Le problème est que les agences manquent souvent de personnel et de ressources pour effectuer des examens approfondis, ce qui signifie que l’ensemble du système s’appuie sur les affirmations des sociétés de cloud computing et sur les évaluations des sociétés tierces qu’elles paient pour les évaluer. Selon les critiques, selon la vision actuelle, FedRAMP a perdu le terrain.
« Le travail de FedRAMP est de surveiller les arrières du peuple américain lorsqu'il s'agit de partager ses données avec des sociétés de cloud computing », a déclaré Mill, l'ancien responsable de la GSA, qui a également co-écrit le mémo de la Maison Blanche de 2024. « Lorsqu'il y a un problème de sécurité, le public ne s'attend pas à ce que FedRAMP dise qu'il n'est qu'un simple gratte-papier. »
Pendant ce temps, au ministère de la Justice, les responsables découvrent ce que FedRAMP entendait par les « inconnues inconnues » dans GCC High. L'année dernière, par exemple, ils ont découvert que Microsoft s'est appuyé sur des ingénieurs basés en Chine pour entretenir ses systèmes cloud sensibles malgré l'interdiction faite par le ministère aux citoyens non américains d'aider à la maintenance informatique.
Les responsables ont pris connaissance de cet arrangement – qui a également été utilisé dans GCC High – non pas de FedRAMP ou de Microsoft, mais de une enquête ProPublica sur la pratiqueselon l'employé de la Justice qui nous a parlé.
Un porte-parole de Microsoft a reconnu que le plan de sécurité écrit pour GCC High que l'entreprise a soumis au ministère de la Justice ne mentionnait pas les ingénieurs étrangers, bien qu'il ait déclaré que Microsoft avait communiqué cette information aux responsables de la justice avant 2020. Néanmoins, Microsoft a depuis mis fin à son utilisation d'ingénieurs basés en Chine dans les systèmes gouvernementaux.
Les responsables gouvernementaux, anciens et actuels, s’inquiètent des autres risques qui pourraient se cacher dans les pays du CCG High et au-delà.
La GSA a déclaré à ProPublica qu'en général, « s'il existe des preuves crédibles qu'un fournisseur de services cloud a fait de fausses déclarations, cette affaire est alors renvoyée de manière appropriée aux autorités d'enquête ».
Ironiquement, l’arbitre ultime pour savoir si les fournisseurs de cloud ou leurs évaluateurs tiers sont à la hauteur de leurs affirmations est le ministère de la Justice lui-même. La récente mise en examen de l'ancien employé d'Accenture suggère c'est prêt d'utiliser ce pouvoir. Dans un document judiciaire, le ministère de la Justice allègue que l'ex-employé a fait des « déclarations fausses et trompeuses » sur la sécurité de la plateforme cloud pour aider l'entreprise « à obtenir et à conserver des contrats fédéraux lucratifs ». Elle est également accusée d'avoir tenté « d'influencer et d'entraver » les évaluateurs tiers d'Accenture en cachant les défauts du produit et en disant aux autres de dissimuler le « véritable état du système » lors des manifestations, a indiqué le département. Elle a plaidé non coupable.
Il n'y a aucune indication publique qu'une telle affaire ait été intentée contre Microsoft ou toute personne impliquée dans l'autorisation GCC High. Le ministère de la Justice a refusé de commenter. Monaco, le procureur général adjoint qui a lancé l'initiative du ministère pour poursuivre les affaires de fraude à la cybersécurité, n'a pas répondu aux demandes de commentaires.
Elle a quitté son poste au gouvernement en janvier 2025. Microsoft l'a embauchée pour devenir présidente des affaires mondiales.
Un porte-parole de l'entreprise a déclaré que le recrutement de Monaco était conforme à « toutes les règles, réglementations et normes éthiques » et qu'elle « ne travaille sur aucun contrat du gouvernement fédéral et ne supervise ni n'implique aucune de nos relations avec le gouvernement fédéral ».
Cette histoire a été initialement publiée sur ProPublica. ProPublica est une rédaction d'investigation lauréate du prix Pulitzer. Inscrivez-vous pour Le bulletin d'information La Grande Histoire pour recevoir des histoires comme celle-ci dans votre boîte de réception.