L’agence américaine Cybersecurity and Infrastructure Security Agency a publié une nouvelle directive opérationnelle contraignante, la BOD 26-04, qui donne la priorité aux mises à jour de sécurité pour les agences fédérales civiles du pouvoir exécutif.
L’objectif de ce texte est de réduire le risque de cyberattaques qui ciblent le secteur public. Pour cela, il exige que ces agences corrigent les failles à haut risque dans des délais très courts, qui peuvent atteindre seulement trois jours.
La CISA indique que la BOD 26-04 remplace et annule les anciennes directives BOD 19-02 et BOD 22-01, qui dataient respectivement de 2019 et 2021.
L’agence précise que la priorisation des corrections repose sur quatre critères principaux :
- L’actif est-il exposé publiquement sur internet ?
- La faille figure-t-elle dans le catalogue des vulnérabilités exploitées connues de la CISA ?
- L’exploitation de cette faille peut-elle être automatisée pour mener des attaques à grande échelle ?
- L’exploitation donne-t-elle aux attaquants un contrôle partiel ou total sur un système ?
En fonction de ces éléments, les agences reçoivent des échéances pour traiter les failles de sécurité. Le délai le plus court est fixé à trois jours.
Pour les situations moins urgentes, lorsque l’exploitation automatisée n’est pas possible ou quand elle ne procure qu’un contrôle partiel, le délai est porté à deux semaines.
Source : CISA
Champ d’application et mise en œuvre
La directive s’applique spécifiquement aux agences fédérales civiles du pouvoir exécutif américain et aux systèmes d’information qu’elles exploitent.
Cela inclut les agences et départements gouvernementaux, mais ne concerne pas certains systèmes militaires gérés par le ministère de la Guerre, les entreprises privées, les systèmes du renseignement ou les sous-traitants.
Comme les directives précédentes, ce cadre devrait influencer l’ensemble de l’industrie de la cybersécurité et servir de signal pour hiérarchiser les correctifs.
Le texte s’applique à tous les systèmes fédéraux sur site, aux systèmes hébergés par des tiers, ainsi qu’aux environnements cloud qu’ils soient certifiés FedRAMP ou non.
Dès maintenant, les agences concernées par la BOD 26-04 doivent adapter leurs politiques de gestion des vulnérabilités, mettre à jour leurs inventaires d’actifs et automatiser les rapports sur le statut des failles du catalogue KEV.
Les processus de gestion des vulnérabilités doivent être mis à jour dans un délai de 60 jours pour utiliser les données des CVE et du catalogue KEV comme base de décision pour les corrections.
Dans les 180 jours, toutes les agences seront tenues de respecter les nouveaux délais de correction, de surveiller en continu et de rapporter des métadonnées détaillées sur leurs actifs.