Cybersécurité : Joe Biden lance un ultimatum aux agences fédérales

L’administration Biden a ordonné aux agences fédérales américaines de traiter les failles de cybersécurité, afin d’empêcher les intrusions dommageables dans les systèmes informatiques du gouvernement.

Le Wall Street Journal a d’abord rapporté qu’une directive radicale avait été publiée mercredi par la Cybersecurity and Infrastructure Security Agency (CISA).  Elle ordonne aux agences fédérales américaines de corriger des centaines de vulnérabilités de cybersécurité considérées comme des risques d’intrusion majeurs dans un délai de six mois.

Cela survient après qu’un rapport d’un comité du Sénat américain, en août, ait dressé une évaluation accablante de l’état de préparation à la cybersécurité de plusieurs agences fédérales.

Ce rapport bipartite a révélé les détails d’une enquête du Comité sénatorial de la sécurité intérieure et des affaires gouvernementales sur les mesures de cybersécurité du gouvernement fédéral.

Seul le HDS dispose d’un programme efficace

De manière alarmante, le rapport « Cybersécurité fédérale : les données américaines toujours en danger » a révélé que sept agences fédérales sur huit n’avaient pas réussi à protéger les données critiques en raison de mesures de cybersécurité inadéquates.

Le rapport a révélé qu’il y avait encore des échecs systémiques pour protéger les données américaines au Département d’État; le ministère des Transports; le Département du Logement et du Développement Urbain ; le ministère de l’Agriculture; le ministère de la Santé et des Services sociaux; le ministère de l’Éducation; et l’Administration de la sécurité sociale.

Seul le Department of Homeland Security (HDS) disposait d’un programme de cybersécurité efficace pour 2020, selon le rapport.

Mais sept agences fédérales n’ont pas réussi à protéger adéquatement les informations personnellement identifiables ; à maintenir des inventaires précis et complets des actifs informatiques ainsi que les autorisations d’exploitation actuelles pour les systèmes d’information ; à échouer sur l’installation rapide des correctifs de sécurité sur une technologie qui n’est plus prise en charge par le fournisseur.

Pire encore, les inspecteurs du rapport ont identifié bon nombre des mêmes problèmes qui affligent les agences fédérales depuis plus d’une décennie.

La cybersécurité a été une priorité pour le président Biden et il a signé un décret en mai pour aider à prévenir de futurs incidents de cybersécurité.

Cette ordonnance a mandaté l’authentification à deux facteurs dans l’ensemble du gouvernement fédéral et a établi un protocole pour répondre aux cyberattaques.

Directive CISA : six mois pour combler les failles

La CISA a publié une directive radicale ordonnant à toutes les agences de corriger les failles et les vulnérabilités connues.

« Les vulnérabilités qui ont déjà été utilisées pour exploiter des organisations publiques et privées sont un vecteur d’attaque fréquent pour les cyber-acteurs malveillants de tous types. Elles présentent un risque important pour les agences. Il est essentiel de corriger de manière agressive les vulnérabilités exploitées connues pour protéger les systèmes d’information fédéraux et réduire les cyberincidents. » explique l’agence.

Elle dispose d’un catalogue de vulnérabilités exploitées connues qui comportent des risques importants. Les agences fédérales ont six mois pour appliquer des correctifs et corriger les vulnérabilités.

« Cette directive s’applique à tous les logiciels et matériels trouvés sur les systèmes d’information fédéraux gérés dans les locaux de l’agence ou hébergés par des tiers au nom d’une agence », a déclaré CISA.

«Ces actions requises s’appliquent à tout système d’information fédéral, y compris un système d’information utilisé ou exploité par une autre entité pour le compte d’une agence, qui collecte, traite, stocke, transmet, diffuse ou conserve les informations de l’agence.»

Corriger les vulnérabilités connues s’avère une mission complexe compte tenu du nombre disparate de systèmes informatiques et d’équipements hérités utilisés par les agences fédérales.

Lire l’article original de Tom Jowitt