La CISA ordonne aux agences fédérales d’atténuer les vulnérabilités activement exploitées

  • FrançaisFrançais



  • La menace de vulnérabilités non corrigées est l’un des problèmes de sécurité les plus urgents pour les organisations du monde entier. Malgré les initiatives de cybersécurité nécessaires, les acteurs de la menace continuent d’exploiter des failles non corrigées pour pénétrer les systèmes critiques. La Cybersecurity and Infrastructure Security Agency (CISA) a récemment publié une directive opérationnelle contraignante (BOD) pour réduire le risque de vulnérabilités activement exploitées. La nouvelle directive, qui s’applique à tous les logiciels et matériels trouvés sur les systèmes d’information fédéraux, exige des agences civiles fédérales qu’elles remédient à ces vulnérabilités dans des délais précis.

    Des milliers de défauts non corrigés

    CISA a découvert que les acteurs malveillants recherchent souvent des vulnérabilités connues non corrigées et les exploitent en peu de temps. De 2015 à 2018, le nombre de nouvelles failles est passé de 6 487 à 17 305, et 9 883 d’entre elles ont été classées « élevées » et « critiques ». Selon CISA, plus de 18 000 vulnérabilités ont été identifiées en 2020. Les organisations des secteurs public et privé ont du mal à corriger les failles de sécurité croissantes.

    “Cette directive relève ce défi en favorisant l’atténuation des vulnérabilités qui sont activement exploitées pour compromettre les agences fédérales et les entreprises américaines, en s’appuyant sur les méthodes existantes largement utilisées pour hiérarchiser les vulnérabilités par de nombreuses organisations aujourd’hui”, a déclaré la CISA.

    Commande aux agences

    CISA a publié une liste de vulnérabilités exploitées qui exposent les systèmes de réseau gouvernementaux à des risques de sécurité. Il a également ordonné aux agences de les corriger dans les délais impartis.

    • Dans les 60 jours suivant la publication, les agences examinent et mettent à jour les procédures internes de gestion de la vulnérabilité des agences conformément à la présente directive. À la demande de la CISA, les agences fourniront une copie de ces politiques et procédures.
    • Établir un processus de correction continue des vulnérabilités que la CISA identifie, par l’inclusion dans le catalogue géré par la CISA des vulnérabilités exploitées connues, comme présentant un risque important pour l’entreprise fédérale dans un délai fixé par la CISA conformément à cette directive.
    • Corrigez chaque vulnérabilité selon les délais indiqués dans le catalogue de vulnérabilités géré par CISA. Le catalogue répertoriera les vulnérabilités exploitées qui comportent un risque important pour l’entreprise fédérale avec l’obligation de remédier dans les six mois pour les vulnérabilités avec un ID de vulnérabilités et d’expositions communes (CVE) attribué avant 2021 et dans les deux semaines pour toutes les autres vulnérabilités.
    • Rapport sur l’état des vulnérabilités répertoriées dans le référentiel. Conformément aux exigences du déploiement du tableau de bord fédéral de diagnostic et d’atténuation continus (CDM) et aux exigences du mémorandum annuel FISMA de l’OMB, les agences doivent automatiser l’échange de données et signaler l’état de mise en œuvre de leurs directives respectives via le tableau de bord fédéral du MDP.

    «Chaque jour, nos adversaires utilisent des vulnérabilités connues pour cibler les agences fédérales. En tant que responsable opérationnel de la cybersécurité fédérale, nous utilisons notre autorité directive pour diriger les efforts de cybersécurité vers l’atténuation de ces vulnérabilités spécifiques que nous savons être activement utilisées par les cyber-acteurs malveillants. La directive énonce des exigences claires pour que les agences civiles fédérales prennent des mesures immédiates pour améliorer leurs pratiques de gestion des vulnérabilités et réduire considérablement leur exposition aux cyberattaques. Bien que cette directive s’applique aux agences civiles fédérales, nous savons que les organisations à travers le pays, y compris les entités d’infrastructures essentielles, sont ciblées en utilisant ces mêmes vulnérabilités. Il est donc essentiel que chaque organisation adopte cette directive et accorde la priorité à l’atténuation des vulnérabilités répertoriées dans le catalogue public de CISA », a déclaré la directrice de CISA, Jen Easterly.

    Source

    L'équipe de Comparaland

    Rédacteur web depuis 2009 et webmestre depuis 2011.

    Je m'intéresse à tous les sujets comme la politique, la culture, la géopolitique, l'économie ou la technologie. Toute information permettant d'éclairer mon esprit et donc, le vôtre, dans un monde obscur et à la dérive. Je suis l'auteur de plusieurs livre

    Pour me contacter personnellement :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *