Note de l'éditeur : De temps en temps, ComplexDiscovery met en évidence des annonces accessibles au public ou achetables en privé, des mises à jour de contenu et des recherches provenant de fournisseurs de cybersécurité, de données et de découverte juridique, d'organismes de recherche et de membres de la communauté ComplexDiscovery. Bien que ComplexDiscovery met régulièrement en évidence ces informations, il n'assume aucune responsabilité pour les assertions de contenu.
Pour soumettre des recommandations à prendre en compte et à inclure dans les annonces de services, de produits ou de recherche axés sur la cybersécurité, les données et la découverte juridique de ComplexDiscovery, contactez-nous dès aujourd'hui.
Communiqué de presse*
La CISA publie une directive sur la réduction du risque important de vulnérabilités exploitées connues
Établit les priorités en matière de gestion des vulnérabilités et incite les agences fédérales à améliorer leurs pratiques de gestion des vulnérabilités
Aujourd'hui [le 3 novembre 2021] la Cybersecurity and Infrastructure Security Agency (CISA) a publié la Directive opérationnelle contraignante (BOD) 22-01, Réduction du risque significatif de vulnérabilités exploitées connues, afin de favoriser une correction urgente et hiérarchisée des vulnérabilités qui sont activement exploitées par les adversaires. La directive établit un catalogue géré par la CISA des vulnérabilités exploitées connues et oblige les agences civiles fédérales à remédier à ces vulnérabilités dans des délais précis.
La CISA a publié le DBO 22-01 pour inciter les agences fédérales à atténuer les vulnérabilités activement exploitées sur leurs réseaux, envoyant un message clair à toutes les organisations à travers le pays pour qu'elles concentrent les correctifs sur le sous-ensemble des vulnérabilités qui causent des dommages actuellement, et permettent à CISA de mener une hiérarchisation continue des vulnérabilités basées sur notre compréhension de l'activité de l'adversaire. La directive s'applique à tous les logiciels et matériels présents sur les systèmes d'information fédéraux, y compris ceux gérés dans les locaux de l'agence ou hébergés par des tiers pour le compte d'une agence. Avec cette directive, la CISA impose les premières exigences à l'échelle du gouvernement pour remédier aux vulnérabilités affectant les actifs connectés à Internet et non connectés à Internet.
« Chaque jour, nos adversaires utilisent des vulnérabilités connues pour cibler les agences fédérales. En tant que responsable opérationnel de la cybersécurité fédérale, nous utilisons notre autorité directive pour orienter les efforts de cybersécurité vers l'atténuation de ces vulnérabilités spécifiques dont nous savons qu'elles sont activement utilisées par des cyberacteurs malveillants », a déclaré la directrice de la CISA, Jen Easterly. « La directive établit des exigences claires pour que les agences civiles fédérales prennent des mesures immédiates pour améliorer leurs pratiques de gestion de la vulnérabilité et réduire considérablement leur exposition aux cyberattaques. Bien que cette directive s'applique aux agences civiles fédérales, nous savons que les organisations à travers le pays, y compris les entités d'infrastructures essentielles, sont ciblées en utilisant ces mêmes vulnérabilités. Il est donc essentiel que chaque organisation adopte cette directive et accorde la priorité à l'atténuation des vulnérabilités répertoriées dans le catalogue public de la CISA. »
Avec plus de 18 000 vulnérabilités identifiées rien qu'en 2020, les organisations des secteurs public et privé ont de la difficulté à prioriser des ressources limitées pour remédier aux vulnérabilités les plus susceptibles d'entraîner une intrusion dommageable. La présente directive répond à ce défi en atténuant les vulnérabilités qui sont activement exploitées pour compromettre les agences fédérales et les entreprises américaines, en s'appuyant sur les méthodes existantes largement utilisées pour hiérarchiser les vulnérabilités par de nombreuses organisations aujourd'hui.
Cette directive s'applique aux agences civiles fédérales, mais la CISA recommande fortement aux entreprises privées et aux gouvernements des États, locaux, tribaux et territoriaux (SLTT) de donner la priorité à l'atténuation des vulnérabilités répertoriées dans le catalogue public de la CISA et de s'inscrire pour recevoir des notifications lorsque de nouvelles vulnérabilités sont ajoutées .
La nouvelle directive et une fiche d'information connexe se trouvent à la Directive opérationnelle contraignante (DBO) 22-01.
À propos de CISA
La Cybersecurity and Infrastructure Security Agency (CISA) est le conseiller en risques du pays, travaillant avec des partenaires pour se défendre contre les menaces d'aujourd'hui et collaborant à la construction d'infrastructures plus sûres et résilientes pour l'avenir.
Lisez l'annonce originale.
Fiche d'information complète : Réduire le risque important de vulnérabilités exploitées connues (PDF) - Survol de la souris pour faire défiler
Réduction du risque important de vulnérabilités exploitées connues 211103
*Partagé avec autorisation.
Lectures supplémentaires
Un impact économique ? Comment la cyberassurance façonne la réponse aux incidents
Définir la cyberdécouverte ? Une définition et un cadre
Source : ComplexDiscovery
