Les agences gouvernementales publient constamment des avis et des directives. Habituellement, ceux-ci ne concernent que les ministères, ce qui signifie que personne d’autre n’y prête vraiment attention. Il est facile de comprendre pourquoi vous supposeriez qu’une directive de la CISA ne concerne tout simplement pas votre organisation.
Mais, dans le cas de la dernière directive CISA, ce serait commettre une erreur. Dans cet article, nous expliquons pourquoi, même si vous êtes dans le secteur privé ou non gouvernemental, vous devriez néanmoins examiner de près la directive opérationnelle contraignante CISA 22-01.
Nous décrivons pourquoi la CISA a été forcée d’émettre cette directive et pourquoi cette action ferme a des implications pour toutes les organisations – à l’intérieur et à l’extérieur du gouvernement. Agir sur les problèmes de cybersécurité n’est pas aussi simple que d’appuyer sur un interrupteur, alors continuez à lire pour savoir comment vous pouvez résoudre le problème central derrière la directive CISA.
D’accord, qu’est-ce qu’une directive CISA exactement ?
Prenons un peu de recul pour avoir un peu de contexte. Comme toute organisation qui utilise la technologie, les agences gouvernementales américaines – les agences fédérales – sont constamment la cible de cyberattaques de la part d’acteurs malveillants, des criminels de droit commun aux États ennemis.
En conséquence, le département américain de la Sécurité intérieure a mis en place la CISA, la Cybersecurity, and Infrastructure Security Agency, pour aider à coordonner la cybersécurité pour les agences fédérales.
La CISA dit qu’elle agit en tant que responsable opérationnel de la cybersécurité fédérale, défendant les réseaux du gouvernement fédéral. Mais chaque agence a ses propres équipes opérationnelles et technologiques qui ne sont pas sous le contrôle direct de la CISA – et c’est là qu’interviennent les directives CISA.
Une directive CISA vise à obliger les équipes techniques des agences fédérales à prendre certaines mesures que la CISA juge nécessaires pour garantir la sécurité des opérations de cybersécurité. Les directives traitent généralement de vulnérabilités spécifiques à haut risque, mais certaines directives sont plus générales, avec BD 18-01, par exemple, décrivant les mesures spécifiques que les agences doivent prendre pour améliorer la sécurité des e-mails.
Que dit la directive BD 22-01 ?
Directive opérationnelle contraignante 22-01 est l’une des directives plus larges – en fait, elle est très large, faisant référence à plus de trois cents vulnérabilités. C’est une étape importante à franchir pour le CISA – ce n’est pas simplement un autre message de communication ordinaire.
Avec cette directive, CISA présente une liste de vulnérabilités qui, selon elle, sont les plus couramment exploitées dans le domaine plus large des dizaines de milliers de vulnérabilités connues. Certaines de ces vulnérabilités sont assez anciennes.
Dans ce catalogue de vulnérabilités, chaque entrée spécifie une date fixe à laquelle les agences fédérales doivent remédier à la vulnérabilité. La directive elle-même contient d’autres instructions détaillées et des échéanciers – y compris l’établissement d’un processus pour réviser régulièrement la liste jointe au BD 22-01 – ce qui signifie que cette liste sera étendue à l’avenir.
Exemples de vulnérabilités sur la liste
Regardons quelques exemples de vulnérabilités sur cette liste. CISA a rassemblé quelles sont, à son avis, les vulnérabilités les plus graves et les plus exploitées – en d’autres termes, les vulnérabilités qui sont les plus susceptibles de causer des dommages si elles ne sont pas corrigées.
La liste couvre un très large éventail, de l’infrastructure aux applications – y compris les applications mobiles – couvrant même certaines des solutions de sécurité les plus fiables. Il comprend des fournisseurs tels que Microsoft, SAP et TrendMicro ainsi que des solutions technologiques open source populaires telles que Linux et Apache.
Un exemple de vulnérabilité sur la liste concerne le serveur HTTP Apache, où une gamme de versions de la version 2.4 est affectée par une vulnérabilité de tableau de bord – CVE-2019-0211. Il permet aux attaquants de lancer une attaque en exécutant du code dans un processus moins privilégié qui manipule le tableau de bord, permettant l’exécution de code arbitraire avec les autorisations du processus parent.
Un autre exemple réside dans Atlassian Confluence, l’outil de collaboration populaire. Ici, les attaquants peuvent monter une attaque d’exécution de code à distance en injectant du code macro dans l’Atlassian Widget Connector. Encore une fois, cette vulnérabilité est répertoriée par CISA car l’organisation a estimé qu’elle était couramment exploitée.
Oui! Cette directive CISA s’applique à vous aussi…
D’accord, les directives de la CISA ne peuvent pas être appliquées aux équipes technologiques en dehors du gouvernement fédéral américain, mais cela ne veut pas dire qu’il n’y a rien à apprendre ici.
