L'IA est la priorité n° 1 de la NASCIO

Les nouvelles initiatives en matière d'IA prennent le pas sur la cybersécurité et la gestion des risques

La National Association of State Chief Information Officers (NASCIO, l'association nationale des DSI des États américains) publie chaque année le Top 10 de ses priorités stratégiques. L'intelligence artificielle (IA) arrive en tête de la liste pour l'année 2026. Elle prend la place de la cybersécurité et de la gestion du risque, qui descendent en deuxième position après avoir occupé la première pendant 12 années consécutives.

Ce chassé-croisé ne constitue pas vraiment une surprise. Les agences gouvernementales (mais aussi les entreprises et les organisations officiant dans d'autres secteurs) sont impatientes de déployer de nouvelles fonctionnalités et agents liés à l'IA. Les responsables IT du secteur public reconnaissent la puissance transformatrice de l'IA en ce qui concerne la proposition de services plus réactifs et l'amélioration de l'efficacité opérationnelle. La problématique consiste à réaliser cette transformation tout en contrôlant les risques.

L'IA prend la tête de la liste

De nombreuses administrations nationales et locales ont déjà lancé des initiatives clés en matière d'IA. Ces dernières prévoient par exemple d'améliorer l'expérience numérique en concevant des chatbots assistés par IA capables de proposer des réponses rapides, cohérentes et conformes aux requêtes et aux questions des utilisateurs. Elles développent également des agents IA conçus pour améliorer l'efficacité en automatisant les processus.

Ces initiatives visant à mettre en œuvre de nouvelles fonctionnalités assistées par IA devancent souvent les efforts déployés en matière de sécurité. Or, la sécurité de l'IA doit être une priorité absolue. Les responsables IT et les responsables chargés de la sécurité doivent se protéger contre la corruption des données et des modèles, mais aussi prévenir les attaques susceptibles de conduire à l'exfiltration de données extrêmement sensibles. Ils doivent également s'assurer que les résultats générés par IA sont bien exacts, car des résultats inexacts pourraient propager de fausses informations auprès des utilisateurs.

Le besoin de modernisation est croissant

En parallèle des projets d'IA, les administrations nationales sont déterminées à moderniser leurs logiciels, leurs infrastructures et leurs processus existants. La modernisation est passée de la cinquième place des priorités en 2025 à la quatrième en 2026. D'après le rapport Cloudflare 2026 consacré à l'innovation en matière d'applications, les organismes du secteur public sont incités à moderniser les applications en général afin de soutenir l'adoption du cloud, d'améliorer l'expérience utilisateur et de favoriser une meilleure collaboration.

Il apparaît néanmoins clairement que de nombreuses entreprises ont encore du chemin à parcourir en ce qui concerne leurs efforts de modernisation. 37 % seulement des entreprises sont en avance sur leur calendrier de modernisation des applications, tandis que 22 % sont en retard. L'accélération de l'ensemble des efforts de modernisation sera vitale pour augmenter l'efficacité, proposer l'expérience que les utilisateurs attendent et réduire les coûts, un impératif essentiel du gouvernement actuel, qui s'est installé à la troisième place du classement des dix priorités principales.

Les services numériques demeurent une priorité absolue

Les services gouvernementaux numériques ont chuté de la troisième à la cinquième place, potentiellement en raison du fait que la fourniture de ces services pourrait aujourd'hui impliquer l'IA (qui occupe désormais la première position). Il ne fait toutefois aucun doute que la numérisation des administrations constitue une évolution importante.

À l'heure où toutes les ressources (ou presque) sont disponibles en ligne, le public exige désormais de l'administration publique qu'elle propose des services numériques de première qualité. Le fait que la gestion de différentes tâches incombe à différentes agences ne doit pas avoir d'incidence sur la qualité des services. Les administrés ne doivent pas avoir à passer en revue de longues listes d'agences, à identifier le site web concerné, puis à créer un nouveau compte pour interagir avec l'administration. Aucun utilisateur ne devrait devoir s'acquitter d'une « taxe temporelle » résultant de recherches complexes, de processus fastidieux, d'applications chronophages et de longs délais de réponse. Or, c'est aujourd'hui la réalité des services gouvernementaux dans la majeure partie du pays.

Les administrations locales et nationales en sont parfaitement conscientes. Le public n'en a peut-être pas conscience, mais les responsables gouvernementaux se soucient profondément de la mise en œuvre des services – et ils adoptent des dispositions en conséquence.

Par exemple, les États investissent dans des portails web accessibles au public, offrant un accès fluide à chacun des services qu'ils proposent, quelle que soit l'agence concernée. Lorsqu'ils modernisent les applications, ils appliquent les nouvelles directives en matière de conception centrée sur l'humain, afin de prioriser les utilisateurs. Ils associent l'authentification unique et l'authentification multifacteur sans mot de passe, afin que les utilisateurs n'aient à gérer qu'un seul identifiant (sans mot de passe !). Enfin, ils innovent en proposant des assistants numériques basés sur l'IA, afin de donner une réalité au projet d'avenir des services gouvernementaux.

Il ne fait aucun doute qu'une expérience numérique de première qualité contribue à renforcer la confiance envers l'administration. Les efforts intenses déployés en la matière expliquent pourquoi les services numériques demeurent parmi les principales préoccupations.

Renforcer la résilience de votre entreprise

Si la cybersécurité et la gestion des risques demeurent des priorités cruciales (elles ne chuteront à la deuxième place qu'en 2026), le classement annuel des priorités continue à ignorer « l'accessibilité », la « fiabilité » et la « résilience ». Or, si la principale priorité des administrations nationales et locales reste de renforcer la confiance des utilisateurs, ces priorités devraient d'une manière ou d'une autre figurer en tête de leur liste. Peu de choses érodent plus rapidement la confiance que des services qui ne fonctionnent tout simplement pas.

Bien entendu, la disponibilité est une composante fondamentale de la sécurité, parallèlement à la confidentialité et à l'intégrité ; on pourrait donc dire qu'elle est implicite. Ces dernières années, toutefois, le terme « résilience » s'est imposé de manière plus explicite comme la pierre angulaire des systèmes dignes de confiance. Le terme « résilience » peut sembler être un mot plus sophistiqué pour désigner la disponibilité, mais il représente bien plus que cela. La résilience met en lumière une problématique essentielle : le renforcement de la confiance. NASCIO devrait envisager de l'énoncer explicitement, comme c'est le cas de la gouvernance, de l'expérience utilisateur, de l'accessibilité et des risques liés aux tiers.

Pour aider les entreprises à renforcer leur résilience, le National Institute of Standards and Technology (NIST, l'Institut national des normes et de la technologie) a produit deux Special Publications 800-160 consacrées aux systèmes dignes de confiance (vol. 1) et aux systèmes cyber-résilients (vol. 2). Une citation essentielle se démarque : « La confiance représente la capacité démontrée (et par conséquent, le mérite que l'on peut lui accorder) d'une entité à répondre aux attentes, notamment face à l'adversité ». En d'autres termes, la confiance est acquise par la capacité à répondre aux attentes de manière constante et cohérente, même dans un contexte difficile.

Or, un contexte peut rapidement devenir difficile lorsque des systèmes ralentissent ou cessent de répondre. La cause peut être un problème informatique, comme un rançongiciel (ou ransomware) ou une attaque par déni de service ; toutefois, il peut également s'agir d'un problème opérationnel, comme un pic de trafic inattendu ou une erreur humaine qui entraîne une véritable crise. Peu de personnes oublieront comment la pandémie a provoqué la cessation d'activité d'entreprises dans l'ensemble du pays, ni comment l'afflux de millions d'utilisateurs a entraîné la saturation des systèmes de demande d'allocations chômage des États, causant l'arrêt de sites web et de longs délais dans l'obtention de prestations essentielles. Ce genre d'échec dans l'adversité a contribué à saper la confiance dans les administrations d'État à un moment critique.

Renforcer la résilience pour les administrations locales et nationales

La résilience figure-t-elle en tête de liste des priorités de votre entreprise ou de votre organisme ? Vous trouverez ci-dessous cinq domaines sur lesquels vous pourriez concentrer vos efforts.

• Atténuation des attaques DDoS
  Les acteurs malveillants recourent aux attaques par déni de service distribué (Distributed Denial of Service, DDoS) pour perturber les services ou parfois simplement pour détourner l'attention vis-à-vis d'une autre attaque. En submergeant les systèmes sous du trafic issu d'une multitude de sources, les attaques DDoS s'avèrent particulièrement difficiles à arrêter, même pour les FAI situés en amont. Cette situation n'est toutefois pas une fatalité. Vous pouvez désormais connecter vos services numériques à un cloud de connectivité mondial et moderne, qui vous assure la visibilité et l'expertise indispensables pour identifier et arrêter les attaques DDoS.

• DNS sécurisé
  À l'instar d'autres services Internet essentiels, le DNS (Domain Name System, système de noms de domaine) n'a pas été conçu dans une optique de sécurité. Les acteurs malveillants peuvent donc exploiter ses faiblesses afin d'altérer la qualité du service, rediriger les utilisateurs vers des sites malveillants ou intercepter les e-mails. Les améliorations apportées au niveau du DNS, comme le protocole DNSSEC (Domain Name System Security Extensions), ont évolué pour permettre l'authentification des requêtes DNS, mais ne proposaient toujours pas de protection contre les attaques DDoS. L'adoption d'une solution DNS sécurisée, mêlant des services DNS performants, le protocole DNSSEC, mais aussi des mesures de protection contre les attaques DDoS, doit être une priorité absolue pour nous permettre de nous assurer que vos services demeurent toujours disponibles et protégés contre les attaques basées sur le DNS.

