Une nouvelle enquête publiée affirme que le gouvernement fédéral se précipite vers l'intelligence artificielle de la même manière qu'il s'est précipité vers le cloud computing il y a dix ans, et avec les mêmes vulnérabilités structurelles toujours présentes.
Renee Dudley de ProPublica a publié une enquête le 6 avril affirmant que, alors que l'administration Trump encourage les agences fédérales à adopter rapidement l'IA des grandes entreprises technologiques, elle reproduit les schémas qui ont entravé la transition de Washington vers le cloud computing, où la vitesse a primé sur la sécurité, la surveillance a été définancée et le gouvernement est finalement devenu profondément dépendant de contractants sur lesquels il avait peu d'influence.
La Maison Blanche a positionné l'IA comme un impératif de compétitivité nationale. Les agences peuvent désormais accéder à ChatGPT d'OpenAI pour 1 $, à Gemini de Google pour 47 cents par utilisateur, et à Grok de xAI pour 42 cents. Cette formulation, écrit Dudley, reflète étroitement le langage utilisé lorsque l'administration Obama a déclaré le cloud computing une priorité transformationnelle au début des années 2010.
Leçon un : Il n'y a pas de repas gratuit. L'enquête de ProPublica a révélé que la promesse de Microsoft en 2021 d'offrir au gouvernement fédéral 150 millions de dollars en services de sécurité était, en pratique, un mécanisme de verrouillage. Après que les agences eurent adopté les mises à niveau gratuites, passer à un concurrent aurait été coûteux et perturbateur. « Ce fut un succès au-delà de ce que quiconque d'entre nous aurait pu imaginer », a déclaré un ancien vendeur de Microsoft à ProPublica. Comme l'a rapporté crypto.news, Microsoft et OpenAI se sont depuis affrontés sur les termes de leur propre partenariat en matière d'IA, un signe de la complexité des contrats d'IA des grandes technologies, même entre les parties impliquées.
Leçon deux : Les programmes de surveillance nécessitent des ressources réelles. Le Federal Risk and Authorization Management Program, connu sous le nom de FedRAMP, a été créé en 2011 pour évaluer les services de cloud computing avant que les agences fédérales ne soient autorisées à les utiliser. ProPublica a découvert que l'agence avait épuisé FedRAMP pendant cinq ans pour obtenir l'approbation d'un produit cloud majeur malgré de sérieuses réserves en matière de cybersécurité. C'était avant DOGE. FedRAMP déclare maintenant fonctionner « avec un minimum absolu de personnel de soutien » et un « service client limité ». Un porte-parole de la GSA a défendu le programme, affirmant qu'il « opère avec des mécanismes de surveillance et de responsabilisation renforcés », mais d'anciens employés ont déclaré à ProPublica qu'il fonctionnait comme un tampon en caoutchouc.
Leçon trois : Les examens indépendants ne sont que si indépendants. À mesure que la capacité interne de FedRAMP a diminué, les sociétés d'audit tierces ont assumé une plus grande partie de la fonction de vérification. Ces entreprises sont rémunérées par les mêmes sociétés de cloud qu'elles évaluent. Les agences, souvent en sous-effectif, manquent de la capacité de mener leurs propres examens approfondis et se fient largement à ces évaluations. Comme l'a noté crypto.news, la préoccupation plus large chez les observateurs est que les gouvernements sont constamment plus lents à réguler les technologies transformatrices que les entreprises qui les déploient.
La GSA a reconnu que les « coûts d'utilisation » de l'IA « peuvent augmenter rapidement sans contrôles de surveillance et de gestion appropriés » et a conseillé aux agences de fixer des limites d'utilisation et d'examiner les rapports de consommation. Mais les problèmes structurels sous-jacents demeurent : des organismes de surveillance sous-financés, des examens dépendants des fournisseurs et des agences ayant peu d'influence une fois que l'adoption devient enracinée.
La conclusion de Dudley est cinglante : « Les implications de cette réduction pour la cybersécurité fédérale sont considérables » alors que les agences adoptent des outils d'IA qui traitent des données gouvernementales sensibles sous le même cadre de surveillance affaibli qui a eu du mal à gérer le cloud.
