Une nouvelle enquête publiée soutient que le gouvernement fédéral se précipite dans l'intelligence artificielle de la même manière qu'il s'est précipité dans le cloud computing il y a dix ans, et avec les mêmes vulnérabilités structurelles toujours en place.
Résumé
- La journaliste de ProPublica, Renee Dudley, s'appuie sur des années de reportages sur la cybersécurité fédérale pour exposer trois leçons d'avertissement alors que l'administration Trump pousse les agences à adopter rapidement les outils d'IA d'OpenAI, Google et xAI à des tarifs gouvernementaux réduits
- La première leçon : les accords technologiques soi-disant gratuits ou bon marché finissent par enfermer les agences ; la deuxième : les programmes de surveillance comme FedRAMP ont été vidés de leur substance et manquent de ressources pour vérifier ce qu'ils approuvent ; la troisième : les auditeurs de parties tierces évaluant les fournisseurs d'IA sont payés par ces mêmes fournisseurs
- La Maison Blanche présente l'adoption de l'IA comme urgente et compétitive, reflétant le langage utilisé par l'administration Obama pour promouvoir le cloud computing, une transition que les reportages de ProPublica ont révélée criblée d'échecs en matière de cybersécurité
Renee Dudley de ProPublica a publié une enquête le 6 avril soutenant que, alors que l'administration Trump encourage les agences fédérales à adopter rapidement l'IA des grandes entreprises technologiques, elle répète les schémas qui ont tourmenté la transition de Washington vers le cloud computing, où la vitesse a primé sur la sécurité, la surveillance a été définancée, et le gouvernement est finalement devenu profondément dépendant de contractants sur lesquels il avait peu de prise.
La Maison Blanche a positionné l'IA comme un impératif de compétitivité nationale. Les agences peuvent désormais accéder au ChatGPT d'OpenAI pour 1 $, au Gemini de Google pour 47 centimes par utilisateur, et au Grok de xAI pour 42 centimes. Le cadrage, écrit Dudley, reflète étroitement le langage utilisé lorsque l'administration Obama a déclaré le cloud computing comme une priorité transformationnelle au début des années 2010.
Leçon un : Il n'y a pas de repas gratuit. L'enquête de ProPublica a révélé que l'engagement de Microsoft en 2021 de donner au gouvernement fédéral 150 millions de dollars en services de sécurité était, en pratique, un mécanisme de verrouillage. Après que les agences ont adopté les mises à niveau gratuites, passer à un concurrent aurait été coûteux et perturbateur. "C'était un succès au-delà de ce que n'importe qui d'entre nous aurait pu imaginer", a déclaré un ancien vendeur de Microsoft à ProPublica. Comme crypto.news l'a rapporté, Microsoft et OpenAI se sont depuis affrontés sur les termes de leur propre partenariat en IA, un signal de la complexité des contrats d'IA des grandes entreprises technologiques, même entre les parties impliquées.
Leçon deux : Les programmes de surveillance nécessitent des ressources réelles. Le Federal Risk and Authorization Management Program, connu sous le nom de FedRAMP, a été créé en 2011 pour vérifier les services de cloud computing avant que les agences fédérales ne soient autorisées à les utiliser. ProPublica a découvert que l'agence a épuisé FedRAMP pendant cinq ans pour obtenir l'approbation d'un produit cloud majeur malgré de sérieuses réserves en matière de cybersécurité. C'était avant DOGE. FedRAMP déclare maintenant qu'il fonctionne "avec un minimum absolu de personnel de soutien" et "un service client limité". Un porte-parole de la GSA a défendu le programme, affirmant qu'il "fonctionne avec des mécanismes de surveillance et de responsabilité renforcés", mais d'anciens employés ont dit à ProPublica qu'il fonctionne comme un tampon en caoutchouc.
Leçon trois : Les examens indépendants ne sont indépendants que dans une certaine mesure. Alors que la capacité interne de FedRAMP s'est réduite, les cabinets d'audit de parties tierces ont assumé davantage la fonction de vérification. Ces cabinets sont payés par les mêmes sociétés de cloud qu'ils évaluent. Les agences, souvent en sous-effectif, manquent de capacité pour mener leurs propres examens approfondis et s'appuient largement sur ces évaluations. Comme crypto.news l'a noté, la préoccupation plus large parmi les observateurs est que les gouvernements sont systématiquement plus lents à régir la technologie transformatrice que les entreprises qui la déploient.
Un schéma que la Maison Blanche n'a pas abordé
La GSA a reconnu que les "coûts d'utilisation de l'IA peuvent augmenter rapidement sans surveillance appropriée et contrôles de gestion" et a conseillé aux agences de fixer des limites d'utilisation et d'examiner les rapports de consommation. Mais les problèmes structurels sous-jacents demeurent : des organismes de surveillance sous-financés, des examens dépendants des fournisseurs, et des agences avec peu de prise une fois l'adoption enracinée.
La conclusion de Dudley est directe : "Les implications de cette réduction pour la cybersécurité fédérale sont considérables" alors que les agences adoptent des outils d'IA qui traitent des données gouvernementales sensibles sous le même cadre de surveillance affaibli qui a eu du mal à gérer le cloud.
Source : https://crypto.news/three-times-the-us-government-already-failed-at-tech/
