L'administration Biden exige des agences fédérales civiles qu'elles corrigent des centaines de failles de cybersécurité, comme indiqué précédemment par le Wall Street Journal. Comme l'indique le WSJ, la directive BOD 22-01 de la Cybersecurity and Infrastructure Security Agency (CISA) couvre environ 200 menaces connues découvertes par des experts en cybersécurité entre 2017 et 2020, ainsi que 90 autres failles découvertes en 2021. Les agences fédérales ont six mois pour corriger les anciennes menaces et seulement deux semaines pour corriger celles qui ont été découvertes au cours de l'année écoulée.
Le rapport du WSJ souligne que les agences fédérales sont généralement laissées à elles-mêmes en matière de sécurité, ce qui entraîne parfois une mauvaise gestion de la sécurité. L'objectif est de forcer les agences fédérales à corriger toutes les menaces potentielles, qu'elles soient majeures ou non, et d'établir une liste de base à suivre pour les autres organisations privées et publiques. Alors que les vulnérabilités zero-day qui exploitent des ouvertures auparavant inconnues font la une des journaux, s'attaquer au « sous-ensemble de vulnérabilités qui causent des dommages maintenant » peut devancer de nombreux incidents.
Les agences fédérales ont six mois pour corriger les menaces plus anciennes
Auparavant, une ordonnance de 2015 donnait aux agences fédérales un mois pour corriger les menaces considérées comme « à risque critique ». Cela a été modifié en 2019 pour inclure les menaces classées comme « à haut risque », comme l'a souligné le WSJ. Le nouveau mandat se distancie de la priorisation de niveaux de menace spécifiques et reconnaît plutôt que de petits trous peuvent rapidement causer des problèmes plus importants si les pirates peuvent trouver un moyen d'en tirer parti.
« La directive énonce des exigences claires pour que les agences civiles fédérales prennent des mesures immédiates pour améliorer leurs pratiques de gestion des vulnérabilités et réduire considérablement leur exposition aux cyberattaques », a déclaré la directrice de la CISA, Jen Easterly. « Bien que cette directive s'applique aux agences civiles fédérales, nous savons que des organisations à travers le pays, y compris des entités d'infrastructures critiques, sont ciblées en utilisant ces mêmes vulnérabilités. Il est donc essentiel que chaque organisation adopte cette directive et accorde la priorité à l'atténuation des vulnérabilités répertoriées dans le catalogue public de CISA. »
La liste de vulnérabilités connues récemment publiée par CISA inclut notamment la faille Microsoft Exchange Server. En mars, des e-mails de plus de 30 000 organisations gouvernementales et commerciales américaines ont été piratés par un groupe chinois, grâce à quatre failles de sécurité connues qui, si elles avaient été corrigées, auraient empêché les attaques. La liste de CISA nécessite de corriger la « vulnérabilité d'exécution de code à distance Microsoft Exchange » et appelle les agences fédérales à installer les correctifs SolarWinds disponibles d'ici mai 2022.
La plate-forme Solarwinds Orion figure également sur la liste, qui a été victime d'un piratage majeur fin 2020 qui a compromis les agences gouvernementales américaines. La CISA note que “l'API SolarWinds Orion est vulnérable à un contournement d'authentification qui pourrait permettre à un attaquant distant d'exécuter des commandes d'API.”
La cybersécurité est une priorité pour le président Biden depuis son entrée Bureau. En mai, il a signé un décret pour aider à prévenir de futures catastrophes en matière de cybersécurité. L'ordonnance impose une authentification à deux facteurs dans l'ensemble du gouvernement fédéral, établit un protocole pour répondre aux cyberattaques et forme un comité d'examen de la sécurité en matière de cybersécurité, entre autres mesures de sécurité.