Pour commencer, prenez du recul et réfléchissez au raisonnement de la CISA avant de simplement rejeter sa dernière directive. Nous savons que les attaques de cybersécurité sont courantes et que les coûts sont énormes, que vous opériez dans un environnement étatique ou fédéral – ou en tant qu’entreprise privée.
CISA n’a publié cette liste qu’en dernier recours. L’agence est devenue si exaspérée par les attaquants frappant fréquemment des cibles gouvernementales qu’elle s’est sentie obligée de publier une directive contraignante répertoriant les vulnérabilités qui doivent être corrigées. Il l’a fait simplement parce qu’il est si courant que des vulnérabilités connues ne soient pas corrigées.
Ces vulnérabilités ne sont pas propres aux services gouvernementaux – tout environnement technologique peut être affecté.
Et voici le hic : tout comme les environnements technologiques gouvernementaux, votre parc technologique peut être plein de vulnérabilités qui doivent être corrigées. La liste CISA serait un excellent endroit pour commencer à réparer les choses.
Et pour couronner le tout, ce ne sont pas seulement des vulnérabilités -potentiellement- exploitables.
Si vous lisez attentivement la directive, il s’agit de vulnérabilités -actuellement- exploitées à l’état sauvage, ce qui signifie que le code d’exploitation est soit facilement disponible pour tout le monde, soit distribué dans les coins les moins salés d’Internet. Quoi qu’il en soit, ce ne sont plus seulement une menace hypothétique.
Le message caché de la directive CISA
Ce n’est pas que vous – ou les équipes techniques du gouvernement – soyez négligents ou ignorants. C’est juste une question de réalités pratiques. Et dans la pratique, les équipes techniques ne parviennent pas à corriger systématiquement les vulnérabilités. Des vulnérabilités importantes, évidentes et connues, telles que celles répertoriées dans la directive CISA, peuvent attendre qu’un attaquant les exploite simplement parce que les équipes techniques ne les ont jamais corrigées.
Il y a une variété de raisons pour lesquelles cela se produit, et la négligence est rarement l’une d’entre elles. Le manque de ressources est sans doute l’une des principales causes, car les équipes technologiques sont tout simplement trop sollicitées pour tester, corriger et atténuer suffisamment.
Il y a aussi les perturbations associées aux correctifs : les correctifs urgents peuvent rapidement devenir moins urgents face à la réticence des parties prenantes. Donc, ce que la directive CISA dit vraiment, c’est que les réalités pratiques signifient qu’il existe un océan de vulnérabilités qui ne sont tout simplement pas traitées et qui conduisent à des exploits réussis.
Et, en réponse, CISA a produit ce que l’on pourrait appeler une liste d’urgence simplement en raison du niveau de désespoir avec la cybercriminalité. En d’autres termes, la situation est intenable – et la directive CISA est un pansement d’urgence, un moyen d’essayer de cautériser les dégâts.
Limitez les perturbations et vous renforcez également la sécurité
Commencer à traiter les vulnérabilités les plus critiques et les plus exploitées est la réponse évidente, et c’est ce que la liste CISA est censée accomplir. De près, on consacre plus de ressources au problème – consacrer plus de temps à la correction des vulnérabilités est une étape louable.
Mais ces étapes évidentes se heurtent rapidement à un mur : la réparation et le patch provoquent des perturbations, et trouver une voie à suivre est difficile. Et sans trouver un moyen de surmonter ces effets perturbateurs, la situation peut continuer à se dégrader au point que nous ayons besoin de mesures telles que la directive CISA. La refonte des opérations de sécurité est la réponse.
Que peuvent faire les équipes techniques ? Cela nécessite une réingénierie globale d’une manière qui minimise les perturbations liées aux correctifs. La redondance et la haute disponibilité, par exemple, peuvent aider à atténuer certains des pires effets perturbateurs de la gestion des vulnérabilités.
L’utilisation de la technologie de sécurité la plus avancée est également utile. Les scanners de vulnérabilité peuvent mettre en évidence les problèmes les plus urgents pour aider à la hiérarchisation. Patching en direct par TuxCare est un autre excellent outil, car le patch en direct supprime complètement le besoin de redémarrer, ce qui signifie que les interruptions de patch peuvent être essentiellement éliminées.
Et c’est ce que signifie vraiment la directive CISA…
Que vous soyez au gouvernement ou dans le secteur privé, une refonte est nécessaire car les vulnérabilités s’accumulent si rapidement. La directive CISA souligne à quel point les choses sont devenues mauvaises. Mais appliquer simplement plus de pansement ne fonctionnera pas – vous corrigerez et serez de retour dans la même situation que vous étiez en un rien de temps.
Alors, prenez la directive CISA comme un signe d’avertissement. Oui, vérifiez si vous utilisez l’un des logiciels et services de la liste et corrigez en conséquence. Mais, plus important encore, réfléchissez à la manière dont vous pouvez améliorer vos SecOps – en vous assurant que vous êtes plus réactif aux vulnérabilités en les corrigeant avec moins de perturbations. Patchez plus rapidement avec moins de perturbations.