement s’habituera à des solutions propriétaires issues du marché, plus il deviendra ardu de revenir en arrière ou de développer une alternative nationale le jour où la situation l’exigera.

On peut faire un parallèle avec la dépendance aux GAFAM qu’a connue l’Europe : après des années à utiliser sans réserve les services de géants américains, l’Europe a réalisé sa vulnérabilité (accès extraterritorial au données via le Cloud Act, absence d’offre locale concurrente, etc.) et tente maintenant de rattraper son retard à grands frais pour regagner une part de souveraineté.

Les États-Unis pourraient paradoxalement se trouver dans une posture similaire vis-à-vis de leurs propres entreprises : si quelques firmes concentrent tout le savoir-faire technologique du renseignement, l’État sera en position de faiblesse dans la négociation (il doit les ménager, car il a besoin d’elles). Cela pose d’ailleurs des questions stratégiques : quelle est la garantie que ces entreprises agiront toujours dans l’intérêt national ?

Tant que leurs dirigeants et conseils d’administration sont américains et patriotes, sans doute pas de problème majeur.

Mais imaginons des scénarios futurs : une grande entreprise tech pourrait être en partie détenue par des capitaux étrangers (fonds d’investissement internationaux, etc.), ou dépendre fortement de son marché à l’export (donc modérer son alignement avec les seules priorités US). Dans un monde globalisé, la souveraineté numérique doit aussi considérer ces interconnexions économiques.

Un autre aspect de la souveraineté est la maîtrise de l’information. Si les données du renseignement sont stockées sur des clouds privés, la question du contrôle ultime de ces données se pose.

Les contrats actuels prévoient que ces clouds sont sur le sol américain, avec des personnels habilités, etc. Néanmoins, on reste tributaire d’une infrastructure privée. Qui nous assure que dans 5 ans, 10 ans, l’entreprise n’aura pas été victime d’une intrusion profonde compromettant l’intégrité de ces données ?

Ou qu’elle ne sera pas soumise à une injonction judiciaire (par exemple un procès la forçant à révéler certaines infos) ? L’État perd une partie de sa capacité à dicter ses propres règles quand il n’est pas maître de l’outil.

Prenons un exemple hypothétique : si demain une crise politique majeure surgit entre Washington et la Silicon Valley (imaginons une loi contraignant les plateformes que ces dernières refusent), la Maison-Blanche serait-elle prête à sanctionner durement ces entreprises si, dans le même temps, son propre renseignement dépend de leurs services ?

Une telle situation affaiblirait la position de l’État. On rejoint ici la notion d’auto-suffisance stratégique : un État devrait pouvoir opérer ses fonctions régaliennes critiques même en cas de rupture avec ses fournisseurs habituels. En misant tout sur le privé, on accepte de ne plus avoir de roue de secours publique. C’est un pari sur le long terme qui peut entamer la souveraineté.

Les experts canadiens en sécurité informatique notaient à ce propos que « l’utilisation de solutions numériques non-étatiques, bien que rentables, peut compromettre la sécurité et l’indépendance de l’État ».

Cette phrase résume parfaitement l’enjeu. Dans le domaine militaire, on n’imaginerait pas externaliser complètement la production de systèmes d’armes sans conserver au moins une base industrielle nationale.

Par analogie, dans le domaine cyber, ne plus avoir de capacité nationale de développement d’outils de renseignement pourrait, à terme, affaiblir la position dominante des États-Unis dans le renseignement mondial.

Aujourd’hui ce sont des entreprises américaines qui dominent le secteur, mais qu’en sera-t-il si d’autres pays (alliés ou non) prenaient l’ascendant technologique ? Le renseignement US serait alors dépendant d’outils étrangers, ce qui serait inconcevable du point de vue de la souveraineté (imagine-t-on la NSA utiliser un logiciel étranger fermé sans comprendre intimement comment il fonctionne ?).

