Madhu Gottumukkala, directeur par intérim de la CISA, a transféré des documents gouvernementaux sensibles, marqués « pour usage officiel uniquement », vers la version publique de ChatGPT.
Cet acte a déclenché de multiples alertes de sécurité et une enquête interne au sein du Département de la Sécurité Intérieure pour évaluer les dommages potentiels causés.
Un accès privilégié aux conséquences inattendues
Au cœur de cette affaire se trouve Madhu Gottumukkala, le plus haut fonctionnaire politique à la tête de la CISA (Cybersecurity and Infrastructure Security Agency).
Cette agence a pour mission cruciale de protéger les réseaux fédéraux américains contre les cyberattaques sophistiquées, notamment celles provenant de la Russie ou de la Chine.
Peu après sa prise de fonction, Gottumukkala a obtenu une dérogation spéciale pour utiliser l'outil d'OpenAI alors que son accès était bloqué pour la majorité des employés du département.
Le problème est fondamental. Toute information téléchargée sur la version publique de ChatGPT est partagée avec son propriétaire, OpenAI, et peut servir à entraîner le modèle, rendant ces informations potentiellement divulguées aux plus de 700 millions d'utilisateurs de l'application.
Cette pratique contraste vivement avec les protocoles en vigueur, qui exigent l'utilisation d'outils internes sécurisés comme DHSChat, conçus pour que les données ne quittent jamais les réseaux gouvernementaux.
L'incident : des documents sensibles dans la nature ?
L'été dernier, l'inévitable s'est produit. Le directeur par intérim a téléchargé des documents contractuels marqués "pour usage officiel uniquement". Bien que ces fichiers ne soient pas de nature classifiée, cette désignation s'applique à des informations sensibles dont la divulgation pourrait nuire à la vie privée d'individus ou au bon fonctionnement de programmes essentiels à l'intérêt national.
Ces actions ont immédiatement déclenché plusieurs alertes automatiques des systèmes de surveillance de la CISA. Le Département de la Sécurité Intérieure (DHS) a aussitôt diligenté un examen interne pour évaluer les dommages potentiels sur la sécurité gouvernementale.
Des cadres supérieurs, dont le conseiller juridique par intérim du DHS, Joseph Mazzara, et le directeur de l'information, Antoine McCord, ont été impliqués pour analyser la situation avec Gottumukkala.
Selon un fonctionnaire proche du dossier, le directeur a "forcé la main de la CISA pour obtenir ChatGPT, et ensuite, il en a abusé".
Un directeur déjà sous le feu des critiques
Cet incident s'inscrit dans un contexte déjà tendu pour Madhu Gottumukkala. Nommé par l'administration Trump après avoir été directeur de l'information du Dakota du Sud, son mandat est marqué par plusieurs controverses.
Il aurait notamment échoué à un test polygraphique de contre-espionnage, qualifié plus tard de "non sanctionné" par le DHS, et a suspendu les accès d'informations classifiées de six membres du personnel de carrière, alimentant les critiques sur sa gestion.
Alors que l'enquête du DHS sur l'incident ChatGPT se poursuit, des mesures disciplinaires sont sur la table. Celles-ci pourraient aller d'une reformation obligatoire à une simple réprimande, jusqu'à la suspension ou la révocation de son habilitation de sécurité.
Cette affaire jette une ombre supplémentaire sur sa capacité à diriger une agence aussi stratégique, laissant le futur de la CISA et de ses missions de protection des infrastructures critiques dans une période d'incertitude.
