Le manuel de stratégie de la CISA n’existait pas avant la crise

19

C’est arrivé en mai. Un entrepreneur a fait une erreur. Ils laissèrent la porte d’entrée grande ouverte.

Brian Krebs a trouvé le désordre en premier. Ce n’était pas vraiment une erreur mineure, c’était une situation d’otage numérique qui attendait de se produire. Un employé d’un sous-traitant de CISA a téléchargé un référentiel GitHub contenant des tonnes de mots de passe. Clés d’accès aux systèmes du gouvernement américain, accessibles à toute personne disposant d’un navigateur Web.

L’autopsie de la CISA révèle une vérité inconfortable. Ils n’avaient aucun plan. Aucun. Alors que la poussière était encore retombée après cette découverte initiale, le personnel de la CISA ne donnait pas de réponse. Ils étaient en train de l’écrire.

“Le personnel a dû passer du temps à élaborer un manuel de stratégie dès les premiers stades de l’incident.”

Pensez-y. Vous êtes le bouclier contre les attaques du réseau fédéral, mais vous improvisez comment tenir le bouclier lorsqu’il commence à fuir des données. Cela ne devrait pas fonctionner comme ça, mais c’est le cas.

Krebs remarqua l’exposition. Un chercheur de GitGuardian a d’abord tenté d’alerter l’entrepreneur. Silence. Le vide n’a rien rendu. Krebs a donc remonté la chaîne. Il a contacté la CISA. Ce n’est qu’à ce moment-là que l’action s’est produite.

Le référentiel est tombé. Pouvoirs révoqués. Remplacé.

Aucune donnée client n’a été perdue. C’est quelque chose, je suppose. CISA a remercié le journaliste et le chercheur pour le sauvetage. C’était un appel serré. Peut-être trop près.

L’agence a admis que ses canaux d’accès aux chercheurs étaient vagues. “Pas bien défini”, ont-ils appelé. Ils sont en train de le réparer. Des chemins plus rapides pour la notification maintenant. Playbooks pour les besoins anticipés. L’idée est que vous n’écrivez pas les règles pendant l’incendie. Vous l’avez lu avant l’étincelle.

Mais le retard demeure. Un porte-parole ne dira pas combien de temps a été perdu lors de la rédaction du playbook. Le silence sur ce détail en dit long.

Sommes-nous surpris ?

Les infrastructures se durcissent. Les gens oublient de patcher. Parfois, même les défenseurs doivent trouver quoi faire lorsque la panique s’installe.