Marchander la sécurité ? Comment la cyberdéfense américaine se retrouve négociée à la table des discussions

Alors que les négociations commerciales s’intensifient avec la Chine, des critiques avertissent que les priorités cybernétiques américaines pourraient être sacrifiées.

Dans le monde à enjeux élevés de la diplomatie mondiale, chaque atout sur la table compte - mais que se passe-t-il lorsque cet atout est la cybersécurité nationale ? Les récentes décisions du gouvernement américain laissent penser que, pour faciliter les relations commerciales avec la Chine, des lignes autrefois tracées dans le sable numérique sont discrètement effacées. Derrière des portes closes, la résilience cybernétique de l’Amérique est-elle troquée contre des avantages économiques ?

En Bref

Les États-Unis auraient abandonné leurs projets de sanctions contre le ministère chinois de la Sécurité d’État pour son rôle dans des cyberattaques majeures, privilégiant les négociations commerciales.
Nvidia a reçu l’autorisation d’exporter de puissantes puces d’IA vers la Chine, malgré des tensions cyber persistantes.
Plus de 200 entreprises dans 80 pays ont été compromises par le groupe APT Salt Typhoon, lié à la Chine.
Les sanctions sont de plus en plus perçues comme des leviers de négociation diplomatique, et non plus seulement comme des réponses aux menaces cyber.
Des experts avertissent que les sanctions économiques seules ne suffisent pas à dissuader les cyberattaques étatiques ; des défenses plus robustes sont nécessaires.

Quand le commerce l’emporte sur la cybersécurité

La décision du gouvernement américain de renoncer à sanctionner le ministère chinois de la Sécurité d’État - malgré son implication présumée dans les attaques Salt Typhoon contre des géants des télécommunications - a suscité de vives critiques de la part des experts en sécurité. Associée au feu vert donné à Nvidia pour exporter ses processeurs IA H200 avancés vers la Chine, cette évolution marque un tournant clair : les préoccupations cybernétiques deviennent des outils de négociation, et non plus des lignes rouges intransigeantes.

« Les sanctions et contrôles à l’exportation liés au cyber sont désormais intégrés à des négociations plus larges sur le fentanyl, les balances commerciales et la politique industrielle », explique Antoine Harden, cadre fédéral en cybersécurité. L’implication ? Les outils cyber ne sont plus qu’une monnaie d’échange, plutôt qu’une affirmation de principes sur la conduite acceptable dans le cyberespace.

Ce phénomène n’est pas isolé. Les administrations Trump et Biden ont toutes deux utilisé les sanctions - et leur levée - dans le cadre d’accords plus vastes, que ce soit pour la coopération sur le fentanyl ou pour apaiser les tensions commerciales. Mais les critiques estiment que cette approche envoie un message dangereux aux adversaires : les sanctions économiques pour agression cyber sont négociables.

Les limites des sanctions

L’efficacité des sanctions pour dissuader les cyberattaques étatiques est, au mieux, discutable. Les campagnes cyber russes lors de l’invasion de l’Ukraine, tout comme l’espionnage numérique croissant de la Chine, ne montrent aucun signe de ralentissement. Le groupe Salt Typhoon à lui seul a compromis des centaines d’organisations, offrant un accès clandestin à des infrastructures sensibles dans le monde entier.

« On observe clairement que les sanctions sont traitées comme des jetons de négociation plutôt que comme un élément cohérent de la stratégie cyber », affirme Harden. Le vrai risque : les adversaires pourraient simplement attendre ou négocier la levée des sanctions, ce qui encouragerait de futures attaques.

Construire une véritable résilience cyber

Si les sanctions ne suffisent pas à stopper l’hémorragie, que faire ? Les experts plaident pour une « dissuasion par le refus » - rendre l’intrusion dans les systèmes américains si coûteuse et difficile que les attaquants renoncent. Cela implique de renforcer les défenses, d’appliquer des normes rigoureuses comme le CMMC 2.0 du Département de la Défense, et d’investir dans l’hygiène cyber à long terme.

« On ne peut pas sortir d’un compromis de la chaîne d’approvisionnement à coups de sanctions », insiste Harden. Si les États-Unis disposent de capacités offensives redoutables dans le cyber, celles-ci sont rarement utilisées publiquement, et la posture défensive reste le meilleur bouclier.