Pour garantir la souveraineté numérique, il ne suffira pas de s’appuyer sur la nationalité des fournisseurs (toutes les big tech sont américaines, pourrait-on se rassurer). Il faudra s’assurer de conserver un droit de regard et de contrôle technique sur les solutions déployées. Cela pourrait passer par des exigences de transparence du code source dans certains cas, ou par le fait de toujours avoir une option de repli interne (même minimale) pour les fonctions critiques. Par exemple, la France ou l’Allemagne, très dépendantes de Microsoft pour leurs administrations, commencent à développer des alternatives ouvertes ou nationales pour ne pas être totalement liées aux décisions de Microsoft.

De la même façon, la communauté US du renseignement pourrait décider de maintenir certaines équipes de R&D internes chargées de développer des outils spécifiques ou de combler les lacunes que les outils commerciaux n’adresseraient pas. Cela aurait un coût, mais ce serait l’assurance d’une autonomie en dernier ressort.

En définitive, la souveraineté numérique du renseignement américain sera mise à l’épreuve par cette stratégie d’externalisation. Elle ne sera pas perdue du jour au lendemain – les États-Unis partent avec l’avantage d’avoir sur leur sol les fournisseurs leader mondiaux.

Mais l’histoire a montré que la dynamique de dépendance peut s’installer insidieusement : plus on utilise un service externe, plus on investit dans son écosystème, et plus il devient difficile de s’en affranchir. Il est donc impératif que les décideurs gardent en tête cet impératif d’indépendance.

La souveraineté n’est pas un luxe, c’est une assurance-vie stratégique. À l’ère où les données et les outils numériques sont le nerf de la guerre, négliger cet aspect pourrait affaiblir la position des États-Unis sur la scène mondiale à long terme, en les rendant paradoxalement vulnérables aux choix (ou aux vulnérabilités) de leurs propres champions technologiques.

Le précédent des contractuels post-Guerre du Golfe : un avertissement historique

Pour mieux appréhender ce virage vers l’externalisation technologique, il est instructif de se pencher sur un précédent historique : le recours massif aux contractuels par le renseignement et l’armée américaines à partir des années 1990-2000, notamment après la première Guerre du Golfe et le 11-Septembre.

L’objectif ici n’est pas de détailler toute l’histoire, mais de voir quelles leçons en tirer par analogie.

Après la Guerre du Golfe de 1991 et plus encore après la guerre d’Irak de 2003, les États-Unis ont de plus en plus externalisé certaines fonctions militaires et de renseignement. Face à des réductions d’effectifs dans les années 90 (”dividende de la paix” post-Guerre Froide) puis à l’explosion des besoins post-2001, le gouvernement s’est tourné vers le privé pour combler les vides. Comme le rappelle un analyste, à la fin de la Guerre Froide, le Congrès a sabré d’environ un tiers les budgets de la défense et du renseignement, poussant hors de la fonction publique nombre des meilleurs experts en sécurité nationale – qui sont allés offrir leurs services dans le privé.

Puis après le 11-Septembre, l’argent a afflué pour recruter des analystes et linguistes, mais ces compétences se trouvaient désormais… dans le privé, d’où une croissance exponentielle des contrats pour remplir les missions.

En quelques années, s’appuyer sur des contractuels est devenu la norme. Le Washington Post a qualifié ce phénomène de « security-industrial complex », écho au complexe militaro-industriel, tant la porosité entre agences publiques et sociétés privées s’est accrue.

Quels ont été les effets de cette évolution ? D’une part, une augmentation de la capacité immédiate – il serait hypocrite de le nier. Les contractuels ont apporté des bras et du savoir-faire rapidement, permettant aux États-Unis de monter en puissance face au terrorisme. Mais d’autre part, les dérives et problèmes n’ont pas tardé à apparaître : dépenses incontrôlées, scandales d’abus et de violences de la part de contractants militaires (l’affaire Blackwater en Irak, dont les agents ont été impliqués dans la mort de civils, entachant l’image des États-Unis), ou encore fuites de renseignements retentissantes (Snowden en est l’archétype, mais on peut citer aussi le soldat Manning – certes militaire, mais ayant exploité des systèmes d’information bourrés de données partagées trop largement).

