L'agence fédérale chargée de défendre les infrastructures critiques américaines contre les cyberattaques a perdu environ un tiers de son effectif depuis début 2025. Et la situation va encore s'aggraver.
L'Agence de la cybersécurité et de la sécurité des infrastructures, mieux connue sous l'acronyme CISA, fait face à une réduction budgétaire proposée de 707 millions de dollars pour l'exercice financier 2027, qui pourrait supprimer 766 autres postes à temps plein. Cela se produit au moment même où les menaces cybernétiques pilotées par l'IA évoluent plus rapidement que la plupart des organisations ne peuvent corriger leurs systèmes.
La menace de l'IA qui a changé la donne
Le 7 avril 2026, Anthropic a lancé Claude Mythos Preview, un modèle d'IA capable d'identifier des milliers de vulnérabilités zero-day et d'exécuter des attaques autonomes.
Les vulnérabilités zero-day sont des failles de sécurité que les développeurs de logiciels ne connaissent pas encore. Ce sont les exploitations les plus dangereuses, car aucun correctif n’est disponible lorsque les attaquants frappent. Historiquement, les découvrir exigeait des hackers d’élite possédant une expertise approfondie et passant des semaines ou des mois à sonder les systèmes. Claude Mythos Preview a considérablement réduit ce délai.
Le directeur par intérim de la CISA, Nick Andersen, a été décrit comme « à la table, mais pas dans le jeu » lors des premières discussions à la Maison-Blanche sur la réponse à la menace de l’IA. C’est une manière polie de dire que les contributions de l’agence sont entendues, mais ne déterminent pas les décisions.
Pire encore, la CISA n'a pas remplacé son chef de l'IA depuis le départ de ce poste en 2025. Ainsi, l'agence chargée de défendre l'infrastructure numérique du pays ne dispose d'aucun dirigeant senior dédié à la compréhension de la technologie même qui redéfinit le paysage des menaces.
Les pertes de personnel répondent à des menaces croissantes
La réduction des effectifs de la CISA d'environ un tiers a été réalisée grâce à une combinaison de rachats planifiés et de mesures budgétaires.
CISA gère le programme Known Exploited Vulnerabilities (KEV), qui maintient un catalogue des failles de sécurité activement exploitées et fixe des échéances pour les agences fédérales afin de les corriger. Les discussions actuelles examinent la possibilité de réduire ces délais de correction de plusieurs semaines à seulement trois jours.
Des anciens responsables ont exprimé publiquement leur préoccupation selon laquelle ce virage stratégique loin du rôle traditionnel de la CISA pourrait compromettre la gestion des vulnérabilités au moment où les capacités pilotées par l'IA rendent la réponse rapide plus importante que jamais.