Klaerenn
⌘K
Klaerenn
Tribunes

Desert Power : survivre sans l'Empire

1 milliard de dollars pour les opérations cyber offensives US. CISA démantelée. CVE menacé. Les événements de l'automne 2025 valident un diagnostic posé depuis des mois.
Desert Power : survivre sans l'Empire
..et Chani se dit que ça va mal finir

Quand les événements valident l'analyse — et révèlent un franchissement de seuil.

Dans une série de quatre articles publiés cette année, j'ai posé un diagnostic en plusieurs temps : un système de gestion des vulnérabilités devenu lui-même vulnérabilité critique, une Europe structurellement dépendante d'une infrastructure américaine fragile, des États architectes de l'insécurité qu'ils prétendent combattre, et une intelligence artificielle qui révèle l'impossibilité mathématique du modèle défensif occidental.

Les événements de l'automne 2025 ne constituent pas une surprise. Ils représentent la manifestation concrète de ces failles structurelles.

Une provision de 1 milliard de dollars pour les opérations cyber offensives. Enterrée dans la loi fiscale américaine. Bloomberg l'a révélé le 12 décembre¹ : l'administration Trump prépare l'enrôlement d'entreprises privées pour mener des cyberattaques contre des adversaires étrangers.

Ce n'est pas un scandale. C'est un signal. Et il gagne à être lu en parallèle d'autres événements de cet automne.

L'infrastructure américaine : de la fragilité à la rupture

Dans le premier article de cette série, j'écrivais que le système mondial de gestion des vulnérabilités reposait sur un "single point of failure" américain. Le shutdown l'a démontré concrètement.

Du 1er octobre au 12 novembre 2025, le gouvernement fédéral américain a connu son plus long shutdown. 43 jours². La CISA a fonctionné avec 35% de ses effectifs³. Le Cybersecurity Information Sharing Act de 2015, qui encadrait le partage d'informations sur les menaces entre secteur privé et gouvernement, a expiré le 30 septembre sans être renouvelé⁴.

Le backlog du NVD a franchi les 20 000 CVE non traités en novembre⁵. Le NIST a reconnu que son engagement à éliminer ce retard était "optimistic"⁶. 39% de la base totale, soit plus de 112 800 entrées, sont en attente ou différées. Ce dernier statut a été appliqué à toutes les vulnérabilités antérieures à 2018⁷, signe d'un arbitrage pragmatique face à l'accumulation.

MITRE a utilisé pour la première fois un LLM pour réévaluer les mappings de son Top 25 CWE 2025. La page de méthodologie officielle indique que l'outil a permis d'inférer des mappings "that would likely be missed by human analysts due to limitations of time or expertise"⁸. 24% du dataset, soit 9 468 CVE sur 39 080, ont dû être réévalués. Une adaptation intéressante, qui pose aussi des questions sur la soutenabilité du modèle actuel.

L'Europe : l'illusion de la souveraineté

Le deuxième article analysait la dépendance européenne aux standards américains : 85% des solutions de sécurité européennes reposent sur les données du NVD. L'EUVD devait changer la donne.

Côté européen, l'EUVD lancée en mai 2025 progresse, mais les analyses de VulnCheck pointent des lacunes : plus de 50 000 CVE absents de l'API principale, couverture Linux incomplète⁹. L'architecture actuelle transpose automatiquement les données CVE et le catalogue KEV américain. C'est un choix rationnel à court terme, qui mérite d'être questionné à plus long terme. Comme le note VulnCheck : "EUVD is not designed to replace the CVE Program but rather to complement it as a downstream repository"¹⁰.

NIS2 avance aussi, mais lentement. Le 7 mai 2025, la Commission européenne a envoyé un "reasoned opinion" à 19 États membres, dont la France, l'Allemagne, l'Espagne et les Pays-Bas, pour non-transposition complète¹¹. L'Allemagne a finalisé sa transposition en novembre 2025¹². La France a repoussé ses débats à 2026, contexte politique oblige¹³.

Les faits sont là. Qu'est-ce qu'on peut en tirer ?

Le franchissement du seuil : la privatisation de l'offensif

Le troisième article décrivait les États comme "architectes cachés du marché noir des vulnérabilités", finançant discrètement l'insécurité qu'ils prétendent combattre. La privatisation de l'offensif représente un changement de nature : ce n'est plus de l'hypocrisie, c'est une doctrine assumée.

