La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a publié une nouvelle directive opérationnelle contraignante (BOD) qui ordonne aux agences fédérales du pays de suivre les actifs et les vulnérabilités de leurs réseaux dans six mois.
À cette fin, les entreprises du Federal Civilian Executive Branch (FCEB) ont été chargées de deux ensembles d’activités : la découverte d’actifs et l’énumération des vulnérabilités, qui sont considérées comme des étapes essentielles pour obtenir « une plus grande visibilité sur les risques auxquels sont confrontés les réseaux civils fédéraux ».
Cette implique effectuer une découverte automatisée des actifs tous les sept jours et lancer une énumération des vulnérabilités sur ces actifs découverts tous les 14 jours d’ici le 3 avril 2023, en plus d’avoir la capacité de le faire à la demande dans les 72 heures suivant la réception d’une demande de CISA.
Des obligations similaires d’énumération des vulnérabilités de base ont également été mises en place pour les appareils Android et iOS ainsi que pour d’autres appareils qui résident en dehors des réseaux sur site de l’agence.
« Cela garantira des pratiques de gestion des actifs et de détection des vulnérabilités qui renforceront la cyber-résilience de leur organisation », a déclaré CISA, ajoutant que cela contribuera à combler les lacunes dans la surface d’attaque.
L’objectif de CA 23-01a-t-il déclaré, est de maintenir un inventaire à jour des actifs en réseau, d’identifier les vulnérabilités logicielles, de suivre la couverture des actifs et les signatures de vulnérabilité d’une agence, et de partager ces informations avec CISA à des intervalles définis.
« Les acteurs de la menace continuent de cibler les infrastructures critiques et les réseaux gouvernementaux de notre pays pour exploiter les faiblesses d’actifs inconnus, non protégés ou sous-protégés », a déclaré la directrice de la CISA, Jen Easterly. a dit dans un rapport. « Savoir ce qui se trouve sur votre réseau est la première étape pour toute organisation afin de réduire les risques. »
Bien que la directive soit un mandat pour les agences civiles fédérales, la CISA exhorte également toutes les entreprises, y compris les entités privées et les gouvernements des États, à examiner et à mettre en œuvre des programmes rigoureux de gestion des actifs et des vulnérabilités.