• Protection des applications web
  Les plateformes web sont continuellement la cible d'attaques reposant sur des tactiques et des vecteurs de menace toujours plus émergents. Qu'il s'agisse de menaces déjà bien connues et définies par la fondation Open Worldwide Application Security Project (OWASP) ou de nouveaux vecteurs de vulnérabilités zero-day émergentes, un pare-feu applicatif web (WAF, Web Application Firewall) moderne doit être en mesure de répondre à ces problématiques à grande échelle. Le contrôle des identifiants exposés, les mesures axées API et la détection des données sensibles au sein des réponses constituent également les enjeux majeurs d'une approche globale de la protection des applications web. Ces mesures de contrôle doivent être mises à jour en continu afin de répondre à un panorama des menaces en évolution constante. Pour identifier ces menaces émergentes et y répondre, vous devez par conséquent envisager de faire appel à un fournisseur de pare-feu WAF tirant parti d'une solution d'apprentissage automatique (Machine Learning) entraînée sur les informations issues d'un vaste réseau de détection, à l'ampleur mondiale.

• Services d'accélération des applications
  L'amélioration de l'expérience utilisateur proposée par les services numériques ne repose pas uniquement sur l'architecture des applications et les principes de conception axés sur l'humain, mais également sur la disponibilité et l'accélération des contenus présentés aux utilisateurs finaux. Intrinsèquement intégrées aux dispositifs de sécurité décrits ci-dessus, les fonctionnalités avancées de mise en cache et de gestion de contenu s'imposent comme des aspects essentiels du processus d'amélioration des performances, de la résilience et, en définitive, de la confiance envers ces systèmes. Pour atteindre ces objectifs avec efficacité, les fournisseurs doivent disposer d'une empreinte distribuée, qui lie étroitement l'accélération et la sécurité.

• Services d'accélération du réseau
  Les fournisseurs qui exploitent le réseau backbone interconnectant leurs nœuds de services ou leurs points d'application des politiques (PEP, Policy Enforcement Points) améliorent la résilience d'une autre manière. Ainsi, lorsque des goulets d'étranglement apparaissent, le trafic peut être redirigé vers d'autres nœuds en contournant les zones encombrées, par exemple. Cette capacité à visualiser le chemin et à exercer un contrôle sur l'acheminement des requêtes et des réponses selon les conditions en temps réel améliore considérablement la résilience et les performances. Vous devez envisager de faire appel à un fournisseur de sécurité cloud qui dispose non seulement de PEP présents dans le monde entier, afin de soutenir les services d'amélioration de la sécurité et de la vitesse, mais qui dispose également de l'infrastructure réseau permettant d'interconnecter ces PEP.

Faire de la résilience des services un objectif explicite

Il n'est pas étonnant que l'IA soit arrivée en tête du classement annuel de la NASCIO. Les leaders en matière de technologie des administrations nationales et locales voient la promesse extraordinaire que représente cette technologie pour améliorer l'expérience utilisateur, renforcer l'efficacité interne et réduire les coûts.

Toutefois, pour préserver cette expérience améliorée et renforcer la confiance des utilisateurs, les administrations publiques doivent également accorder la priorité à la résilience. La satisfaction et la confiance des utilisateurs reposent sur la disponibilité des services essentiels face à l'adversité.

Cloudflare propose une suite de services conçus spécifiquement pour les administrations et les organisations du secteur public des États-Unis. Ces services permettent aux entreprises d'accélérer leurs initiatives en matière d'IA, tout en renforçant leur sécurité et en améliorant leur résilience. Les services sont fournis depuis une plateforme unique, bâtie sur un réseau cloud mondial très résilient et dotée de fonctionnalités intégrées d'amélioration de la sécurité et des performances. Grâce à Cloudflare, les entreprises peuvent répondre aux deux priorités essentielles du classement NASCIO sans ajouter davantage de complexité.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions qui affectent les décideurs en matière de technologies aujourd'hui.

Conclusions essentielles

Cet article vous permettra de mieux comprendre les aspects suivants :

• Pourquoi les agences locales et nationales doivent se préparer dès maintenant à faire face aux futures perturbations

• Le rôle essentiel d'Internet dans la mise en œuvre des services gouvernementaux

• Renforcer l'infrastructure numérique en trois étapes

Ressources associées

• Cloudflare pour les administrations locales et nationales

• Connecter et protéger toutes les ressources

• La dernière frontière en matière de transformation du cloud