La cyber-agence propose des fenêtres de remédiation agressives, une gestion continue de l’exposition et des contrôles de gouvernance de l’IA dans ce qui, selon les analystes, pourrait préfigurer les futures normes mondiales.
L’agence indienne de cybersécurité, CERT-In, a exhorté les organisations à corriger, atténuer ou isoler les vulnérabilités exploitées connues affectant les systèmes « joyaux de la couronne » connectés à Internet dans les 12 heures lorsque cela est possible, avertissant que les attaques assistées par l’IA réduisent considérablement le temps entre la divulgation de la vulnérabilité et son exploitation.
Cette recommandation, qui fait partie d’un nouveau projet ambitieux du CERT-In sur la défense contre la cyberexploitation assistée par l’IA, signale une augmentation significative des attentes en matière de gestion des vulnérabilités des entreprises, de réduction de l’exposition et de résilience opérationnelle.
Le cadre de 38 pages recommande également une correction d’un jour pour les vulnérabilités critiques exposées en externe, de trois jours pour les vulnérabilités internes critiques affectant les systèmes de grande valeur et de cinq jours pour les failles de haute gravité en fonction de la priorisation des risques.
CERT-In a déclaré que les acteurs malveillants utilisent de plus en plus l’IA pour accélérer les flux de travail de reconnaissance, de découverte de vulnérabilités, de phishing, de génération de logiciels malveillants et d’exploitation automatisée.
« Les délais d’exploitation diminuent considérablement », prévient l’agence dans l’avis, ajoutant que les attaques devraient devenir « de plus en plus autonomes ».
Une cible perturbatrice sur le plan opérationnel
Les analystes en sécurité ont déclaré que l’attente globale de 12 heures obligerait probablement les entreprises à repenser les cycles de correctifs hebdomadaires ou mensuels traditionnels, mais ont averti que les orientations sont plus nuancées qu’un mandat général de correctifs.
« La fenêtre de 12 heures est la valeur aberrante, réaliste uniquement en tant qu’objectif de confinement sur un ensemble restreint d’actifs exposés, jamais en tant qu’objectif d’achèvement de correctifs sur des domaines tentaculaires accablés par une infrastructure fragmentée, des approbations superposées, des opérations externalisées et une dépendance héritée », a déclaré Sanchit Vir Gogia, analyste en chef chez Greyhound Research.
Gogia a déclaré que l’approche à plusieurs niveaux du plan est plus importante que l’horloge de remédiation elle-même, car elle lie les délais de réponse à l’exposition et à la criticité opérationnelle plutôt que d’appliquer un mandat de correctif uniforme sur tous les systèmes.
« La fenêtre de cinq jours de haute gravité est confortable pour la plupart des entreprises. La fenêtre critique-interne de trois jours est celle où la pression se fait réellement sentir », a-t-il déclaré, en particulier dans des secteurs tels que la finance, les télécommunications, la santé et les environnements technologiques opérationnels où les problèmes de disponibilité compliquent la gestion rapide des changements.
Apeksha Kaushik, analyste principal chez Gartner, a déclaré que le plus grand défi pour de nombreuses organisations ne sera pas nécessairement de déployer des correctifs, mais d’atteindre la maturité opérationnelle nécessaire à une gestion rapide des expositions.
« Les principaux obstacles ne sont pas seulement techniques, mais aussi opérationnels. La plupart des organisations manquent de visibilité en temps réel sur les actifs, de priorisation automatisée des vulnérabilités et de manuels de réponse aux incidents interfonctionnels », a déclaré Kaushik.
« Les difficultés les plus aiguës concerneront la découverte des actifs, la priorisation basée sur les risques et l’orchestration d’une réponse rapide à travers les silos », a-t-elle ajouté.
De la gestion des vulnérabilités à la gestion des expositions
Le plan souligne à plusieurs reprises que les évaluations de sécurité périodiques traditionnelles deviennent insuffisantes contre les attaques basées sur l’IA capables d’exploiter rapidement les failles nouvellement révélées.
Au lieu de cela, CERT-In pousse les organisations vers une gestion continue de l’exposition, une défense tenant compte des menaces, une surveillance continue et des tests contradictoires.
Notamment, le cadre s’appuie fortement sur des mesures d’atténuation temporaires, notamment l’isolement, les restrictions d’accès, les protections WAF/API, une surveillance améliorée et des contrôles compensatoires lorsqu’une application immédiate de correctifs n’est pas possible.
Les analystes ont déclaré que cette approche rend les délais plus réalisables sur le plan opérationnel, mais déplace également le fardeau vers la visibilité des actifs et l’intelligence de l’exposition.
« Les contrôles compensatoires rendent les délais plus réalisables. Ils suppriment également toute excuse », a déclaré Gogia. « Si vous ne pouvez pas isoler, restreindre ou surveiller rapidement, le problème n’a jamais été la cadence des correctifs. Le problème est que vous ne connaissez pas votre propre exposition. »
Kaushik a également déclaré que les directives poussent efficacement les organisations vers des capacités de gestion des expositions plus matures.
« Les organisations doivent être capables d’identifier rapidement les actifs concernés, d’évaluer les risques et de déployer des contrôles intérimaires efficaces », a-t-elle déclaré, ajoutant que les entreprises qui manquent d’inventaires d’actifs matures, de segmentation et de capacités de surveillance auront du mal à mettre en œuvre les directives à grande échelle.
Le plan prévoit également des évaluations continues des vulnérabilités, des tests de sécurité assistés par l’IA, des simulations contradictoires, des tests d’intrusion et des exercices d’équipe rouge.
Un aperçu des futures normes mondiales ?
Les analystes ont déclaré que les attentes de remédiation du CERT-In sont parmi les plus agressives actuellement émises par une agence nationale de cybersécurité et pourraient influencer les pratiques internationales plus larges de gestion des vulnérabilités, à mesure que l’IA comprime les délais des attaquants à l’échelle mondiale.
« CERT-In a fait quelque chose que l’Occident a largement évité : il a fixé des horloges par catégorie d’actifs plutôt que des délais par vulnérabilité individuelle », a déclaré Gogia.
Il a comparé ce cadre au programme KEV (Known Exploited Vulnerabilities) de CISA, qui utilise généralement des délais de correction spécifiques aux vulnérabilités plutôt que des horloges de correction persistantes à l’échelle de l’entreprise.
« Le modèle à horloge fixe semble agressif aujourd’hui parce que le reste du monde n’a pas rattrapé son retard, et non pas parce qu’il interprète mal la menace », a déclaré Gogia.
Kaushik a déclaré que ce cadre pourrait créer des défis opérationnels pour les multinationales dont les accords mondiaux de niveau de service sont moins stricts que les attentes de l’Inde. « Pour les fournisseurs, cela peut créer un écart de conformité dans la mesure où les SLA internes sont moins stricts que les exigences de l’Inde, ce qui nécessite une réévaluation des processus mondiaux de correction et d’atténuation », a-t-elle déclaré.
