Washington impose un calendrier serré : inventorier, retirer, puis surveiller en continu. L’objectif est clair, couper l’accès aux périphériques Edge non maintenus, devenus une autoroute pour les intrusions.
La CISA a publié jeudi une directive opérationnelle imposant aux agences civiles fédérales américaines de retirer, sous 12 mois, tout matériel ou logiciel en fin de vie, non pris en charge par le fabricant. L’agence juge ces dispositifs, pare-feu, routeurs, équilibreurs de charge, commutateurs, points d’accès Wi-Fi, appliances de sécurité et IoT, particulièrement vulnérables faute de mises à jour et de correctifs. Les agences ont trois mois pour remettre un inventaire des équipements concernés figurant sur une liste fournie, puis un an pour les mettre hors service. Sous deux ans, elles devront instaurer un processus de détection continue des périphériques arrivant en fin de vie.
Un ultimatum de 12 mois, et le talon d’Achille des réseaux fédéraux
La CISA veut casser une habitude coûteuse : garder en production des appareils que le constructeur ne maintient plus. Jeudi, l’agence américaine de cyberdéfense a publié une directive opérationnelle ordonnant aux agences civiles fédérales de « retirer tout dispositif matériel et logiciel qui n’est plus pris en charge par son fabricant d’origine ». Un calendrier est fixé, avec des étapes obligatoires, et une philosophie simple : ce qui n’est plus patché n’a plus sa place sur un réseau d’entreprise.
Madhu Gottumukkala, directeur par intérim de la CISA, pose le diagnostic sans détour. « Les appareils non pris en charge représentent un risque sérieux pour les systèmes fédéraux et ne devraient jamais rester sur les réseaux d’entreprise », dit-il. Le message vise un inventaire concret : équilibreurs de charge, pare-feu, routeurs, commutateurs, points d’accès sans fil, appliances de sécurité réseau et dispositifs IoT. La CISA explique que ces équipements deviennent des cibles privilégiées dès qu’ils cessent de recevoir des mises à jour de firmware et des correctifs de sécurité. À partir de là, chaque faille, nouvelle ou déjà connue, se transforme en vulnérabilité permanente.
Nick Andersen, directeur adjoint exécutif de la CISA pour la cybersécurité, a ajouté lors d’une conférence de presse que les auteurs de ces attaques visant les périphériques réseau « comprennent des personnes liées à des États ». Il refuse toutefois de citer des pays ou d’identifier les incidents précis ayant conduit à la directive. Surtout, il insiste sur le cadre : « Il ne s’agit pas d’une réponse à un incident ou à une compromission particulière, mais d’une reconnaissance du fait que les appareils non pris en charge représentent un risque très grave pour les systèmes fédéraux. » Autrement dit, la CISA présente cette décision comme un changement structurel, pas comme une réaction à chaud.
Les chiffres de la menace ne sont pas donnés, mais le vocabulaire employé est parlant. La CISA évoque des cybercampagnes « persistantes », « souvent rendues possibles » par des dispositifs non pris en charge, placés à la périphérie du réseau. L’agence ajoute que les campagnes d’exploitation dont elle a connaissance sont « substantielles et constantes », au point de constituer une menace significative pour les actifs fédéraux. Le terme “Edge” résume l’enjeu : ces boîtiers sont au contact d’Internet, voient passer les flux, et s’imbriquent souvent dans l’identité, donc dans l’accès.
Inventorier, retirer, puis détecter, une discipline imposée
La directive ne se contente pas d’un principe. Elle impose une cadence. Les agences civiles fédérales ont trois mois pour fournir à la CISA un inventaire de tous les appareils présents sur leurs réseaux qui figurent sur une liste fournie d’équipements en fin de vie. Ensuite, au bout d’un an, tous les dispositifs identifiés devront être mis hors service. Enfin, dans un délai de deux ans, chaque agence devra mettre en place un processus de détection continue afin de repérer, au fil du temps, les périphériques susceptibles d’arriver en fin de vie. La logique est celle d’un contrôle permanent : l’obsolescence n’est pas un projet ponctuel, c’est un flux.
En parallèle, les agences reçoivent l’ordre de mettre à jour tous leurs appareils et de remplacer ceux en fin de vie par des équipements capables de recevoir des mises à jour de sécurité. Cette formulation vise une vulnérabilité organisationnelle autant que technique : acheter un matériel “qui marche” ne suffit plus, il faut acheter une capacité de patch sur la durée, donc une relation de support.
Pour structurer l’effort, la CISA indique avoir créé une liste des périphériques Edge en fin de vie, l’EOS Edge Device List, couvrant les appareils déjà hors service ou qui le seront dans les prochains mois. Mais l’agence précise qu’elle ne publiera pas cette liste. Ce choix illustre une tension classique : aider à la conformité sans fournir aux attaquants un catalogue prêt à l’emploi des équipements à traquer.
Andersen résume la doctrine en une phrase : « Une bonne hygiène informatique commence par l’élimination des périphériques non pris en charge. » La CISA promet aussi un accompagnement des agences qui en ont besoin et un suivi des progrès de conformité. En revanche, elle ne précise pas quels acteurs ni quels incidents ont pesé dans la décision. La directive mentionne seulement des « rapports publics récents faisant état de campagnes ciblant certains fournisseurs », sans que Andersen accepte de dire lesquels.
Le texte rappelle néanmoins un point de contexte : les périphériques Edge sont depuis longtemps des portes d’entrée favorites, et des acteurs étatiques chinois et russes ont mené de multiples campagnes visant des appareils de sociétés comme Barracuda, Ivanti, Fortinet et d’autres. Même sans lier formellement la directive à un cas précis, la mécanique est connue : une faille sur un boîtier exposé, puis l’accès initial, ensuite la persistance, et enfin l’extension latérale au cœur du réseau.
Ce que change vraiment la directive, c’est l’aveu implicite que la bataille ne se gagne pas uniquement avec de la détection. Elle commence avec l’inventaire, et se consolide en fermant les cibles faciles, celles qui ne recevront plus jamais de correctifs, mais qui continuent, trop souvent, à protéger des systèmes critiques.
