Klaerenn
⌘K
Klaerenn
Tribunes

Les faucons du numérique

Une vulnérabilité, c'est une faille à corriger. C'est ce qu'on nous apprend. Un rapport de l'Atlantic Council dit l'inverse : c'est un actif stratégique à exploiter. Et ses auteurs savent de quoi ils parlent — leurs financeurs fabriquent les armes qui en dépendent.
Les faucons du numérique
"In the councils of government, we must guard against the acquisition of unwarranted influence, whether sought or unsought, by the military-industrial complex." — Dwight D. Eisenhower, 17 janvier 1961

Quand la vulnérabilité devient munition

Une vulnérabilité, c'est une faille à corriger. C'est ce que raconte l'écosystème CVE/NVD depuis 1999. C'est ce que répètent les frameworks de conformité. C'est ce que croient la plupart des responsables cybersécurité.

En juin 2025, l'Atlantic Council publie un rapport qui dit l'inverse. Une vulnérabilité, c'est un actif à acquérir, stocker, exploiter. Et les États-Unis n'en ont pas assez.

Le retournement

Le rapport s'intitule "Crash (exploit) and burn"¹. Trente-six pages sur la "supply chain cyber offensive" américaine. La question posée : si les États-Unis veulent utiliser davantage leurs capacités offensives contre la Chine, disposent-ils de la chaîne d'approvisionnement nécessaire ?

Traduisons : ont-ils assez de vulnérabilités exploitables en stock ?

La réponse : non. Le pipeline est dysfonctionnel. Trop d'intermédiaires entre le chercheur qui découvre une faille et l'agence qui l'exploite. Des cycles d'acquisition de 6 à 18 mois par exploit. Une dépendance aux talents étrangers. Un prix qui explose, de 100 000 dollars chez le chercheur à 750 000 ou un million chez le client final.

Les recommandations suivent : créer des accélérateurs au Department of Defense, établir un broker gouvernemental de vulnérabilités, étendre les programmes de formation offensive de la NSA.

J'ai documenté les États comme acheteurs sur le marché noir des vulnérabilités⁶. Ce rapport franchit une étape : il s'agit maintenant d'industrialiser l'approvisionnement.

Le mot "défense" apparaît dans le rapport. Comme obstacle. Les investissements de Google et Apple en cybersécurité "obstruent" les capacités offensives américaines, note l'auteure. Quand Microsoft corrige une faille, c'est un exploit qui disparaît du stock disponible.

Deux visions de la vulnérabilité coexistent désormais. L'une, héritée du modèle CVE, voit la faille comme un risque collectif à réduire. L'autre, portée par ce rapport, voit la faille comme une ressource stratégique à capter avant l'adversaire.

Ces deux visions sont incompatibles. Et l'une est en train de l'emporter à Washington.

Qui porte cette vision

Le rapport Atlantic Council n'est pas un accident intellectuel. Il s'inscrit dans un écosystème.

L'Atlantic Council compte parmi ses donateurs le Department of Defense, Raytheon Technologies, Lockheed Martin, Northrop Grumman². Le programme Cyber Risk Wednesday, qui produit ce type d'analyses, est explicitement financé par Raytheon, le même Raytheon cité dans le rapport comme acteur clé du pipeline à "sécuriser".

L'auteure déclare ses affiliations. Son mari dirige le programme DARPA INGOTS, mentionné dans les recommandations comme modèle pour la recherche automatisée de chaînes d'exploitation.

Je ne suggère pas une conspiration. Je décris un écosystème où les financeurs, les analystes et les bénéficiaires des recommandations forment un circuit cohérent. Les contractors financent le think tank. Le think tank recommande d'augmenter les budgets. Les budgets vont aux contractors³.

Ce circuit produit une vision du monde où la vulnérabilité est une munition, pas un défaut. Et cette vision influence directement la politique américaine.

En août 2018, l'administration Trump a publié le National Security Presidential Memorandum 13, qui a levé les freins aux opérations cyber offensives. Résultat selon un officiel de Cyber Command : plus d'opérations en quelques mois qu'en dix années précédentes.

L'administration Biden a tenté de réviser ce texte. Le Pentagone a résisté. L'essentiel demeure.

Le rapport Atlantic Council s'inscrit dans cette continuité. Il ne questionne pas la posture offensive. Il cherche à l'optimiser.

Ce que la Chine a compris

Pendant que Washington débat de l'optimisation de son pipeline, Pékin a résolu le problème autrement.

Depuis septembre 2021, la Regulation on Management of Security Vulnerabilities impose aux entreprises opérant en Chine de signaler toute vulnérabilité découverte au gouvernement dans les 48 heures⁵. Avant toute correction. Avant toute publication.

Le résultat est documenté. La base de données chinoise CNNVD publie les vulnérabilités en 13 jours en moyenne. Le NVD américain met 33 jours. La Chine couvre 75% des failles en une semaine. Les États-Unis mettent trois à cinq semaines⁴.

La Chine ne cherche pas à acheter des vulnérabilités sur un marché. Elle a nationalisé la découverte. Tout chercheur, toute entreprise tech opérant sur son territoire alimente automatiquement le stock gouvernemental.

Les deux systèmes ne parlent plus la même langue. L'un optimise un marché. L'autre l'a supprimé.

L'angle mort

Le rapport Atlantic Council a une théorie de la victoire : sécuriser le pipeline offensif, capter les vulnérabilités avant l'adversaire, maintenir l'avantage.

Il n'a pas de théorie de l'escalade.

