Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Gestion des risques liés à la cybersécurité > Le gouvernement fédéral vient d’admettre que son processus de sécurité cloud ne fonctionne pas

Le gouvernement fédéral vient d’admettre que son processus de sécurité cloud ne fonctionne pas

par Paul Sechser updated mars 24, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 9 minutes

Le 18 mars 2026, ProPublica a publié une enquête qui devrait alerter toute organisation s’appuyant sur l’autorisation FedRAMP comme gage de confiance pour la sécurité cloud. L’histoire est simple : pendant près de cinq ans, les examinateurs fédéraux en cybersécurité ont tenté — sans succès — de vérifier comment Microsoft protège les données gouvernementales sensibles dans GCC High, sa suite cloud conçue pour gérer certaines des informations non classifiées les plus sensibles de l’État.

Points clés à retenir

  1. FedRAMP a autorisé Microsoft GCC High malgré près de cinq ans de préoccupations de sécurité non résolues — car le produit était déjà trop implanté dans l’administration fédérale pour être rejeté. Les examinateurs fédéraux ont passé 480 heures et mené 18 analyses techniques approfondies, mais ont finalement conclu qu’ils « manquaient de confiance » dans la posture de sécurité globale du produit.
  2. Microsoft n’a pas pu démontrer à FedRAMP comment il chiffre les données gouvernementales sensibles en transit — une exigence de base qu’Amazon et Google documentaient systématiquement. Les examinateurs n’ont jamais dépassé l’analyse d’un seul service, Exchange Online, avant que la procédure ne s’effondre.
  3. Les cabinets tiers chargés d’évaluer indépendamment GCC High ont indiqué en privé à FedRAMP qu’ils ne pouvaient pas auditer complètement le produit — alors que leurs rapports officiels affirmaient le contraire. Coalfire et Kratos ont tous deux transmis des préoccupations en coulisses qu’ils n’ont pas consignées par écrit pour le client qui les rémunérait.
  4. Les coupes budgétaires du DOGE ont réduit FedRAMP à une vingtaine de collaborateurs concentrés sur la délivrance d’autorisations à un rythme record — au détriment de véritables audits de sécurité. Le budget annuel du programme, de 10 millions de dollars, est le plus bas depuis dix ans, alors même que les agences accélèrent l’adoption d’outils d’IA cloud.
  5. Les labels de conformité ne garantissent pas la sécurité — il faut des architectures cloud capables d’apporter une protection vérifiable et continue, quel que soit l’organisme qui délivre le certificat. Le rapport prévisionnel 2026 de Kiteworks sur la sécurité des données et les risques de conformité révèle que 38 % des organismes publics s’appuient encore sur des processus de conformité manuels ou périodiques.

Ils ont donc donné leur autorisation. Non pas parce que leurs questions avaient trouvé réponse. Non pas parce que l’audit était terminé. Mais parce que le produit était déjà trop profondément intégré au sein du ministère de la Justice, du ministère de l’Énergie et de la base industrielle de défense pour être refusé.

Un membre de l’équipe d’audit FedRAMP a résumé la documentation de sécurité fournie par Microsoft en des termes accessibles à tous. Un autre examinateur a confié au DOJ qu’il était même impossible de quantifier les inconnues restantes. Tony Sager, ancien informaticien de la NSA ayant passé trois décennies au sein du gouvernement, a résumé en cinq mots ce que signifie réellement l’autorisation FedRAMP : « Ce n’est pas de la sécurité. C’est du théâtre de la sécurité. »

Ce que Microsoft n’a pas pu — ou voulu — montrer

Le problème de fond était d’une simplicité trompeuse. FedRAMP voulait des schémas de flux de données : des illustrations techniques montrant comment les données circulent du point A au point B et, surtout, comment elles sont chiffrées tout au long du parcours. Lorsque les données transitent dans une infrastructure cloud — passant d’un serveur à un autre, via des load balancers et des couches de stockage — le chiffrement en transit empêche toute interception. Vérifier ce chiffrement exige de visualiser l’intégralité du chemin.

Microsoft a jugé la demande trop complexe. FedRAMP a proposé de commencer par un seul service : Exchange Online. Microsoft a fourni un livre blanc sur la stratégie de chiffrement, mais sans les détails précis permettant de localiser où le chiffrement et le déchiffrement interviennent réellement. Cette omission a empêché FedRAMP de vérifier que la protection était bien effective.

D’autres grands fournisseurs cloud — dont Amazon et Google — fournissaient systématiquement ce niveau de documentation. Le CrowdStrike Global Threat Report 2026 souligne l’urgence : 82 % des détections ne concernent plus de malwares, ce qui signifie que les attaquants contournent les défenses classiques via l’usurpation d’identité et le vol de credentials. Dans ce contexte, le chiffrement et la visibilité sur les flux de données ne sont pas des options facultatives : ils constituent la dernière ligne de défense.

