Les agences de renseignement américaines cherchent à renforcer leurs liens avec la « Silicon Valley », mais un décalage frappant se dessine : l’absence de « licornes » cyberoffensives américaines, malgré les succès observés dans d’autres secteurs de la défense. Cette carence soulève des questions cruciales sur l’innovation et la stratégie de sécurité nationale des États-Unis.
Lors d’une récente discussion avec de hauts responsables du renseignement, une préoccupation majeure a émergé : le désir de tisser des partenariats plus solides avec le secteur privé des technologies, le fameux écosystème de la « Silicon Valley ». Ces acteurs gouvernementaux sollicitaient des conseils sur la manière d’engager le dialogue, de bâtir des relations et, ultimement, de concrétiser des collaborations stratégiques. Ironiquement, les entreprises qui suscitaient leur intérêt étaient majoritairement des plateformes grand public, innovantes certes, mais dont les missions n’étaient pas directement alignées sur les impératifs de sécurité nationale.
Cette conversation a mis en lumière une lacune plus fondamentale, déjà présente dans l’esprit de l’auteur depuis un certain temps : l’absence notable de « cyber-licornes » offensives américaines. Si des sous-traitants de la défense mènent des activités de cyberguerre sous contrat et en collaboration avec le gouvernement, et si des entreprises de cybersécurité telles que CrowdStrike, Mandiant et Dragos excellent dans la détection, la réponse et la résilience, où sont donc les startups qui développent des outils et des plateformes cyberoffensifs ? Pourquoi le modèle d’innovation soutenu par le capital-risque, qui a propulsé des succès dans les domaines des drones, de l’hypersonique et de l’espace, ne s’est-il pas appliqué au cyberoffensif ?
Des entreprises comme Anduril et SpaceX ont démontré avec brio que l’innovation propre à la Silicon Valley – axée sur les produits, optimisée en capital et véloce – peut prospérer au service de la sécurité nationale. Pourtant, cette approche n’a pas encore été pleinement transposée au domaine des cyberattaques. Certes, des contraintes juridiques et de secret-défense existent, mais elles n’ont pas empêché le développement de systèmes d’armes ou de plateformes ISR (Renseignement, Surveillance, Reconnaissance) hautement classifiées dans le secteur commercial.
Un coup d’œil à la liste NatSec100, qui recense les startups les plus prometteuses dans les domaines de la défense et de la sécurité nationale, confirme ce constat. On y trouve des entreprises actives dans l’IA, l’autonomie, la détection et la cybersécurité, mais aucune ne se focalise spécifiquement sur le cyberoffensif. Le temps est peut-être venu de s’interroger sur les raisons de cette singularité. Ne serait-il pas souhaitable que les meilleurs talents de sociétés comme CrowdStrike ou Mandiant se détachent pour créer des plateformes offensives de nouvelle génération ? Le Département de la Défense (DOD) et les services de renseignement (IC) ne devraient-ils pas encourager activement ce type d’innovation en semant les graines nécessaires et en construisant un écosystème propice ?
L’auteur est convaincu que la réponse est un « oui » retentissant. Pour approfondir ces discussions sur la cybersécurité, l’IA et l’avenir de la sécurité nationale, une participation au Sommet d’hiver du Cyber Initiatives Group, prévu le 10 décembre de 12h à 15h HE, est recommandée.