Alors que le DHS déplace certains membres du personnel de la CISA vers des fonctions d’immigration et de frontière, les experts mettent en garde contre une détection des menaces plus lente, des avis retardés et des risques croissants pour les systèmes fédéraux et d’entreprise.
Le département américain de la Sécurité intérieure a commencé à réaffecter le personnel de cybersécurité à des tâches non liées à la cybersécurité, liées aux priorités en matière d’expulsion et de contrôle des frontières.
Des centaines de travailleurs de la Cybersecurity and Infrastructure Security Agency (CISA), qui étaient chargés d’émettre des alertes sur les menaces contre les agences américaines et les infrastructures critiques, ont été remaniés et réaffectés à des agences telles que l’immigration et l’application des douanes, les douanes et la protection des frontières et le Service fédéral de protection, selon Bloomberg.
L’équipe de renforcement des capacités de la CISA, chargée de rédiger les directives d’urgence et de superviser la cybersécurité des actifs les plus précieux du gouvernement, a été la plus touchée. Le refus d’accepter de nouveaux rôles entraînerait apparemment un risque de licenciement.
Ces développements font suite au licenciement de 130 employés de la CISA depuis l’arrivée au pouvoir de l’administration Trump.
Un changement de priorités soulève des préoccupations en matière de cybersécurité
CISA est le coordinateur national pour la sécurité et la résilience des infrastructures critiques, où elle travaille avec des partenaires à tous les niveaux pour identifier et gérer les risques pour les infrastructures cybernétiques et physiques critiques pour les États-Unis. Mais la montée de la cybercriminalité, qui réduit les effectifs de l’agence américaine de cybersécurité, peut avoir de graves conséquences sur les opérations de la CISA.
« CISA s’appuie sur des connaissances spécialisées. Ce sont des analystes qui comprennent les réseaux fédéraux, les ensembles d’outils et les modèles de menaces à long terme. Une fois ces personnes réaffectées, une grande partie de la force du système et des institutions est perdue et les informations sur les menaces ralentissent », a déclaré Devroop Dhar, MD et co-fondateur de Primus Partners. « Les analyses de vulnérabilité peuvent également s’accumuler. La coordination avec les agences peut prendre beaucoup plus de temps. Vous ne le remarquerez peut-être pas immédiatement, mais très vite, les lacunes commencent à apparaître, comme des réponses plus lentes, davantage de menaces qui passent. »
La réaffectation des cyber-effectifs ne signifie pas la fermeture de CISA, mais on s’attend certainement à un ralentissement de la coordination. Cela pourrait avoir pour conséquence que certains des rôles clés en matière de cybersécurité ne soient pas pourvus.
« La première chose à souffrir est la recherche des menaces, car elle est hautement spécialisée et gourmande en ressources. Elle est donc généralement réduite en premier. Viennent ensuite la gestion et l’analyse des vulnérabilités, puis la surveillance des menaces. La réponse aux incidents est protégée aussi longtemps que possible, mais sans suffisamment de personnel, la capacité de pointe est rapidement affectée lors d’événements majeurs », a déclaré Amit Jaju, directeur général senior chez Ankura Consulting.
Au lieu de plusieurs alertes détaillées par semaine, vous ne verrez peut-être qu’une seule alerte, a déclaré Dhar. « Les vulnérabilités de faible priorité peuvent être facilement transmises, et lorsque les avis sont retardés, les calendriers de mise à jour des correctifs ne sont pas non plus mis à jour à temps, tant pour les ministères que pour l’industrie. C’est ainsi que de petites failles de sécurité se transforment en incidents à grande échelle. »
La situation pourrait encore s’aggraver suite à la fermeture du gouvernement américain, ce qui aurait un impact temporaire sur le personnel restant de CISA. Selon les analystes, cette instabilité pourrait rendre les États-Unis plus vulnérables aux cyber-adversaires.
« Les périodes de perturbation de la cybersécurité nationale sont étroitement surveillées à l’étranger. Les groupes antagonistes, qu’ils soient criminels ou soutenus par l’État, ont appris à cartographier les cycles administratifs américains presque aussi soigneusement qu’ils cartographient les réseaux », a déclaré Sanchit Vir Gogia, PDG et analyste en chef de Greyhound Research. « Lorsqu’ils sentent une distraction ou une capacité épuisée, la reconnaissance augmente généralement. Ce schéma s’est répété lors des arrêts passés et est probablement récurrent maintenant. »
Réveil pour les entreprises
La situation actuelle constitue un signal d’alarme pour les entreprises. La CISA pourrait ne pas être en mesure de participer activement à l’émission d’alertes et d’avis, compte tenu de son manque de ressources.
Les organisations ne peuvent donc pas se permettre d’attendre une confirmation officielle de chaque nouvelle vulnérabilité. Agir sur la base de renseignements crédibles, dans des limites de gouvernance claires, peut empêcher qu’une faille mineure ne se transforme en violation majeure, a noté Gogia.
Les entreprises ne devraient pas négliger les réseaux industriels, a prévenu Dhar. « Les ISAC du secteur et les groupes de renseignements privés peuvent combler de nombreuses lacunes temporaires si tout le monde partage ce qu’il voit. Dans des moments comme celui-ci, la vigilance collective compte plus que la hiérarchie. »
Comme les organisations ne peuvent pas se permettre d’attendre les alertes fédérales pour le moment, elles devraient maintenir des cycles de correctifs serrés, en particulier pour les failles exploitées connues, a noté Jaju. « Doublez la protection de l’identité avec une MFA et des examens de privilèges résistants au phishing. Ils doivent s’assurer que les playbooks de détection, de journalisation et de réponse sont solides. L’objectif devrait être de rester vigilant et de réduire la dépendance à l’égard d’une source de défense unique. «
