L’agence fédérale américaine de cybersécurité CISA a révélé qu’elle ne disposait pas de plan d’intervention préparé pour gérer un incident de cybersécurité survenu en mai, après qu’un journaliste d’investigation a alerté l’agence qu’un sous-traitant avait exposé publiquement des clés sensibles et des identifiants permettant d’accéder aux systèmes gouvernementaux américains.
L’incident
En mai, le journaliste indépendant en cybersécurité Brian Krebs a rapporté qu’un chercheur en sécurité de la société cyber GitGuardian l’avait alerté sur des quantités importantes de mots de passe exposés, stockés dans un dépôt GitHub accessible publiquement, qu’un employé d’un sous-traitant du CISA avait téléversé.
Selon Krebs, le chercheur a tenté de contacter le sous-traitant sans obtenir de réponse. Ce n’est qu’après que Krebs a contacté le CISA que l’agence a mis le dépôt hors ligne et révoqué et remplacé tous les identifiants exposés.
Aucun manuel d’intervention en place
Le CISA, l’unité du département de la Sécurité intérieure chargée de défendre les réseaux fédéraux et les infrastructures critiques, a révélé dans un rapport post-mortem publié vendredi que ses équipes « ont dû consacrer du temps à élaborer [un manuel d’intervention] pendant les premières phases de l’incident ».
L’agence a déclaré qu’il est important de préparer des manuels d’intervention pour « tous les besoins anticipés » afin de garantir que les organisations soient prêtes à réagir, plutôt que de chercher à improviser en temps réel. Le CISA n’a pas précisé combien de temps l’absence de manuel d’intervention a retardé sa réponse.
Fractures dans la communication
Le CISA a également reconnu que ses canaux permettant aux chercheurs en sécurité de signaler des incidents potentiels à l’agence « n’étaient pas bien définis ». Il a indiqué avoir apporté des modifications pour faciliter et accélérer la prise de contact des chercheurs avec l’agence.
L’agence sous tension
Le CISA est sans directeur permanent depuis le début du second mandat du président Donald Trump en janvier 2025. L’agence a également été touchée par des coupes budgétaires, des mises en congé et des licenciements affectant environ un tiers de ses effectifs depuis l’arrivée de Trump au pouvoir.
Le CISA a précisé qu’aucune donnée client ou opérationnelle n’a été exposée lors de l’incident et a remercié le chercheur et le journaliste pour leur aide.
