Controverses sur le cloud Microsoft GCC High au DOJ et transitions de carrière stratégiques

Le déploiement du service cloud Microsoft Government Community Cloud (GCC) High au sein du ministère de la Justice des États-Unis (DOJ) suscite une vive polémique. Cette décision, prise initialement au début de l'année 2020, s'est concrétisée malgré les avertissements explicites des auditeurs fédéraux. Ces derniers pointaient déjà du doigt des lacunes critiques dans la documentation de sécurité et craignaient d'éventuels conflits d'intérêts liés à ce contrat d'envergure, jetant une ombre sur la transparence du processus dès son origine.

La tension est montée d'un cran en 2023, suite à une intrusion majeure orchestrée par des pirates informatiques parrainés par l'État chinois. Cette cyberattaque a compromis les communications électroniques de plusieurs hauts responsables, jetant un doute sérieux sur la robustesse du système. Il semblerait que le processus d'autorisation de GCC High, un marché estimé à plusieurs milliards de dollars pour Microsoft, ait fait l'objet de pressions intenses. Des rapports indiquent que John Bergin, représentant de Microsoft, ainsi que Melinda Rogers, alors directrice de l'information (CIO) du DOJ, auraient exercé une influence notable sur les auditeurs lors d'une réunion cruciale en décembre 2023 pour forcer l'acceptation des protocoles de sécurité, malgré les réserves exprimées par Eric Mill de la GSA concernant l'impartialité de Rogers.

Les auditeurs fédéraux ont persisté dans leurs critiques, affirmant que Microsoft n'avait pas fourni de détails suffisants sur ses procédures de protection des données. Ils ont également soulevé des inquiétudes concernant les vulnérabilités potentielles du réseau et l'impartialité des tiers engagés par Microsoft pour les évaluations de sécurité. Malgré un constat de « manque de confiance » établi par les examinateurs du programme FedRAMP (Federal Risk and Authorization Management Program) fin 2024, le système GCC High a tout de même reçu son homologation officielle. Cette décision semble avoir été motivée par le fait que plusieurs agences fédérales utilisaient déjà la plateforme, rendant un retour en arrière techniquement et administrativement complexe.

L'éthique de ce dossier est davantage remise en question par les transitions de carrière spectaculaires de certains acteurs clés impliqués dans le projet. En 2025, Melinda Rogers a rejoint Microsoft en tant que partenaire au sein de la division des solutions cloud pour entreprises. Parallèlement, Lisa Monaco, ancienne procureure générale adjointe, a été nommée présidente de Microsoft pour les affaires mondiales au milieu de l'année 2025. Bien que Microsoft assure que ces recrutements respectent scrupuleusement les normes réglementaires, ces mouvements alimentent le débat sur le phénomène des « portes tournantes ». Par ailleurs, la révélation en 2025 de l'implication d'ingénieurs basés en Chine dans les systèmes du ministère de la Défense (DoD) a forcé ce dernier à durcir ses exigences de sécurité via la norme DFARs 7012, coïncidant avec la demande de l'ancien président Trump de démettre Lisa Monaco de ses fonctions fin 2025.

En 2026, l'actualité reste dominée par la position offensive du DOJ en matière de cybersécurité, notamment par l'application rigoureuse de la loi sur les fausses déclarations (False Claims Act). Cette affaire souligne les défis persistants liés à la vérification des géants du cloud gérant des données étatiques sensibles et les risques éthiques associés aux hauts fonctionnaires rejoignant les entreprises qu'ils encadraient autrefois. Alors que Microsoft s'était opposé par le passé au DOJ sur la confidentialité des données, dénonçant des enquêtes gouvernementales secrètes basées sur des lois obsolètes, l'autorisation finale de GCC High obtenue fin 2024 malgré des réserves techniques majeures continue de susciter des interrogations sur l'intégrité des infrastructures numériques fédérales.