Le 31 juillet 2025, la CISA (Cybersecurity and Infrastructure Security Agency) et les gardes-côtes américains (US Coast Guards (USCG)) ont publié un avis conjoint (que vous pouvez lire ici : https://www.cisa.gov/sites/default/files/2025-07/joint-advisory-cisa-identifies-areas-for-cyber-hygiene-improvement-after-conducting-proactive-threat-hunt.pdf), suite à une opération de recherche de vulnérabilité (ou de compromission effective, plutôt) menée sur le réseau d’une infrastructure critique américaine. Ce type d’opération s’inscrit dans le cadre des objectifs de performance de cybersécurité (Cybersecurity Performance Goals (CPGs)) co-pilotés par le NIST et la CISA, mais aussi sur les travaux de longue date (et aussi plus récents) des USCGs sur la cybersécurité maritime.Au bilan : aucune compromission ni activité malveillante détectée… mais éventail somme toute assez « classique » de vulnérabilités
De l’intérêt de ce type d’opération
Le premier objectif de ce type d’opération dite de hunting est de rechercher la présence éventuelle d’acteur(s) malveillants sur le réseau en question. Sur ce point, l’opération n’a pas démontré de compromission (si cela avait été le cas, est-ce que cela aurait été publié ?). Cependant, et c’est là où on peut – ou pas – être d’accord avec le bilan de cette opération, c’est qu’il s’est aussi un peu transformé en audit, avec la découverte de vulnérabilités significatives. Ceci étant dit, l’avis ne précise pas si elles avaient un risque réel d’exploitation :
- Mots de passe stockés en clair dans des scripts et outils internes ;
- Comptes administrateurs locaux partagés, utilisés sur plusieurs machines sans séparation (j’utilise un mot de passe différent par machine) ni rotation (je le change régulièrement) ;
- Absence d’authentification multi-facteurs sur des accès distants critiques (type VPN ou RDP) ;
- Manque de journalisation et de centralisation des journaux d’évènements, rendant tout incident difficile à retracer ;
- Pas de séparation efficace entre les réseaux IT et OT, avec des passerelles peu durcies ;
- Configuration par défaut ou non maintenue sur des équipements d’infrastructure.
Des recommandations CISA/USCG – Beaucoup de fondamentaux
L’avis technique ne réinvente pas la roue, mais réaffirme comme souvent plusieurs principes de base. Nous l’avons déjà évoqué, mais ce type de bonnes pratiques (on se rappelle aussi des 42 mesures de l’ANSSI : https://cyber.gouv.fr/publications/guide-dhygiene-informatique) permet bien souvent de réduire significativement l’occurrence ou l’impact d’un risque. Et, qui plus est, elles permettent de lutter aussi bien contre des sources de risques étatiques que cybercriminelles.
1. Mots de passe et secrets
– Interdire tout stockage de mot de passe en clair ;
– Sécuriser et automatiser la gestion des mots de passe par l’utilisation de protocoles adaptés, de coffres-forts ou de solutions PAM ;
– Chiffrer tous les secrets tant sur les postes qu’en transit sur le réseau ;
– Intégrer l’audit des identifiants dans les revues de code et les pipelines type CI/CD.
2. Accès privilégiés
– Bannir les comptes partagés ;
– Utiliser l’authentification forte (MFA), y compris pour les accès OT ;
– Segmenter les environnements et interdire les rebonds IT vers OT.
3. Journalisation
– Activer la journalisation complète sur tous les systèmes (authentification, connexions réseau, commandes critiques) ;
– Centraliser les journaux d’évènements hors bande ;
– Maintenir une rétention suffisante pour les analyses post-incident.
Au final…
La lecture du document de 19 pages reste intéressante, notamment pour les RSSI d’infrastructures critiques.
Toutefois, il reste assez généraliste, avec assez peu de contexte sectoriel (probablement pour que l’identification de l’infrastructure en question reste difficile), mais avec un niveau de granularité technique assez faible sur les environnements de type OT. En effet, la mise en place de bonnes pratiques « classiques » ou avancées (au pif, l’authentification forte, la sécurisation des automates, ZT…) sur des systèmes OT n’est pas toujours d’une simplicité enfantine, et encore plus sur des infrastructures maritimes. Qui plus est, toute évolution de ces systèmes doit être réalisée dans une démarche de maîtrise des risques fonctionnelle : ajouter de la MFA du du ZT, c’est bien, mais si c’est mal fait on peut aussi potentiellement ajouter de nouveaux risques : il est important de bien les prendre en compte.
