Modernisation du C2 de l’US Army par Anduril et Palantir, un mémo interne pointe des faiblesses de sécurité « très à risque »
Coup de froid sur la modernisation du commandement et du contrôle (C2) de l’US Army. Début septembre, le Chief Technology Officer (CTO) de l’institution a signé un mémo qui juge la première itération de la plateforme Next Generation Command and Control (NGC2) dotée de « faiblesses de sécurité fondamentales » et à traiter « comme très à risque ». De quoi freiner, au moins provisoirement, l’élan d’Anduril et de ses partenaires – dont Palantir – chargés de prototyper ce système appelé à transformer la conduite des opérations.
Un C2 modulaire et extensible pour des unités plus mobiles
NGC2 incarne l’initiative phare de l’US Army pour rationaliser réseaux et logiciels de commandement : connecter capteurs, drones, véhicules, postes de commandement et fantassins, de la périphérie du réseau jusqu’au centre opérations, via une architecture modulaire, extensible et ouverte. L’objectif est net : réduire drastiquement le temps entre détection, décision et effet, afin de servir des unités plus dispersées, plus mobiles et mieux informées. Concrètement, le système agrège et redistribue des données hétérogènes – positions ennemies, terrain, logistique, statuts d’armes, mesures de contrôle tactique – et garantit leur disponibilité au bon niveau et au bon moment.
À l’été, l’US Army a confié un prototype à Anduril (environ 100 millions de dollars), avec Palantir, Microsoft et plusieurs acteurs agiles de l’écosystème tech. Elle a attribué dans la foulée un second contrat à un consortium emmené par Lockheed Martin pour développer une « couche de données intégrée », histoire de comparer les approches et de préserver la concurrence. Après dix-huit mois d’expérimentations, l’Armée formalise au printemps 2025 un bureau de programme et vise une évaluation au niveau divisionnaire.
Sur le terrain, les premiers retours impressionnent. À Fort Carson, dans le Colorado, la 4e Division d’infanterie (4th Infantry Division) emploie en septembre une version bêta de l’Artillery Execution Suite (AXS) pour accélérer la chaîne de tir des obusiers M777A2. Là où les systèmes hérités empilent étapes et frictions, l’« app » AXS illustre l’esprit NGC2 : des applications spécialisées, orchestrées sur une trame commune, qui automatisent une partie des traitements et allègent la charge cognitive des états-majors.
Zero trust : des écarts qui ne passent pas
La réussite opérationnelle ne doit pas masquer l’hygiène cyber. Le mémo, selon Bloomberg, pointe des lacunes incompatibles avec les principes « zero trust1 » désormais standards : contrôle d’accès insuffisant (rôles trop peu granulaires), visibilité limitée sur les actions utilisateurs, journalisation incomplète, et hébergement d’applications tierces non auditées présentant des vulnérabilités sévères. Pris ensemble, ces éléments ouvrent la voie à un accès persistant et discret par un adversaire – un casus belli pour tout système de commandement.
Anduril assure que ces constats datent et que l’entreprise a déployé des correctifs rapidement. Côté armée, les responsables revendiquent une démarche test and fix : identifier tôt, mitiger vite, et instaurer une « autorité continue à opérer » pour pousser les mises à jour au rythme des développements. L’enjeu dépasse l’ingénierie : il questionne la gouvernance (qui accepte le risque, sur quelles bases) et la capacité à certifier des chaînes logicielles de plus en plus complexes, qui mêlent cloud fédéral, conteneurs et pipelines opérés par des contractants.
En toile de fond, un bras de fer oppose la vitesse promise par la New Defense et l’exigence de sûreté propre aux systèmes militaires. L’US Army vise les deux : conserver le tempo d’une économie logicielle moderne tout en verrouillant les fondamentaux (accès, traçabilité, durcissement, conformité). Les prochains « Ivy Sting » – ces sprints d’expérimentation avec la 4e DI – diront si NGC2 réussit à concilier l’agilité d’Anduril, la donnée de Palantir et la robustesse attendue d’un C2 de référence. En cas de succès, le programme pourrait devenir la matrice d’un commandement réellement centré données. À défaut, il restera un prototype brillant… mais fragile.
Photo © US Army Reserve
- Le zero trust est un modèle de cybersécurité stipulant que chaque utilisateur représente une menace par défaut. Il repose sur la mise en place d’un contrôle des accès et au principe du moindre privilège. La gestion des identités constitue une composante importante de cette stratégie. (via Guardia School) ↩︎