Selon des personnes familières de la technologie Microsoft, le problème est d’ordre architectural. Les services cloud de la société reposent sur des couches de code héritées de plusieurs décennies. Un examinateur FedRAMP a comparé les flux de données obtenus à un enchevêtrement inextricable — les données voyageant de Washington à New York en bus, ferry et avion, au lieu de suivre un trajet direct. Chaque détour supplémentaire représente une occasion d’interception si les données ne sont pas correctement chiffrées.

Le conflit d’intérêts des évaluateurs dont personne ne parle

FedRAMP souffre d’un problème structurel que l’affaire GCC High rend impossible à ignorer. Les cabinets d’audit tiers, censés évaluer indépendamment les produits cloud, sont recrutés et rémunérés par les fournisseurs cloud eux-mêmes.

En 2020, les deux évaluateurs de Microsoft — Coalfire et Kratos — ont indiqué en privé à FedRAMP qu’ils n’avaient pas pu obtenir les informations nécessaires pour évaluer pleinement GCC High. Ils l’ont fait par un canal confidentiel, jamais dans leurs rapports officiels. FedRAMP a finalement placé Kratos sous plan d’action correctif pour ne pas avoir suffisamment challengé Microsoft.

C’est comme si un inspecteur du bâtiment, payé par le promoteur, découvrait des fissures dans les fondations, les murmurait à la mairie, puis signait le permis. Le Black Kite Third-Party Breach Report 2026 chiffre les conséquences à grande échelle : parmi les 50 fournisseurs tiers les plus connectés, 70 % présentaient une faille référencée CISA KEV, 84 % des vulnérabilités critiques avec un score CVSS de 8 ou plus, et 62 % des credentials d’entreprise circulaient dans des stealer logs. Scores de conformité élevés et failles de sécurité graves coexistent sans problème, et le modèle d’évaluation y contribue largement.

Le Global Cybersecurity Outlook 2026 du World Economic Forum confirme que la gestion des risques supply chain est traitée comme une simple checklist de conformité, et non comme un processus dynamique. Seules 27 % des organisations simulent des cyberincidents ou organisent des exercices de reprise avec leurs partenaires supply chain. À peine 33 % cartographient réellement leur écosystème supply chain. Le modèle d’évaluation entretient cette complaisance en produisant des certifications qui paraissent sérieuses, mais sans exiger la profondeur de preuves qu’impose la sécurité réelle.

« Trop gros pour échouer » est devenu « trop intégré pour être rejeté »

L’affaire GCC High ne concerne pas qu’un seul produit. Elle illustre ce qui se passe lorsque l’adoption du cloud dépasse la validation de la sécurité.

Lorsque Melinda Rogers (DOJ) a autorisé GCC High début 2020, le produit a été inscrit sur le FedRAMP Marketplace comme « en cours d’évaluation ». Cette mention — sur un site gouvernemental utilisé par les acheteurs publics — a servi d’aval implicite. D’autres agences l’ont adopté. Le Pentagone a exigé que ses sous-traitants répondent aux normes FedRAMP, et Microsoft a présenté GCC High aux industriels de la défense comme étant conforme, sans autorisation complète.

Quand l’équipe FedRAMP a finalement constaté des problèmes fondamentaux, retirer le produit aurait perturbé de nombreuses agences et une multitude de sous-traitants de la défense. Le résumé FedRAMP lui-même en convenait : ne pas autoriser « impacterait plusieurs agences déjà utilisatrices de GCC-H ». Ils ont donc donné leur feu vert sous conditions — une mention « à vos risques et périls » qui transférait la responsabilité aux agences utilisatrices.

Le rapport Kiteworks 2025 sur le transfert sécurisé de fichiers révèle que 72 % des organisations affirment évaluer sérieusement la sécurité de leurs fournisseurs, mais le taux d’incidents reste de 59 %. Une évaluation approfondie ne comble pas les failles de sécurité si elle repose sur des informations incomplètes. Et quand le fournisseur est trop gros et trop intégré pour être refusé, l’évaluation devient purement théorique.

Les coupes du DOGE ont aggravé la situation

Si le processus FedRAMP était déjà sous tension, le Department of Government Efficiency l’a rendu structurellement inopérant. Les effectifs ont fondu, le budget a été ramené à 10 millions de dollars — le plus bas depuis dix ans — et la vingtaine de collaborateurs restants ont reçu pour consigne de délivrer les autorisations à marche forcée.

