Le directeur par intérim de l’agence fédérale américaine chargée de la cybersécurité a récemment reconnu avoir utilisé une version publique de ChatGPT pour analyser des documents sensibles. Selon plusieurs responsables du gouvernement américain, des fichiers marqués « for official use only » ont été transmis à un chatbot ouvert, déclenchant des alertes internes et une revue de sécurité au niveau du Département de la Sécurité intérieure.
Une fuite repérée par des systèmes internes
L’épisode remonte à l’été 2025, mais a été rendu public fin janvier 2026 par le canal d’informations partagées avec la presse spécialisée. Selon TechRepublic, Madhu Gottumukkala, directeur par intérim de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, a téléchargé plusieurs documents gouvernementaux marqués « for official use only » dans une version publique de ChatGPT. Ces fichiers, bien que non classifiés au sens strict, étaient considérés comme sensibles et non destinés à une diffusion publique. Leur envoi sur une plateforme grand public a immédiatement déclenché des alertes automatisées de cybersécurité conçues pour repérer les violations de politique interne.
Une autorisation spéciale… qui se retourne contre lui
Selon plusieurs sources anonymes citées par TechRepublic, Gottumukkala avait requis une autorisation exceptionnelle pour accéder à ChatGPT, alors que la plupart des employés du Département de la Sécurité intérieure ne pouvaient pas utiliser ce service depuis les réseaux fédéraux en raison de risques perçus pour la sécurité des données. L’usage qui en a été fait a ainsi amené les responsables de l’agence à réexaminer cette dérogation, ainsi qu’à évaluer si les transferts de données avaient pu entraîner des conséquences sur la sécurité ou violer des politiques internes.
Registre sensible mais pas « classifié »
Les documents transmis n’étaient pas formellement classifiés par l’administration américaine, mais ils portaient la mention « for official use only », ce qui signifie qu’il s’agissait de contenus devant être traités avec prudence et non publiés sans autorisation. Ce type de classification concerne souvent des documents contractuels ou opérationnels qui, s’ils étaient exposés à l’extérieur, pourraient poser des risques de sécurité, d’intégrité ou de réputation, même s’ils ne relèvent pas de la protection la plus stricte réservée aux informations top-secrètes.
Une affaire révélatrice des tensions autour de l’IA
Cette révélation intervient à un moment où les administrations publiques, tout comme les entreprises, cherchent à intégrer des outils d’intelligence artificielle dans leurs workflows. Mais elle rappelle aussi que les outils d’IA grand public, même avec autorisation, ne sont pas conçus pour traiter des données sensibles, et peuvent présenter des risques de fuite ou de mauvaise gestion si les politiques de sécurité ne sont pas parfaitement alignées avec l’usage envisagé.
En France comme ailleurs, la question de l’usage des assistants IA par des services traitant des données critiques continue de susciter des débats entre besoins de productivité et exigences de confidentialité, chaque organisation devant définir ses propres garde-fous.