En 2010, le Washington Post soulignait que des dizaines de milliards de dollars avaient été dépensés pour des technologies (satellites, réseaux, systèmes informatiques) qui se sont révélées vulnérables aux attaques de hackers et aux trahisons d’initiés.

Ce constat montrait que l’investissement technologique massif ne suffit pas sans contrôle : on peut bâtir les réseaux les plus sophistiqués, si la gouvernance derrière ne suit pas, on crée des colosses aux pieds d’argile.

Les complexes ultra-sécurisés construits autour de Washington (l’équivalent de trois Pentagones en superficie bâtie pour le Top Secret !) n’ont pas empêché qu’un individu isolé comme Snowden exfiltre des informations ultra-sensibles, justement parce que ce système hypertrophié multipliait les accès.

La leçon à tirer de cette période est que l’externalisation massive apporte son lot de complications. L’ancien agent du FBI Mike German notait en 2015 que sans transparence et contrôle, la croissance exponentielle du recours aux contractuels depuis 9/11 « menace non seulement les finances publiques, mais en fin de compte notre sécurité nationale elle-même ». Pourquoi ?

Parce que l’absence de supervision adéquate engendre du gaspillage, de la fraude et des abus qui affaiblissent la mission sur le terrain. On a découvert par exemple que le contrôle qualité laissait à désirer : des programmes technologiques confiés à des prestataires n’ont pas abouti, sans que les contractants ne soient tenus responsables de leurs échecs.

La surfacturation et les dépassements budgétaires sont aussi monnaie courante quand la culture du profit s’immisce dans le renseignement.

Autre problème : la rétention des talents. En ayant recours aux contractuels, le gouvernement a parfois découragé ses propres employés – moins bien payés – et provoqué un brain drain vers le privé.

Cela a créé un cercle vicieux : plus on externalise, plus on affaiblit la fonction publique, donc plus on est obligé d’externaliser.

Enfin, sur le plan stratégique, cette période a montré le risque de perte de contrôle : l’affaire Snowden a bien illustré qu’un contractuel, employé d’une société privée (Booz Allen), a pu outrepasser la chaîne hiérarchique gouvernementale et porter un coup sévère aux programmes secrets.

Certes, on peut objecter que des traîtres il y en a aussi parmi les militaires (cf. le soldat Manning). Mais le fait que près de 500 000 contractuels aient eu accès en 2013 à des informations top-secrètes ou très sensibles montre l’ampleur du défi : c’est presque un demi-million d’individus hors du giron direct de l’État pouvant potentiellement accéder aux joyaux de la couronne. Cette dilution du contrôle ne s’est pas faite sans heurts.

En quoi ce précédent éclaire-t-il notre sujet ?

Il montre qu’à chaque fois que l’État a choisi la solution de facilité de l’externalisation massive, il a obtenu des résultats à court terme, mais a semé des problèmes systémiques à moyen/long terme. La situation actuelle du renseignement américain – contraint de repenser ses pratiques, de renforcer l’encadrement des contractuels, de colmater les brèches de sécurité et de restaurer la confiance du public après les révélations de surveillance de masse – découle en partie de ces choix passés. Externaliser la technologie aujourd’hui pourrait de même engendrer des difficultés demain : dépendance accrue, inflation des coûts cachés, besoin de créer de nouvelles structures de contrôle, etc.

Il est donc crucial d’apprendre de l’Histoire : toute externalisation doit être accompagnée d’une réflexion sur les garde-fous et les limites. La métaphore souvent employée est celle du contrat faustien – on gagne en puissance immédiate en pactisant avec des forces extérieures (le privé), mais on risque d’y perdre son âme (ici, sa souveraineté, son secret, son efficacité réelle sur le long terme).

Le conseil des anciens du renseignement pourrait se résumer ainsi : « Allez-y prudemment ». Oui, les contractuels et prestataires ont un rôle indispensable, comme le disait l’amiral (cr) Thomas Brooks : ils sont désormais « une partie cruciale et permanente du paysage du renseignement ».

Mais précisément parce qu’ils sont permanents, il faut apprendre à vivre avec eux intelligemment, c’est-à-dire sans naïveté et sans leur abandonner ce qui fait le cœur de la mission.

Ma conclusion : trouver l’équilibre entre innovation et préservation des fondamentaux

À l’issue de cette analyse, me voici partagé entre l’attrait de la modernisation rapide prônée par Tulsi Gabbard et la prudence dictée par les risques multiples identifiés.

D’un côté, je comprends tout à fait – et même je partage – son constat que l’État n’a pas toujours su innover au rythme du privé, et que collaborer davantage avec l’industrie technologique offre des opportunités fantastiques pour doter le renseignement des meilleurs outils du moment.

Les gains en efficacité, en agilité et en sophistication technologique peuvent être énormes, à condition que cette collaboration soit menée intelligemment.

Il ne fait aucun doute que l’IA, le cloud et d’autres innovations issues du civil peuvent devenir de redoutables force multipliers pour les espions et analystes, comme on l’a vu avec l’exemple de l’IA accélérant la déclassification de documents ou celui du chatbot déployé dans 18 agences pour faciliter l’accès à l’information.

Sur le plan stratégique, ignorer le secteur privé serait se priver d’un moteur d’innovation essentiel.

D’un autre côté, mon analyse m’a conforté dans l’idée que tout externaliser sans discernement serait une erreur périlleuse. Les outils technologiques ne sont pas de simples biens de consommation : ils sont le socle sur lequel repose la souveraineté informationnelle d’une nation. En dépendre aveuglément, c’est risquer un jour de se trouver désarmé si la source vient à manquer ou à se retourner contre nous.

De plus, le renseignement n’est pas un domaine anodin comme un autre – il touche au cœur de la sécurité nationale et des libertés publiques. En faire un marché comme un autre, c’est prendre le risque de pervertir ses objectifs ou de l’exposer à des influences incontrôlées.

Le défi sera donc de trouver un équilibre fin. Il ne s’agit pas de rejeter en bloc l’idée de Tulsi Gabbard, ni de l’embrasser sans réserve, mais de la mettre en œuvre de manière graduée et contrôlée. Concrètement, cela pourrait signifier :

  • Externaliser là où c’est pertinent – par exemple pour des services génériques où le privé excelle (stockage, calcul haute performance, outils collaboratifs, certaines analyses open source, etc.), tout en conservant en interne les développements les plus spécifiques ou sensibles (outils d’espionnage offensifs, algorithmes de chiffrement ultra-sensibles, etc.). En d’autres termes, garder un noyau dur souverain tout en profitant du meilleur du privé en périphérie.
  • Imposer des garde-fous contractuels et juridiques : chaque partenariat privé doit venir avec son lot d’exigences en matière de sécurité (tests d’intrusion réguliers, certifications), de confidentialité (pas de partage des données, accès strictement contrôlés et tracés), d’auditabilité (l’État doit pouvoir inspecter ce que fait l’algorithme s’il le faut) et de réversibilité (clause de sortie permettant de récupérer les données et de migrer ailleurs si nécessaire). L’externalisation ne doit pas être un chèque en blanc.
  • Renforcer les mécanismes de surveillance interne des activités du privé : par exemple, doter l’Inspecteur Général du renseignement de pouvoirs étendus pour inspecter les contrats, créer des cellules de contre-intelligence dédiées à surveiller les contractuels ayant accès aux secrets (pour détecter d’éventuelles compromissions), et impliquer davantage le Congrès dans le suivi de l’externalisation (via des rapports réguliers sur la part du budget allouée aux prestataires, les justifications, etc.). Autrement dit, ajuster la gouvernance à la nouvelle donne pour ne pas laisser de zones de non-droit.
  • Maintenir l’expertise interne malgré tout : cela passe par la formation continue des agents sur les nouvelles technologies, par des programmes de collaboration où des ingénieurs privés viennent en détachement au sein d’agences (et vice-versa) pour créer une pollinisation croisée mais aussi tisser une culture commune. Il faut éviter le scénario où, dans 10 ans, plus aucun employé public ne sait comment fonctionnent les systèmes critiques. L’État doit rester un acheteur éclairé, capable de comprendre et, si besoin, de reconstruire ce qu’il achète.