Le rapport prévisionnel 2026 de Kiteworks sur la sécurité des données et les risques de conformité montre que les organismes publics accusent un écart de 24 points entre l’adoption de modèles de gouvernance formels (86 %) et l’automatisation de la conformité (62 %). Cela signifie que la documentation existe, mais que l’infrastructure pour la mettre en œuvre fait défaut. Après les coupes du DOGE, FedRAMP incarne ce même problème à l’échelle institutionnelle : le programme subsiste, mais sa capacité à agir concrètement a été vidée de sa substance.

Ce constat dépasse largement Microsoft. Alors que l’État accélère l’adoption d’outils d’IA cloud — qui nécessitent l’accès à d’énormes volumes de données sensibles — le programme censé valider la sécurité cloud dispose de moins de ressources, de moins d’expertise et subit plus de pression qu’à aucun moment de son histoire. La Maison Blanche de Biden a publié une note indiquant que FedRAMP « doit être capable de mener des audits rigoureux ». L’administration actuelle (GSA) a répondu que le rôle de FedRAMP n’est « pas de déterminer si un service cloud est suffisamment sécurisé », mais « d’apporter aux agences les informations nécessaires pour prendre ces décisions de risque ». C’est une vraie révision à la baisse des ambitions. Et la plupart des agences n’ont pas les effectifs pour compenser.

La porte tournante qui complète le tableau

L’enquête ProPublica a également mis en lumière un autre point d’attention : la circulation des décideurs clés entre l’administration et Microsoft. Melinda Rogers, responsable DOJ ayant autorisé GCC High et qui siégeait ensuite aux côtés du représentant Microsoft lors d’une réunion poussant FedRAMP à valider le produit, a été recrutée par Microsoft en 2025. Lisa Monaco, procureure générale adjointe qui avait lancé l’initiative DOJ pour responsabiliser les sous-traitants publics en matière de fraude à la cybersécurité, a quitté l’administration en janvier 2025. Microsoft l’a recrutée comme présidente des affaires internationales.

Microsoft affirme que ces recrutements respectaient toutes les règles d’éthique. Peut-être. Mais l’image renvoyée — conjuguée aux cinq années de mansuétude dont FedRAMP a fait preuve envers une entreprise impliquée dans deux des pires cyberattaques contre l’État — illustre une dynamique plus large. Les entreprises évaluées, les évaluateurs et ceux qui édictent les règles font tous partie du même écosystème. L’indépendance, dans ce contexte, exige des garde-fous structurels, pas seulement de bonnes intentions.

Architecture avant autorisation : l’approche Kiteworks pour la sécurité cloud du secteur public

L’affaire GCC High montre ce qui arrive quand on confond autorisation de conformité et sécurité réelle. Kiteworks fait le choix inverse : construire d’abord l’architecture de sécurité, et laisser la preuve de conformité découler des contrôles eux-mêmes.

Kiteworks détient une autorisation FedRAMP Moderate ininterrompue depuis juin 2017 — soit près de neuf ans de validation continue de la sécurité fédérale. Son Secure Gov Cloud est passé au statut FedRAMP High In Process, avec un partenaire public en cours d’examen du dossier pour l’Autorité d’Exploitation au niveau High. Cette progression — Moderate depuis 2017, High Ready en février 2025, High In Process en 2026 — témoigne d’un historique concret, pas d’un simple argument marketing.

Là où l’affaire GCC High a révélé des lacunes dans la documentation du chiffrement et la visibilité sur les flux de données, Kiteworks propose une appliance virtuelle durcie à locataire unique, dotée de contrôles de sécurité intégrés — pare-feu réseau, pare-feu applicatif web, détection d’intrusion — qui ne nécessitent aucune configuration côté client. Le double chiffrement au repos utilise des clés distinctes au niveau fichier et disque. Les modules cryptographiques validés FIPS 140-3 répondent aux exigences de 69 % des répondants du secteur public et 59 % du secteur financier, selon les données Kiteworks. Chaque échange de données sensibles — messagerie électronique, partage de fichiers, SFTP, transfert sécurisé de fichiers, formulaires de données, APIs — génère une traçabilité complète et en temps réel, sans limitation ni délai.

La différence architecturale est fondamentale. Là où les examinateurs FedRAMP de Microsoft décrivaient un système opaque, Kiteworks offre une visibilité totale sur chaque flux de données, quel que soit le canal d’échange. Là où les évaluateurs tiers peinaient à obtenir une vision d’ensemble, les tableaux de bord de conformité Kiteworks cartographient les contrôles sur plus de 14 cadres réglementaires, depuis une seule plateforme.

Que faire dès maintenant — sans attendre que FedRAMP se réforme

Premièrement, cessez de considérer l’autorisation FedRAMP comme une garantie de sécurité. Ce n’est qu’un élément d’appréciation du risque, pas une conclusion. Tout fournisseur cloud manipulant des données sensibles doit pouvoir démontrer l’architecture de chiffrement, la visibilité sur les flux de données et la traçabilité des audits, avec un niveau de détail que votre équipe sécurité peut vérifier de façon indépendante.

