La directive cible les pare-feu, les routeurs et les VPN qui ne reçoivent plus de correctifs des fournisseurs, alors que les acteurs étatiques modifient leurs tactiques des points finaux vers l’infrastructure.
La Cybersecurity and Infrastructure Security Agency a donné 18 mois aux agences fédérales pour retirer de leurs réseaux tous les appareils périphériques en fin de support, intensifiant ainsi sa réponse à ce que les chercheurs en sécurité décrivent comme un changement fondamental dans les tactiques d’attaque des États-nations, où les attaquants exploitent l’infrastructure réseau plutôt que les points finaux.
La directive opérationnelle contraignante, BOD 26-02, exige que les agences du pouvoir exécutif civil fédéral (FCEB) inventorient, mettent à jour si possible et, finalement, remplacent les pare-feu, les routeurs, les passerelles VPN, les équilibreurs de charge et les appareils de sécurité réseau qui ne reçoivent plus les correctifs de sécurité des fournisseurs. La CISA a averti que la menace posée par ces appareils non pris en charge est « substantielle et constante ».
« Les appareils non pris en charge présentent un risque sérieux pour les systèmes fédéraux et ne devraient jamais rester sur les réseaux d’entreprise », a déclaré Madhu Gottumukkala, directeur par intérim de la CISA, dans la directive.
La directive exige que les agences FCEB mettent immédiatement à jour tout appareil périphérique exécutant un logiciel obsolète vers des versions prises en charge par le fournisseur, dans la mesure du possible. Dans un délai de trois mois, les agences doivent inventorier tous les appareils en fin de support à l’aide de la liste des appareils EOS Edge de CISA et rapporter les résultats. Dans un délai de 12 mois, les agences doivent commencer à supprimer les appareils ayant atteint la date de fin de support. Le délai de 18 mois exige que tous les appareils Edge non pris en charge soient définitivement supprimés et remplacés.
Pourquoi les appareils Edge sont devenus des cibles privilégiées
Les appareils en périphérie du réseau sont devenus l’un des principaux vecteurs d’accès initial pour les groupes de cyberespionnage affiliés à l’État et les gangs de ransomwares. La recherche montre une augmentation spectaculaire de l’exploitation des appareils de périphérie, les vulnérabilités de périphérie du réseau connaissant une activité d’exploitation multipliée par 8. Le rapport Mandiant M-Trends 2025 révèle que 21 % des attaques de ransomware comportaient l’exploitation de vulnérabilités comme vecteur d’accès initial.
CISA a documenté des campagnes menées par des États-nations ciblant les appareils de Cisco, Fortinet, Palo Alto Networks, Ivanti, Juniper et d’autres fournisseurs. L’agence a noté que ces appareils sont devenus des cibles attrayantes en raison de leur position à la limite du réseau, de leur intégration avec les systèmes de gestion d’identité et de leur accès privilégié pour les mouvements latéraux. Une fois compromis, ils permettent aux acteurs malveillants d’intercepter le trafic réseau, de récolter des informations d’identification et d’exfiltrer des données sensibles tout en échappant à la détection traditionnelle des points de terminaison.
Nagumanthri a noté que les dispositifs de pointe protégeant les infrastructures critiques peuvent avoir des impacts physiques lorsqu’ils sont compromis, mettant en danger les systèmes de grande valeur dans des secteurs comme l’eau et les transports. « Les acteurs étatiques exploitent de plus en plus les appareils de pointe comme points d’entrée dans les infrastructures, menaçant les opérations critiques du secteur privé. »
La directive fait suite à deux directives d’urgence récentes. En septembre, la CISA a publié la directive d’urgence 25-03 après que des acteurs malveillants ont exploité des vulnérabilités zero-day dans les appliances de sécurité adaptatives Cisco, déployant des logiciels malveillants persistants qui ont survécu aux redémarrages. En octobre, une autre directive d’urgence a suivi la compromission de l’environnement de développement de F5 Networks, où des attaquants ont exfiltré le code source de BIG-IP.
Obstacles à la mise en œuvre
Sunil Varkey, conseiller chez Beagle Security, met en garde contre les complexités de mise en œuvre. « La réalité opérationnelle de la suppression des systèmes existants n’est pas simple », a déclaré Varkey. « Les appareils existants continuent d’exister non pas par conception, mais par nécessité. »
Il a souligné les systèmes orphelins qui restent actifs et intégrés dans les flux de travail, mais qui manquent de propriété claire, ainsi que les environnements technologiques opérationnels dans lesquels les versions matérielles ou logicielles les plus récentes ne sont pas disponibles, compatibles ou certifiées. Le processus nécessite la découverte des actifs, l’évaluation des risques, l’approvisionnement, la refonte de la configuration, la migration des données, les tests et les basculements gérés pour éviter toute interruption de service.
« Un défi courant sera la présence de systèmes ‘orphelins’ ou ‘fantômes’, c’est-à-dire des appareils qui sont actifs, intégrés dans les flux de travail, mais qui ne leur appartiennent plus clairement », a déclaré Varkey. « Ces systèmes persistent souvent parce qu’ils ont toujours fonctionné, même lorsque personne ne comprend pleinement leur fonction. »
Implications pour le secteur privé
Bien que la directive ne s’applique qu’aux agences civiles fédérales, la CISA encourage fortement les organisations du secteur privé à adopter des mesures similaires. Les campagnes d’exploitation ciblant les réseaux fédéraux présentent des risques équivalents pour les infrastructures critiques et les entreprises commerciales.
Nagumanthri a recommandé aux organisations de traiter les systèmes de périphérie et cyber-physiques comme des actifs de niveau 0, d’appliquer une authentification forte, de mettre en œuvre une segmentation du réseau, d’exiger des mises à jour du micrologiciel prises en charge par le fournisseur et de centraliser la journalisation pour limiter le rayon d’explosion. Pour le secteur privé, il a préconisé une gestion structurée du cycle de vie avec un matériel sécurisé dès la conception, une surveillance continue et des mises à jour contrôlées avec des capacités de restauration.
Varkey considérait la directive comme un catalyseur de modernisation allant au-delà de la conformité. « Même si l’impact à court terme sera difficile, le résultat est une infrastructure plus sûre, plus responsable et plus défendable, mieux adaptée aux réalités des menaces d’aujourd’hui et aux besoins opérationnels de demain. »
