En bref

  • Le président Trump a signé le 2 juin 2026 un décret exigeant une revue gouvernementale volontaire de 30 jours sur les modèles d'IA de pointe avant leur publication.
  • Les entreprises d'IA devront soumettre leurs modèles frontier à la NSA et à la CISA pour évaluation des risques cybernétiques dans le cadre d'un processus de benchmarking classifié.
  • Une chambre de compensation cyber IA sera créée dans les 30 jours pour coordonner la détection et le patch des vulnérabilités à l'échelle des infrastructures critiques nationales.

Un décret au périmètre réduit après des semaines de tensions internes

Le 2 juin 2026, le président Donald Trump a signé le décret exécutif intitulé « Promoting Advanced Artificial Intelligence Innovation and Security ». Ce texte marque un tournant notable dans l'approche de l'administration Trump vis-à-vis de l'IA — une technologie que la Maison-Blanche avait jusqu'alors laissée évoluer avec un minimum de contraintes réglementaires fédérales, après avoir révoqué le décret Biden de 2023 dès l'entrée en fonction.

Le chemin vers la signature n'a pas été linéaire. Une première version du décret prévoyait une fenêtre d'examen gouvernemental pouvant aller jusqu'à 90 jours. Cette durée a cristallisé une opposition frontale de plusieurs figures de la tech : Elon Musk, David Sacks — conseiller à la Maison-Blanche pour l'IA et les crypto — et Mark Zuckerberg ont contacté directement la Maison-Blanche pour tenter de bloquer le texte. Après plusieurs semaines de négociations, la fenêtre a été compressée à 30 jours et le caractère entièrement volontaire du dispositif a été préservé, ce qui a finalement obtenu le feu vert de David Sacks, selon des informations rapportées par NPR et Nextgov.

Le texte final s'appuie sur un mécanisme à deux étapes. D'abord, les développeurs peuvent solliciter le gouvernement pour déterminer si leurs modèles satisfont aux critères de « covered frontier model ». Ces critères seront définis via un processus de benchmarking classifié, orchestré par le directeur de la NSA dans les 60 jours suivant la signature. La définition exacte d'un modèle frontier reste donc secrète — une opacité délibérée qui permet à l'exécutif d'ajuster le périmètre sans modifier le texte du décret.

Ensuite, les développeurs des modèles désignés « covered frontier models » sont invités à fournir un accès gouvernemental pendant 30 jours avant toute diffusion à des « partenaires de confiance ». Durant cette fenêtre, la NSA, la CISA et le NIST conduiront des tests pour identifier les capacités cybernétiques avancées du modèle — en particulier sa capacité à générer du code malveillant, à automatiser des attaques ou à contourner des défenses. Une fois l'évaluation terminée, le gouvernement collabore avec le développeur pour désigner les partenaires de confiance qui recevront un accès précoce.

Un pilier central du décret est la création, dans les 30 jours, d'une « AI Cybersecurity Clearinghouse » — une chambre de compensation cyber pour l'IA. Placée sous la tutelle conjointe du Trésor, de la NSA et de la CISA, cette structure fonctionnera sur la base du volontariat avec l'industrie de l'IA et les opérateurs d'infrastructures critiques. Sa mission : coordonner la détection des vulnérabilités logicielles introduites ou amplifiées par l'IA, les valider, et prioriser leur correction. Dans les faits, il s'agit d'un mécanisme de partage de renseignement entre les grands acteurs technologiques et les agences fédérales qui devrait combler certains angles morts du dispositif CISA actuel.

Sur le plan budgétaire, le directeur de l'OMB (Office of Management and Budget) a 30 jours pour identifier les programmes de subventions fédéraux pouvant financer le développement de capacités avancées de détection de vulnérabilités par IA. L'administration reconnaît ainsi implicitement que les défenses actuelles, largement réactives, ne seront pas à la hauteur des menaces générées par les modèles de prochaine génération — un constat partagé par le Google Threat Intelligence Group qui avait publié en mai 2026 un rapport sur le premier exploit zero-day entièrement généré par IA détecté en conditions réelles.

