Présentation

L'agence de cybersécurité fédérale américaine CISA a révélé qu'elle n'avait pas de plan de réponse préparé pour gérer un incident de cybersécurité en mai, après qu'un journaliste d'investigation a signalé que l'un de ses contractants avait exposé publiquement des clés et des informations d'identification sensibles pour accéder aux systèmes du gouvernement américain.

Contexte technique

CISA, l'unité du ministère de la Sécurité intérieure chargée de défendre les réseaux fédéraux et d'aider à protéger les infrastructures critiques, a déclaré dans un rapport post-mortem que son personnel a dû passer du temps à construire un plan d'incident au cours des premières étapes de l'incident. L'agence a souligné l'importance de préparer des plans d'incident pour l'ensemble des besoins anticipés afin de garantir que les organisations soient prêtes à réagir en cas d'incident de sécurité plutôt que de se contenter de l'improviser en temps réel.

Fonctionnement et limites

Le journaliste indépendant en cybersécurité Brian Krebs a signalé en mai qu'un chercheur en sécurité de la société GitGuardian l'avait alerté de l'exposition de mots de passe stockés dans un référentiel GitHub accessible au public, que l'un des employés d'un contractant de CISA avait téléchargé. Selon Krebs, le chercheur a tenté d'alerter le contractant mais n'a pas reçu de réponse. Ce n'est qu'après que Krebs a contacté CISA que l'agence a mis le référentiel hors ligne et a révoqué et remplacé toutes les informations d'identification exposées pour prévenir toute utilisation potentielle future.

Implications et limites

CISA a déclaré qu'aucune donnée client ou de mission n'a été exposée lors de l'incident et a remercié le chercheur et le journaliste pour leur aide. L'agence a également indiqué que ses canaux pour permettre aux chercheurs en sécurité de signaler des incidents potentiels à CISA n'étaient pas bien définis et qu'elle a apporté des modifications pour faciliter et accélérer la notification des incidents par les chercheurs. CISA est actuellement sans directeur permanent depuis le début du deuxième mandat du président Donald Trump en janvier 2025, et a également été touchée par des coupes, des congés et des licenciements affectant environ un tiers de ses effectifs depuis l'arrivée de Trump au pouvoir.