GrayscaleInsight

Files / Les États-Unis

Évaluation du rapport de politique et de surveillance du ministère de la Défense : sur l'utilisation de systèmes de messagerie électronique non contrôlés par le ministère de la Défense pour l'exercice de fonctions officielles

Sur la base de l'examen de sept rapports du Bureau de l'inspecteur général du ministère de la Défense jusqu'à l'année 2000, l'évaluation systématique de la confidentialité de l'information, de la conformité à la politique de rétention des dossiers et des risques de sécurité a été mise en évidence.

Detail

Published

07/02/2026

Liste des titres des chapitres clés

  1. Résumé exécutif
  2. Recommandations, commentaires de la direction et nos réponses
  3. Introduction
  4. Objectifs
  5. Conclusions
  6. Résumé des politiques du Département de la Défense concernant le partage d'informations sur les systèmes de messagerie électronique non contrôlés par le DoD, liées à la classification, la déclassification et le personnel du DoD
  7. Le DoD réitère ses politiques ; cependant, le personnel n'a pas toujours respecté les lois fédérales et les politiques du DoD concernant la messagerie électronique et la conservation des enregistrements
  8. Le DoD n'a pas pleinement mis en œuvre les recommandations de l'IG DoD concernant l'utilisation de systèmes de messagerie électronique non contrôlés par le DoD
  9. Les violations des politiques du DoD et la mise en œuvre incomplète des recommandations de rapport exacerbent les risques pour la sécurité
  10. Recommandations, commentaires de la direction et nos réponses
  11. Annexe A : Portée et méthodologie
  12. Annexe B : État des recommandations du rapport
  13. Annexe C : Résumé des politiques et processus du DoD concernant les informations non classifiées contrôlées, la classification et la déclassification
  14. Annexe D : Résumé chronologique des politiques et directives du DoD sur les systèmes de messagerie électronique

Présentation du document

Ce rapport a été préparé en réponse à la demande du président et du membre senior du Comité des forces armées du Sénat américain en date du 26 mars 2025. Il vise à évaluer les politiques du Département de la Défense concernant le partage d'informations sensibles et classifiées par les responsables gouvernementaux et les employés sur des réseaux et applications électroniques non gouvernementaux, à examiner ses politiques et processus de classification et de déclassification, et à formuler des recommandations sur les problèmes potentiels identifiés. Le cœur du rapport est un examen systématique et un résumé des problèmes révélés par sept rapports de l'Inspecteur général du DoD publiés entre 2021 et 2024, sur la base desquels des recommandations d'amélioration sont formulées. Il est important de noter que les faits et circonstances de l'incident spécifique ayant motivé cette demande d'examen (impliquant l'utilisation de l'application Signal par le Secrétaire à la Défense pour des affaires officielles) ont été traités séparément par un autre rapport indépendant de l'IG DoD.

Le rapport indique clairement que, conformément à plusieurs politiques et exigences de communication du DoD, son cadre politique comprend les dispositions clés suivantes : exiger un marquage clair des informations déclassifiées avec l'autorité de déclassification ; interdire en principe l'utilisation de systèmes de messagerie électronique non contrôlés par le DoD (autorisés uniquement dans des exceptions limitées) et interdire explicitement leur utilisation pour des raisons de commodité ou de perception subjective de sécurité ; exiger que le personnel du DoD protège les informations non publiques du DoD ; et exiger que le personnel du DoD se conforme aux lois fédérales pour la conservation des enregistrements officiels. Cependant, l'examen de ce rapport des sept rapports précédents a révélé que le personnel du DoD n'a pas respecté les politiques de sécurité de l'information et des opérations, d'utilisation de la messagerie électronique et de conservation des enregistrements. Par exemple, une évaluation a révélé qu'au début de la période de télétravail massif pendant la pandémie de COVID-19, en raison d'une préparation insuffisante de certaines composantes du DoD, certains télétravailleurs ont signalé avoir utilisé des applications de visioconférence non autorisées, des ordinateurs portables personnels et des téléphones portables pour accomplir leur travail. De plus, sur les 48 recommandations contenues dans les sept rapports résumés, 22 étaient toujours en suspens au moment de l'examen.

Ces non-conformités et le retard dans la mise en œuvre des recommandations ont directement conduit à une accumulation et une aggravation des risques pour la sécurité. L'utilisation par le personnel du DoD de systèmes de messagerie électronique non contrôlés par le DoD pourrait compromettre les opérations ou missions du DoD. Bien que la politique du DoD stipule clairement que si de tels systèmes sont utilisés, les personnes concernées doivent transférer les enregistrements vers le système d'archivage du DoD dans les 20 jours suivant l'envoi de l'information, il existe des lacunes dans la mise en œuvre pratique. Cet écart entre la politique et la pratique constitue une vulnérabilité significative pour la sécurité de l'information et la sécurité des opérations.

Sur la base de ces constatations, le rapport formule quatre recommandations spécifiques au directeur de l'information (CIO) du DoD. Trois de ces recommandations (notamment : fournir une capacité contrôlable par le DoD répondant aux besoins de partage d'informations conformes, internes, externes, inter-classifications et sur appareils mobiles ; exiger une formation personnalisée pour les responsables politiques nommés du DoD, les officiers généraux et les cadres civils supérieurs sur l'utilisation conforme des appareils mobiles et des applications ; et clarifier et uniformiser les processus d'exemption dans la politique de messagerie électronique du DoD) ont reçu une réponse de l'officier assumant les fonctions de CIO du DoD et ont été résolues, mais nécessitent la fourniture de preuves de mise en œuvre avant clôture. Une autre recommandation concernant l'ajout d'informations sur les impacts et les risques de l'utilisation de services de messagerie électronique non contrôlés par le DoD dans la formation annuelle à la cybersécurité fait actuellement l'objet d'un désaccord de la direction et est donc non résolue. Parallèlement, le rapport recommande au bureau du sous-secrétaire adjoint à la Défense pour le renseignement et la sécurité de mener une évaluation à l'échelle du DoD pour déterminer l'étendue et les risques associés à l'utilisation par le personnel de systèmes de messagerie électronique non contrôlés par le DoD pour les affaires officielles, et de soumettre les résultats au CIO. Cette recommandation n'a reçu qu'un accord partiel, avec un plan pour une évaluation des risques de plus petite envergure, ne répondant pas pleinement à l'intention de la recommandation, et est donc également non résolue.

Cette évaluation a strictement suivi la portée et la méthodologie établies, examinant les documents politiques pertinents, les rapports antérieurs et les données traitées par ordinateur. Elle vise à fournir un soutien décisionnel fondé sur des preuves aux décideurs du DoD pour renforcer la gestion de la sécurité de l'information, assurer une mise en œuvre effective des politiques et réduire les risques systémiques liés à une utilisation inappropriée des technologies de communication.