Alexei Bulazel, directeur senior cyber au Conseil de sécurité nationale, l'a exprimé clairement en septembre : l'administration "is unapologetic about pursuing offensive cyber actions"¹⁴. Les entreprises privées seront associées. Un cadre juridique est en préparation.

On peut y voir une normalisation de pratiques jusqu'ici discrètes. On peut aussi y voir une réponse à une réalité : les capacités offensives se sont démocratisées, et les États-Unis cherchent à maintenir leur avantage en mobilisant leur écosystème privé. La Chine fait de même avec ses propres structures¹⁵.

Les implications méritent attention. Plus d'acteurs auront accès à des capacités offensives sophistiquées. Le marché des vulnérabilités va se structurer différemment. Les frontières entre secteurs public et privé vont continuer à s'estomper.

L'asymétrie en action : le cas React

Le quatrième article posait l'équation mathématique : amélioration linéaire de la défense face à croissance exponentielle de l'offense. Le cas React l'illustre parfaitement, mais ce n'est pas une exception.

Selon VulnCheck, 32% des vulnérabilités ajoutées au catalogue KEV au premier semestre 2025 ont été exploitées le jour même de leur publication¹⁹. React n'est pas l'anomalie. C'est l'illustration spectaculaire d'une normalité où le délai entre disclosure et exploitation se compte en heures.

Le 3 décembre, CVE-2025-55182 a concrétisé ce différentiel. Vulnérabilité critique dans React Server Components, CVSS 10.0, exécution de code à distance¹⁶. React équipe environ 40% des développeurs web¹⁷. En quelques jours, l'Unit 42 de Palo Alto documentait une exploitation active par CL-STA-1015, un Initial Access Broker lié au Ministry of State Security chinois¹⁸.

Le backlog NVD dépasse 20 000 entrées. Les attaquants sophistiqués exploitent en heures. Ce décalage structurel ne fait que s'accentuer.

Ce que ça ouvre comme réflexions

Le modèle qui consiste à attendre les CVE publiées et les alertes gouvernementales pour réagir montre ses limites. La CISA à effectifs réduits, le NVD sous tension, les mécanismes de partage fragilisés. Ces constats invitent à repenser les équilibres.

La réponse dominante à cette situation est la "speed security" : patcher plus vite, détecter plus vite, automatiser davantage. C'est l'optimisation d'un modèle qui perd structurellement. Face à une asymétrie mathématique où l'offense progresse exponentiellement et la défense linéairement, aller plus vite ne change pas l'issue.

L'alternative est un changement de paradigme : passer de "empêcher l'incident" à "survivre à l'incident". Concevoir des architectures qui limitent la propagation. Accepter que la compromission est une question de temps, pas de probabilité. Investir dans la capacité à opérer en mode dégradé plutôt que dans l'illusion du périmètre intact.

Ce n'est pas une solution. C'est une orientation. Et elle reste largement à explorer.

Ce que je ne sais pas : comment la privatisation de l'offensif va recomposer le marché des vulnérabilités. Si l'EUVD peut combler ses lacunes et proposer une vraie valeur ajoutée. Si NIS2 trouvera son rythme de croisière avant d'être rattrapée par les événements.

Ce que ces trois mois suggèrent : le système actuel de gestion des vulnérabilités atteint des limites structurelles. Les agences font ce qu'elles peuvent avec des moyens contraints. Les États réorientent une partie de leurs ressources vers l'offensif. L'Europe construit ses outils, mais reste dépendante des fondations américaines.

Ce n'est pas une catastrophe. C'est une transition. Et comme toute transition, elle ouvre des opportunités pour ceux qui la comprennent tôt.

1 milliard de dollars pour l'offensif. C'est peut-être le moment d'en parler.

Cet article s'inscrit dans une série d'analyses sur les failles structurelles de la cybersécurité occidentale :

Références

¹ Bloomberg, "Trump Administration Turning to Private Firms in Cyber Offensive", 12 décembre 2025 https://www.bloomberg.com/news/articles/2025-12-12/trump-administration-turning-to-private-firms-in-cyber-offensive

² Wikipedia, "2025 United States federal government shutdown" https://en.wikipedia.org/wiki/2025_United_States_federal_government_shutdown

³ GIS Reports, "U.S. cybersecurity policy under Trump", novembre 2025 https://www.gisreportsonline.com/r/trump-cyber/

⁴ GIS Reports, ibid. ("The expiration of CISA's 2015 legislation at the end of September – coinciding with the federal government shutdown")

Socket.dev, "NVD Backlog Tops 20,000 CVEs Awaiting Analysis", novembre 2025 https://socket.dev/blog/nvd-backlog-tops-20-000-cves

