Selon BleepingComputer, la CISA a émis une nouvelle directive opérationnelle contraignante visant les agences fédérales américaines.

La CISA (U.S. Cybersecurity and Infrastructure Security Agency) americaine a publié une nouvelle directive opérationnelle contraignante — Binding Operational Directive 26-02 (BOD 26-02) — imposant aux agences fédérales américaines d’identifier et de retirer les équipements de bordure réseau (network edge devices) qui ne reçoivent plus de mises à jour de sécurité.

CISA estime que les équipements End-of-Support (EOS) (routeurs, pare-feux, commutateurs, proxies, etc.) exposent les systèmes fédéraux à des risques « disproportionnés et inacceptables », en raison de l’exploitation active et continue de vulnérabilités non corrigées par des acteurs avancés.

🎯 Ce qu’impose BOD 26-02

Actions immédiates

  • Décommissionner sans délai les équipements encore supportés par le fabricant mais exécutant des logiciels EOS, lorsque des mises à jour existent.

Dans les 3 mois

  • Réaliser un inventaire complet de tous les équipements figurant sur la liste CISA des dispositifs EOS.

Dans les 12 mois

  • Retirer tous les équipements ayant atteint la fin de support avant la publication de la directive.

Dans les 18 mois

  • Remplacer tous les équipements EOS identifiés par du matériel supporté et recevant des mises à jour de sécurité.

Dans les 24 mois

  • Mettre en place des processus continus de découverte et d’inventaire pour :
    • identifier les équipements de bordure réseau,
    • suivre ceux approchant de la fin de support.

⚠️ Pourquoi cette directive ?

CISA souligne que :

  • Les équipements de bordure EOS sont des cibles privilégiées.
  • Des campagnes d’exploitation à grande échelle sont déjà en cours.
  • L’absence de correctifs rend ces dispositifs particulièrement vulnérables.

📍 Champ d’application

  • Obligatoire pour les agences du Federal Civilian Executive Branch (FCEB).
  • Recommandé (non contraignant) pour toutes les autres organisations et opérateurs d’infrastructures critiques.

🔁 Lien avec des initiatives précédentes

  • BOD 23-02 (juin 2023) : obligation de sécuriser les interfaces de gestion exposées sur Internet (routeurs, pare-feux, load balancers, etc.).
  • RVWP (Ransomware Vulnerability Warning Pilot) : programme par lequel CISA avertit proactivement des organisations critiques si leurs équipements réseau sont vulnérables aux ransomwares.

✅ Implications pour les défenseurs (au-delà du gouvernement US)

  • Prioriser le remplacement des équipements EOS en bordure réseau.
  • Mettre en place un inventaire dynamique des actifs réseau.
  • Surveiller systématiquement les dates de fin de support.
  • Réduire l’exposition des interfaces d’administration.

Type d’article: annonce réglementaire décrivant une directive officielle et ses obligations principales.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/cisa-orders-federal-agencies-to-replace-end-of-life-edge-devices/