Etats-Unis : Menacées par 300 failles de sécurité, les agences fédérales sont sommées d’agir par l’administration Biden

CYBERSECURITE Une nouvelle directive donne six mois aux agences fédérales civiles pour corriger des failles de sécurité connues

David Manfredini pour 20 Minutes
— 
Les agences fédérales américaines doivent corriger 300 failles de sécurités au plus vite
Les agences fédérales américaines doivent corriger 300 failles de sécurités au plus vite — Geeko

Depuis qu’il est en fonction, le président Joe Biden a fait de la cybersécurité une de ses priorités. En mai, il a notamment signé un décret pour prévenir et éviter les futures catastrophes de cybersécurité. L’ensemble du gouvernement fédéral doit ainsi désormais utiliser un système d’authentification à deux facteurs pour éviter les piratages basiques. Le décret établit également un protocole pour répondre aux cyberattaques et forme un comité d’examen dédié à la cybersécurité.

Corriger des failles de sécurités connues depuis longtemps

L’administration Biden exige désormais des agences fédérales civiles qu’elles corrigent des failles de sécurités connues de longue date. La directive de l’agence américaine de la Cybersécurité et de la Sécurité des Infrastructures (CISA) liste près de 200 failles de sécurités connues depuis 2017 et 90 autres failles découvertes en 2021.

Les agences fédérales américaines doivent corriger 300 failles de sécurités au plus vite
Les agences fédérales américaines doivent corriger 300 failles de sécurités au plus vite - Geeko

Les agences fédérales ont six mois pour corriger les menaces les plus anciennes et deux semaines pour corriger celles qui ont été découvertes cette année.

Le Wall Street Journal souligne que les agences fédérales sont généralement laissées à elles-mêmes en matière de sécurité, ce qui peut causer d’importants problèmes de gestion. L’objectif derrière cette directive est de forcer les agences fédérales à corriger les menaces connues et d’établir une liste à suivre pour les autres organisations privées et publiques.

Il n’y a plus de « petites » menaces

En 2015, une ordonnance obligeait les agences fédérales à corriger les menaces considérées comme « risques critiques » dans un délai d’un mois. En 2019, elle avait été modifiée pour inclure les menaces classées comme étant à « haut risque ». Ce nouveau mandat s’éloigne de cette catégorisation des menaces et estime que les petites failles peuvent elles aussi causer des problèmes importants si elles sont exploitées efficacement par les pirates.

« La directive énonce des exigences claires pour que les organismes civils fédéraux prennent des mesures immédiates afin d’améliorer leurs pratiques de gestion des vulnérabilités et de réduire considérablement leur exposition aux cyberattaques », explique Jen Easterly, directrice de la CISA. « Bien que cette directive s’applique aux agences civiles fédérales, nous savons que les organisations de tout le pays, y compris les entités d’infrastructure critique, sont ciblées en utilisant ces mêmes vulnérabilités. Il est donc essentiel que chaque organisation adopte cette directive et donne la priorité à l’atténuation des vulnérabilités répertoriées dans le catalogue public du CISA. »

Cette nouvelle directive vise à éviter que des incidents comme celui de mars dernier ne se reproduisent. Lors de cet événement, plus de 30.000 organisations gouvernementales et commerciales américaines ont vu leurs emails piratés. Les pirates avaient mis à profit quatre failles de sécurités connues. Cette mésaventure aurait donc pu être évitée si ces nouvelles mesures avaient été prises plus tôt.