⁶ NIST NVD Updates, 13 novembre 2025 ("our initial estimate of when we would clear the backlog was optimistic") https://www.nist.gov/itl/nvd

⁷ NIST, "All CVEs with a published date prior to 01/01/2018 that are awaiting further enrichment will be marked as Deferred", 2 avril 2025 https://www.nist.gov/itl/nvd

⁸ MITRE, "2025 CWE Top 25 Methodology", 10 décembre 2025 https://cwe.mitre.org/top25/archive/2025/2025_methodology.html

⁹ VulnCheck, "Does ENISA EUVD live up to all the hype?", mai 2025 https://www.vulncheck.com/blog/enisa-euvd

¹⁰ Infosecurity Europe, "How to Use Europe's New Vulnerability Database", juillet 2025 https://www.infosecurityeurope.com/en-gb/blog/future-thinking/how-to-use-euvd-enisa.html

¹¹ European Commission, "Commission calls on 19 Member States to fully transpose the NIS2 Directive", 7 mai 2025 https://digital-strategy.ec.europa.eu/en/news/commission-calls-19-member-states-fully-transpose-nis2-directive

¹² ECSO NIS2 Transposition Tracker, mis à jour décembre 2025 https://ecs-org.eu/activities/nis2-directive-transposition-tracker/

¹³ European Commission, NIS2 Directive Transposition Status - France https://digital-strategy.ec.europa.eu/en/policies/nis-transposition

¹⁴ Beinsure, "Trump plans to enlist private firms for offensive cyber operations", décembre 2025 https://beinsure.com/news/trump-plans-enlist-firms-offensive-cyber-operations/

¹⁵ GIS Reports, "Beijing increasingly relies on private contractors – such as iS00N, Chengdu 404, Storm 2603, Linen Typhoon and Violet Typhoon" https://www.gisreportsonline.com/r/trump-cyber/

¹⁶ React Team, "Critical Security Vulnerability in React Server Components", 3 décembre 2025 https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

¹⁷ Trend Micro, "Critical React Server Components Vulnerability CVE-2025-55182", décembre 2025 https://www.trendmicro.com/en_us/research/25/l/critical-react-server-components-vulnerability.html

¹⁸ Palo Alto Networks Unit 42, "Exploitation of Critical Vulnerability in React Server Components", décembre 2025 https://unit42.paloaltonetworks.com/cve-2025-55182-react-and-cve-2025-66478-next/

¹⁹ VulnCheck, "State of Exploitation - 1H 2025", juillet 2025 ("32.1% of vulnerabilities being exploited on or before the day of the CVE disclosure") https://www.vulncheck.com/blog/state-of-exploitation-1h-2025

Initialement publié sur LinkedIn le 2025-12-17

More like this

Les faucons du numérique

Les faucons du numérique

Une vulnérabilité, c'est une faille à corriger. C'est ce qu'on nous apprend. Un rapport de l'Atlantic Council dit l'inverse : c'est un actif stratégique à exploiter. Et ses auteurs savent de quoi ils parlent — leurs financeurs fabriquent les armes qui en dépendent.
Lord of Cyber War

Lord of Cyber War

La dernière lettre de marque américaine remonte à 1812. Deux siècles plus tard, le Congrès envisage de ressusciter l'instrument. Pour lutter contre le cybercrime, dit-on. L'explication ne tient pas. Quelque chose d'autre se prépare.
Le dernier canal

Le dernier canal

« Le renseignement était authentique. C'était là toute sa beauté. » Le 7 janvier, les États-Unis se sont retirés de trois forums de coopération cyber. Le 9 janvier, la CISA a clôturé dix Emergency Directives. Moins une maturation qu'un arbitrage contraint.
I Am Altering the Deal

I Am Altering the Deal

On January 7, 2026, the United States withdrew from the Hybrid CoE, the Freedom Online Coalition and the GFCE. Three Western cyber forums abandoned. European dependencies remain intact.
I Am Altering the Deal

I Am Altering the Deal

Le 7 janvier 2026, les États-Unis ont quitté le Hybrid CoE, la Freedom Online Coalition et le GFCE. Trois forums cyber occidentaux abandonnés. Les dépendances européennes, elles, restent intactes.
Final report, 2026. Third officer reporting.

Final report, 2026. Third officer reporting.

600 millions de données exposées. 50 organisations majeures compromises. EDR en place, SOC opérationnel, conformité respectée. Elles ont quand même été compromises. Bilan 2025.