CISA impose un patching accéléré aux agences fédérales sous la nouvelle directive BOD 26-04
La **Cybersecurity and Infrastructure Security Agency (CISA)** des États-Unis a dévoilé une nouvelle directive critique, la **Binding Operational Directive (BOD) 26-04**, qui resserre considérablement les délais de remédiation des vulnérabilités pour les agences du Federal Civilian Executive Branch (FCEB). Cette mesure vise à réduire drastiquement l'exposition du secteur public aux cyberattaques en imposant un patching rapide, certaines failles à haut risque nécessitant une remédiation en seulement trois jours.
La **BOD 26-04 de la CISA** remplace les directives précédentes, **BOD 19-02** et **BOD 22-01**, signalant une urgence accrue dans la gestion des vulnérabilités de cybersécurité au sein des systèmes fédéraux. La directive introduit une approche graduée de la remédiation, basée sur quatre considérations clés :
* Si l'actif est exposé publiquement en ligne.
* La présence de la vulnérabilité dans le catalogue des **Known Exploited Vulnerabilities (KEV) de la CISA**.
* Si l'exploitation peut être automatisée pour des attaques à grande échelle.
* Si l'exploitation accorde aux attaquants un contrôle partiel ou total d'un système.
En fonction de ces facteurs, les agences seront soumises à des délais stricts. Les vulnérabilités les plus critiques, celles qui sont publiquement exposées, présentes dans le catalogue **KEV**, et permettant un contrôle total et automatisé du système, devront être corrigées dans les trois jours. Les situations moins urgentes, où l'exploitation automatisée n'est pas possible ou n'accorde qu'un contrôle partiel, bénéficieront d'un délai de deux semaines.
*Délais de remédiation des vulnérabilités
Source : CISA*
### Portée et mise en œuvre
La **BOD 26-04** cible spécifiquement les agences du U.S. Federal Civilian Executive Branch (FCEB) et leurs systèmes d'information. Cela englobe divers départements gouvernementaux, mais exclut certains systèmes militaires, les entreprises privées, les systèmes de la communauté du renseignement et les contractants.
Malgré sa portée directe, la directive est censée établir un précédent et influencer l'industrie de la cybersécurité dans son ensemble, en fournissant un signal clair pour les priorités de patching dans tous les secteurs. Le mandat s'étend à tous les systèmes fédéraux sur site, aux systèmes hébergés par des tiers, ainsi qu'aux environnements cloud FedRAMP et non FedRAMP.
Les agences sont désormais tenues de mettre à jour leurs politiques de gestion des vulnérabilités pour se conformer à la **BOD 26-04**, d'améliorer leurs inventaires d'actifs et d'automatiser le reporting du statut **KEV**. Dans les 60 jours, les processus de gestion des vulnérabilités devront être mis à jour pour exploiter les données **CVE** et **KEV** dans les décisions de remédiation. Sous 180 jours, toutes les agences devront se conformer pleinement aux nouveaux délais de remédiation et mettre en œuvre une surveillance continue ainsi qu'un reporting détaillé des métadonnées des actifs.