Le texte contient également une clause de sauvegarde explicite : rien dans ce décret ne peut être interprété comme autorisant la création d'un régime obligatoire de licence, de préclearance ou de permis pour le développement, la publication ou la distribution de modèles d'IA. Une précaution rhétorique destinée à rassurer l'industrie et à distinguer ce décret des approches plus interventionnistes de l'Union européenne avec l'AI Act.

Côté embauche, l'OPM (Office of Personnel Management) devra dans les 60 jours identifier les voies d'accès à la fonction publique pour des profils spécialisés en cybersécurité IA — reconnaissance implicite d'une pénurie de compétences qui fragilise les agences face aux nouvelles menaces d'un écosystème en mutation rapide.

Entre innovation et sécurité nationale : une nouvelle équation stratégique

Ce décret s'inscrit dans une transformation profonde de la posture américaine vis-à-vis de l'IA. Depuis l'arrivée au pouvoir de Trump en janvier 2025, l'exécutif américain avait d'abord révoqué le décret Biden de 2023, qui imposait aux développeurs des évaluations de sécurité avant déploiement. Le message envoyé à l'industrie était alors celui d'une dérégulation assumée, dans une logique de compétition frontale avec la Chine.

Le décret du 2 juin marque une inflexion. Non pas vers la régulation au sens européen, mais vers une forme de partenariat public-privé où la sécurité nationale devient le moteur plutôt que le frein à l'innovation. La logique est celle d'un gouvernement qui veut connaître en avant-première les capacités offensives des modèles les plus puissants — non pour les bloquer, mais pour mieux s'y préparer défensivement et s'assurer que des adversaires étrangers n'y aient pas accès avant les propres agences américaines.

Pour les entreprises européennes et les acteurs d'IA non-américains, le décret crée une asymétrie de fait. Les labs américains comme OpenAI, Anthropic ou Google DeepMind pourront bénéficier d'une validation implicite de leurs modèles par la NSA, signal de confiance qui pèsera lourd auprès des clients gouvernementaux et des partenaires de défense. Cette position de force ne sera pas accessible aux acteurs européens — Mistral AI, Aleph Alpha — ni aux challengers asiatiques, créant un niveau de concentration encore inédit dans l'écosystème IA mondial.

Pour les RSSI et les équipes de sécurité, l'aspect le plus concret reste la chambre de compensation cyber IA. Si elle se matérialise vraiment, elle pourrait devenir le canal privilégié par lequel les grandes entreprises américaines signaleront des vulnérabilités liées à l'IA en échange d'une immunité réglementaire partielle — un mécanisme analogue au Coordinated Vulnerability Disclosure mais appliqué aux modèles plutôt qu'au code applicatif.

Ce qu'il faut retenir

  • Trump a signé le 2 juin 2026 un décret établissant une revue gouvernementale volontaire de 30 jours pour les modèles d'IA frontier, impliquant NSA, CISA et NIST.
  • Une AI Cybersecurity Clearinghouse sera créée dans les 30 jours pour coordonner détection et patch des vulnérabilités induites par l'IA dans les infrastructures critiques.
  • Le dispositif est entièrement volontaire mais les labs qui participent bénéficieront d'un avantage concurrentiel significatif auprès des acheteurs gouvernementaux américains.

Ce décret concerne-t-il les entreprises non-américaines qui utilisent des modèles d'IA ?

Non directement. Le décret s'adresse aux développeurs de modèles frontier opérant sur le territoire américain. Cependant, si un modèle est désigné « covered frontier model » par la NSA, son déploiement chez des partenaires de confiance sera coordonné par le gouvernement américain — ce qui pourrait conditionner l'accès de certains acteurs étrangers aux versions les plus avancées avant leur disponibilité générale.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact