CISA a publié la première directive opérationnelle contraignante de cette année (BOD 25-01), ordonnant aux agences civiles fédérales de sécuriser leurs environnements cloud en mettant en œuvre une liste de bases de référence de configuration sécurisées (SCB) requises.
Bien que CISA n’ait finalisé que les SCB pour Microsoft 365, elle prévoit de publier des références supplémentaires pour d’autres plates-formes cloud, à commencer par Google Workspace (qui devrait entrer dans le champ d’application au deuxième trimestre de l’exercice 2025).
Cette directive à l’échelle du gouvernement vise à réduire la surface d’attaque des réseaux fédéraux en exigeant des pratiques sécurisées obligatoires pour les services en nuage afin de protéger les systèmes et les actifs de la Branche exécutive civile fédérale (FCEB).
La DBO 25-01 exige que les agences FCEB déploient des outils d’évaluation de configuration automatisés développés par CISA (ScubaGear pour les audits Microsoft 365), s’intègrent à l’infrastructure de surveillance continue de l’agence de cybersécurité et corrigent tout écart par rapport aux lignes de base de configuration sécurisées dans des délais prédéfinis.
« Les récents incidents de cybersécurité mettent en évidence les risques importants posés par des erreurs de configuration et des contrôles de sécurité faibles, que les attaquants peuvent utiliser pour obtenir un accès non autorisé, exfiltrer des données ou perturber les services », a déclaré CISA aujourd’hui.
« Cette directive oblige les agences civiles fédérales à identifier des locataires cloud spécifiques, à mettre en œuvre des outils d’évaluation et à aligner les environnements cloud sur les bases de configuration sécurisées SCUBA (Secure Cloud Business Applications) de CISA. »
Pour tous les locataires cloud visés, les agences FCEB doivent prendre les mesures suivantes:
- Identifiez tous les locataires cloud relevant du champ d’application de cette directive au plus tard le vendredi 21 février 2025.
- Déployez tous les outils d’évaluation SCuBA pour les locataires cloud concernés au plus tard le vendredi 25 avril 2025 et commencez à générer des rapports continus sur les exigences de cette directive.
- Mettre en œuvre toutes les politiques de plongée obligatoires en vigueur à compter de la publication de ces Directives au plus tard le vendredi 20 juin 2025.
- Mettre en œuvre toutes les futures mises à jour des politiques obligatoires de SCuBA.
- Implémentez toutes les lignes de base de configuration SCuBA Secure obligatoires et commencez la surveillance continue des nouveaux locataires cloud avant d’accorder une autorisation d’exploitation (ATO).
La liste actuelle des stratégies obligatoires est disponible sur le site Web Configurations requises. Pour le moment, il n’inclut que des lignes de base de configuration sécurisées pour les produits Microsoft 365, notamment Azure Active Directory / Entra ID, Microsoft Defender, Exchange Online, Power Platform, SharePoint Online et OneDrive, et Microsoft Teams.
Bien que la DBO 25-01 ne s’applique qu’aux agences civiles fédérales, la CISA conseille vivement à toutes les organisations d’adopter cette directive et de donner la priorité à la sécurisation de leurs environnements cloud afin de réduire considérablement leur surface d’attaque et les risques de violation.
L’année dernière, VISA a publié une autre directive opérationnelle contraignante (LE 23-02) ordonnant aux agences fédérales de sécuriser les équipements réseau exposés à Internet ou mal configurés dans les 14 jours suivant leur découverte.
Deux ans auparavant, l’offre 22-01 de l’agence de cybersécurité mandatait les agences de la FCEB de réduire le risque accru derrière les vulnérabilités exploitées connues en les atténuant dans un délai agressif.