Que se passe-t-il quand deux puissances stockent des vulnérabilités sur les infrastructures critiques de l'autre ? Volt Typhoon maintient des accès dormants sur le réseau électrique américain. Les États-Unis ont probablement des accès équivalents. Chaque camp prépare la capacité de paralyser l'autre.

Qui active en premier ? Comment distinguer un test de ligne rouge d'une déclaration de guerre ? Qui désescalade quand les systèmes des deux côtés réagissent plus vite que les humains ne peuvent décider ?

Ces questions sont absentes du rapport. Elles sont absentes du débat à Washington.

Entre 1906 et 1914, le Royaume-Uni et l'Allemagne se sont engagés dans une course aux cuirassés. Chaque construction d'un côté justifiait une réponse de l'autre. Les chantiers navals poussaient à l'escalade. Chaque décision était rationnelle au niveau de l'acteur individuel.

Le système a produit une guerre que personne ne voulait.

La différence avec le cyber : en 1914, la mobilisation prenait des semaines. En 2026, une chaîne d'exploitation se déclenche en minutes.

Ce que ça change

Pour un responsable cybersécurité européen, ce qui se passe à Washington peut sembler lointain. Ça ne l'est pas.

L'Europe a construit son écosystème de gestion des vulnérabilités sur le modèle américain. NVD comme référence, CVE comme standard, disclosure coordonnée comme principe. L'EUVD européen, lancé en 2025, transpose ce modèle.

Mais le modèle américain est en train de se scinder. D'un côté, l'infrastructure publique (NVD, CISA) continue de traiter la vulnérabilité comme un risque à corriger. De l'autre, l'appareil offensif traite la vulnérabilité comme un actif à exploiter.

Les deux ne peuvent pas coexister indéfiniment. Quand le même gouvernement finance la correction des failles et leur exploitation, les priorités finissent par entrer en conflit. Le rapport Atlantic Council le dit sans le formuler ainsi : les Big Tech américains qui investissent en défense "obstruent" les capacités offensives. Corriger, c'est détruire du stock.

L'Europe importe un modèle dont les États-Unis s'éloignent. Elle construit une réplique pendant que l'original mute.

La question n'est pas de savoir si Washington a raison ou tort. La question est de savoir si l'Europe veut suivre cette mutation ou construire autre chose.

Le rapport Atlantic Council documente méticuleusement le pipeline offensif américain. Il ne pose jamais la question : et ceux qui ne veulent pas jouer à ce jeu, ils font quoi ?

Ce que je ne sais pas

Je n'affirme pas que l'Atlantic Council coordonne délibérément ses recommandations avec ses donateurs. Le circuit que je décris peut résulter d'une convergence d'intérêts plutôt que d'une intention concertée.

Je ne sais pas non plus si l'Europe dispose d'une alternative viable. Construire un écosystème de vulnérabilités autonome prendrait une décennie. En attendant, la dépendance au modèle américain persiste, même si ce modèle se fragmente.

Cet article s'inscrit dans une série d'analyses sur les failles structurelles de la cybersécurité occidentale :

Références

¹ DeSombre Bernsen, W. (2025). "Crash (exploit) and burn", Atlantic Council, Cyber Statecraft Initiative, juin 2025 https://www.atlanticcouncil.org/in-depth-research-reports/report/crash-exploit-and-burn/

² Atlantic Council, "Honor Roll of Contributors 2022-2024" https://www.atlanticcouncil.org/support-the-council/honor-roll-of-contributors/

³ Responsible Statecraft (2023). "Weapons firms, donors tied to industry-friendly Atlantic Council report", juillet 2023 https://responsiblestatecraft.org/atlantic-council-defense-industry/

⁴ Recorded Future (2018). "China's CNNVD Vulnerability Database" https://www.recordedfuture.com/china-vulnerability-disclosure-cnnvd

⁵ CAC/MIIT (2021). Regulation on Management of Security Vulnerabilities (RMSV), septembre 2021

⁶ Voir article 3 de cette série : "Les États, architectes cachés du marché noir des vulnérabilités"

More like this

Lord of Cyber War

Lord of Cyber War

La dernière lettre de marque américaine remonte à 1812. Deux siècles plus tard, le Congrès envisage de ressusciter l'instrument. Pour lutter contre le cybercrime, dit-on. L'explication ne tient pas. Quelque chose d'autre se prépare.
Le dernier canal

Le dernier canal

« Le renseignement était authentique. C'était là toute sa beauté. » Le 7 janvier, les États-Unis se sont retirés de trois forums de coopération cyber. Le 9 janvier, la CISA a clôturé dix Emergency Directives. Moins une maturation qu'un arbitrage contraint.
I Am Altering the Deal

I Am Altering the Deal

Le 7 janvier 2026, les États-Unis ont quitté le Hybrid CoE, la Freedom Online Coalition et le GFCE. Trois forums cyber occidentaux abandonnés. Les dépendances européennes, elles, restent intactes.
Final report, 2026. Third officer reporting.

Final report, 2026. Third officer reporting.

600 millions de données exposées. 50 organisations majeures compromises. EDR en place, SOC opérationnel, conformité respectée. Elles ont quand même été compromises. Bilan 2025.
Desert Power : survivre sans l'Empire

Desert Power : survivre sans l'Empire

1 milliard de dollars pour les opérations cyber offensives US. CISA démantelée. CVE menacé. Les événements de l'automne 2025 valident un diagnostic posé depuis des mois.
We are the champions... or not

We are the champions... or not

Vade, Alsid, Sentryo, Qosmos : les quatre plus belles sorties cyber françaises sont parties ailleurs. On finance la souveraineté, on vend aux Américains. Anatomie d'un circuit.