Ces dernières années, nous avons vu comment les pirates informatiques s’attaquent à ceux qui sont trop paresseux ou ignorants pour installer des correctifs de sécurité qui, s’ils étaient appliqués à temps, auraient empêché certaines cyberattaques dévastatrices et atteintes à la protection des données qui ont eu lieu dans les grandes organisations.


Le Département de la sécurité intérieure des États-Unis (DHS) a ordonné aux organismes gouvernementaux d’éliminer plus rapidement les vulnérabilités de sécurité critiques détectées sur leurs réseaux dans les 15 jours civils suivant la détection initiale, soit une réduction de 30 jours.
La Cybersecurity and Infrastructure Security Agency (CISA) du DHS a publié cette semaine une nouvelle directive opérationnelle contraignante (DBO) 19-02 demandant aux agences et ministères fédéraux de traiter les vulnérabilités ” critiques ” dans les 15 jours et les failles ” graves ” dans les 30 jours suivant leur détection initiale.


Le compte à rebours pour corriger une vulnérabilité de sécurité commencera lorsqu’elle aura été détectée pour la première fois lors de l’analyse hebdomadaire des vulnérabilités en matière de cyberhygiène du CISA, plutôt que lorsqu’il s’agissait du premier rapport aux organismes concernés.


“Alors que les organismes fédéraux continuent d’accroître leur présence sur Internet en déployant de plus en plus de systèmes accessibles sur Internet et en exploitant des systèmes interconnectés et complexes, il est plus important que jamais que les organismes fédéraux remédient rapidement aux vulnérabilités qui pourraient autrement permettre aux acteurs malveillants de compromettre les réseaux fédéraux par des systèmes exploitables et externes “, explique Chris Krebs, le directeur du CISA.


“Des rapports récents de partenaires gouvernementaux et industriels indiquent que le délai moyen entre la découverte et l’exploitation d’une vulnérabilité diminue à mesure que les adversaires d’aujourd’hui sont plus compétents, persistants et capables d’exploiter des vulnérabilités connues”.
Par conséquent, pour réduire au minimum le risque d’accès non autorisé à tout système d’information interne du gouvernement fédéral et réduire la surface d’attaque globale, la LPCC demande aux organismes gouvernementaux d’examiner et de corriger les vulnérabilités critiques des systèmes Internet avant que les pirates et les cybercriminels ne les exploitent.

L’agence CISA récemment créée fournit des rapports réguliers aux agences fédérales sur les résultats de l’analyse de la cyberhygiène et l’état actuel, les informant des vulnérabilités détectées, classées en fonction de leur score CVSSv2.


Les agences qui n’ont pas terminé leur assainissement dans le délai imparti, CISA enverra un rappel supplémentaire aux agences, leur demandant de soumettre le plan d’assainissement complet dans les trois jours ouvrables à CISA.


La DBO 19-02 remplace la DBO 15-01 – Exigence d’atténuation de la vulnérabilité critique pour les systèmes accessibles par Internet des ministères et organismes du pouvoir exécutif civil fédéral (21 mai 2015) – qui donnait aux organismes fédéraux 30 jours pour corriger les vulnérabilités critiques.


Il s’agit de la deuxième DBO publiée par le CISA cette année. Suite à une série d’incidents de détournement de DNS, l’agence a publié une “directive d’urgence” plus tôt cette année, ordonnant aux agences fédérales de vérifier les enregistrements DNS pour leurs domaines de sites Web respectifs et autres domaines gérés par l’agence dans les 10 jours.