Deuxièmement, exigez de vos fournisseurs cloud une documentation détaillée des flux de données. Le fait que Microsoft ait mis cinq ans à produire ce qu’Amazon et Google fournissent de façon routinière doit changer votre manière d’évaluer la posture de sécurité des fournisseurs. Si un prestataire ne peut pas vous montrer précisément comment vos données sont chiffrées en transit et au repos, c’est un constat, pas un simple point de discussion.

Troisièmement, auditez vos relations avec les évaluateurs. La dynamique de contournement entre Coalfire, Kratos et FedRAMP révèle un conflit d’intérêts systémique. Selon le World Economic Forum, seules 33 % des organisations cartographient réellement leur supply chain pour comprendre leur exposition aux risques. Votre programme de gestion des risques tiers doit inclure une vérification indépendante, qui ne dépende pas uniquement des évaluateurs du fournisseur.

Quatrièmement, évaluez l’architecture cloud de votre organisation pour détecter les risques de concentration fournisseur. Le Black Kite Third-Party Breach Report 2026 a recensé 136 incidents de violation avérés chez des fournisseurs tiers, affectant environ 26 000 entreprises. Quand un fournisseur cloud devient trop intégré pour être écarté — comme GCC High — votre organisation hérite de toutes ses failles de sécurité.

Cinquièmement, privilégiez la surveillance continue de la conformité plutôt que des audits périodiques. Les données du rapport prévisionnel Kiteworks montrent que 25 % des organisations utilisent encore des processus manuels ou périodiques comme approche principale. Dans un contexte où le temps moyen de percée des cybercriminels est de 29 minutes (selon le CrowdStrike Global Threat Report 2026), les revues trimestrielles de conformité sont obsolètes.

L’affaire GCC High n’a pas créé le fossé entre conformité et sécurité. Elle l’a simplement rendu impossible à nier. Les organisations qui agissent — en exigeant des preuves architecturales plutôt que de simples labels d’autorisation — seront bien mieux armées que celles qui attendent la prochaine enquête pour découvrir ce qu’elles auraient déjà dû savoir.

Foire aux questions

L’autorisation FedRAMP n’est pas une garantie de sécurité — il s’agit d’un processus d’audit standardisé avec des limites structurelles. L’enquête ProPublica a montré que des produits peuvent être autorisés malgré des questions de sécurité non résolues. Les agences publiques doivent considérer FedRAMP comme un élément d’aide à la décision sur les risques, et non comme un verdict final, et vérifier indépendamment le chiffrement, l’architecture des flux de données et la traçabilité des audits.

Les sous-traitants de la défense utilisant GCC High doivent examiner les conditions du rapport de synthèse FedRAMP et vérifier si leurs exigences CMMC sont bien couvertes. Selon les données d’enquête Kiteworks/Coalfire, seuls 46 % des organisations du secteur DIB se considèrent prêtes pour le CMMC et 62 % manquent de contrôles de gouvernance adéquats. Vérifiez indépendamment que votre environnement cloud offre le chiffrement, la journalisation et les contrôles d’accès exigés par le CMMC niveau 2.

Exigez des schémas de flux de données montrant précisément où le chiffrement et le déchiffrement interviennent pour chaque service traitant vos données. L’affaire GCC High a révélé que Microsoft n’a pas pu produire ce document pour un seul service en cinq ans, alors que des concurrents comme Amazon et Google le fournissent systématiquement. Le Thales Data Threat Report 2026 indique que seules 33 % des organisations disposent d’une visibilité complète sur la localisation de leurs données — n’acceptez pas que votre fournisseur cloud partage cette zone d’ombre.

Le modèle d’évaluateur rémunéré par le fournisseur crée des conflits structurels, comme l’a montré l’affaire GCC High lorsque les évaluateurs ont transmis leurs inquiétudes en coulisses tout en publiant des rapports officiels rassurants. Le Black Kite Third-Party Breach Report 2026 révèle que 53,77 % des organisations suivies présentaient des vulnérabilités critiques malgré d’excellentes notes cyber. Complétez les évaluations fournies par les prestataires par une validation technique indépendante et une surveillance continue.

L’enquête sur GCC High met en avant la complexité architecturale du multi-tenant comme un risque de sécurité majeur. Les auditeurs FedRAMP ont décrit les flux de données Microsoft comme opaques et difficiles à vérifier. Les architectures à locataire unique comme Kiteworks éliminent le risque de vulnérabilités croisées et offrent une visibilité totale sur les flux de données, garantissant une sécurité vérifiable plutôt que de dépendre d’une simple promesse de chiffrement dans une boîte noire.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks