
La Cybersecurity and Infrastructure Security Agency (CISA) a reconnu que ses employés ont été contraints d’élaborer le manuel de réponse aux incidents de l’agence pendant les premiers stades d’une brèche de sécurité active, selon un rapport post-mortem publié vendredi.
La révélation fait suite au téléchargement par un employé d’un sous-traitant de la CISA d’informations d’identification sensibles, y compris des mots de passe AWS GovCloud, vers un dépôt GitHub accessible publiquement. La fuite a été découverte par un chercheur en sécurité de l’entreprise de cybersécurité GitGuardian, qui a alerté directement le sous-traitant sans recevoir de réponse. Le chercheur a ensuite contacté le journaliste indépendant spécialisé en sécurité Brian Krebs, qui a fait remonter le problème à la CISA.
La CISA a mis hors ligne le dépôt compromis, révoqué et remplacé toutes les informations d’identification exposées, et confirmé qu’aucune donnée client ou de mission n’avait été compromise. Mais le rapport post-incident de l’agence a reconnu une lacune organisationnelle critique : « Les employés de la CISA ont dû passer du temps à élaborer [un manuel] pendant les premiers stades de l’incident. »
L’agence a indiqué avoir depuis préparé des manuels pour « tous les besoins anticipés » afin d’éviter de devoir improviser en temps réel lors de futurs incidents. Elle n’a pas divulgué l’ampleur du retard causé par l’absence de manuel.
Lacunes en matière de signalement
La CISA a également reconnu que ses canaux permettant aux chercheurs en sécurité de signaler des incidents potentiels à l’agence « n’étaient pas bien définis ». La découverte et la remontée d’information dépendaient entièrement d’une entreprise de sécurité tierce et d’un journaliste indépendant plutôt que d’un mécanisme de signalement direct pour les chercheurs. La CISA a indiqué avoir apporté des modifications pour fluidifier le signalement par les chercheurs.
Contexte organisationnel
L’incident et l’aveu qui a suivi surviennent à un moment difficile pour l’agence. La CISA n’a pas de directeur permanent depuis le début du deuxième mandat du président Trump en janvier 2025. L’agence a subi des réductions budgétaires, des congés forcés et des licenciements affectant environ un tiers de ses effectifs, selon un rapport de Nextgov de février 2026.
L’aveu post-mortem selon lequel l’une des principales agences de défense cybernétique du gouvernement américain ne disposait pas d’un manuel de base de réponse aux incidents, et a dû en rédiger un alors que l’incident était en cours, a suscité des critiques de la part de chercheurs en sécurité qui estiment que cela reflète des problèmes structurels plus profonds au sein de l’agence.
Sources : US cybersecurity agency CISA had to build its incident playbook during the incident, agency reveals (TechCrunch, 10 juillet 2026)
Traduit par Lydie