En adoptant ces précautions, la vision de Tulsi Gabbard pourrait être mise en œuvre sans renier les fondamentaux. Il est tout à fait possible d’imaginer une communauté du renseignement qui soit à la fois high-tech grâce au privé et hautement résiliente grâce à une supervision étatique vigilante. En fin de compte, ce débat s’inscrit dans une problématique plus large qui touche toutes les administrations à l’ère du numérique : comment embrasser l’innovation sans perdre son âme souveraine ? Chaque pays tâtonne pour trouver la réponse.

Pour ma part, à la lecture de ces faits et réflexions, je reste prudemment optimiste.

Oui, les risques sont nombreux et sérieux – cybersécurité, souveraineté, éthique – mais ils ne sont pas insurmontables si l’on en a conscience et qu’on les adresse frontalement.

Le pire serait de foncer tête baissée dans l’externalisation complète par effet de mode ou par excès de confiance, pour découvrir trop tard les failles du modèle.

Le meilleur scénario serait que cette évolution se fasse par étapes maîtrisées, en corrigeant le tir au fur et à mesure des retours d’expérience. En tant que professionnel attentif à ces questions, je continuerai à surveiller de près comment la communauté du renseignement navigue dans cette transition délicate.

Il en va, ni plus ni moins, de la sécurité à long terme et de la valeur démocratique du renseignement à l’ère du tout-technologique : trouver le juste point d’équilibre entre ouvrir la porte aux innovations et garder les clés de la maison.

Enjoy !

Sources :

  • David DiMolfetta, Nextgov/FCW – « US spy chief wants intel community to get away from building its own tech » (10 juin 2025)
  • Nextgov – Détails sur l’utilisation du cloud AWS par la CIA/NSA et déclarations de Tulsi Gabbard
  • GAO Report – IT Supply Chain Risk: risques de la chaîne logistique globale pour les systèmes fédéraux
  • GAO WatchBlog – SolarWinds Cyberattack: description de l’attaque SolarWinds et de son impact sur les agences fédérales
  • Polytechnique Insights – Christophe Gaie & Jean L. Berthelot, « La dépendance des États aux géants du numérique pose-t-elle problème ? » (09/09/2024), sur souveraineté numérique et risques des logiciels privés
  • Washington Post – Robert O’Harrow Jr., « The outsourcing of U.S. intelligence raises risks… » (09/06/2013), sur la croissance des contractuels depuis 9/11, 70% du budget du renseignement au privé
  • Brennan Center – Mike German, « Private Intelligence Contractors Need Better Oversight » (09/01/2015), citant Danielle Brian (POGO) sur l’opacité et les conflits d’intérêts liés aux contractuels
  • The Atlantic – Jordan Weissmann, « Edward Snowden: Exhibit A for How Washington Blows Money on Contractors » (10/06/2013), analyse historique sur la sous-traitance post-Guerre Froide et citation de Michael Hayden (NSA)
  • The Register – Jessica Lyons, « Tinfoil hat wearers can thank AI for declassification of JFK docs » (10/06/2025), compte-rendu du AWS Summit DC avec citations de Tulsi Gabbard sur l’arrêt des développements internes au profit des solutions du privé