États-Unis : les autorités préviendront quand une cyberattaque a commencé

L’agence américaine de la cybersécurité et de la sécurité des infrastructures (Cisa), continue de relever le gant contre les ransomwares. Elle vient d’annoncer prévoir systématiser l’envoi d’alerte aux organisations pour lesquelles elle aura connaissance d’un début de cyberattaque. 

À cette fin, la Cisa invite toute personne ayant connaissance d’un début de cyberattaque à l’informer par e-mail à l’adresse [email protected]. De là, « notre personnel de terrain dans tout le pays se met au travail pour notifier l’organisation victime et lui fournir des recommandations d’atténuation précises », explique l’agence. 

Ce qu’entend la Cisa par information relative à un début de cyberattaque est aussi vaste que le public invité à l’aider dans ce travail : « communauté de la recherche en cybersécurité, fournisseurs d’infrastructure, entreprises de renseignement sur les menaces cyber ». Il faut donc comprendre, entre les lignes : informations sur des compromissions de comptes utilisateurs (résultant par exemple d’infection par maliciel dérobeur), sur des systèmes vulnérables non patchés, sur ventes d’accès initiaux publiques comme privées, sur l’identification de systèmes compromis par des charges utiles communiquant avec des serveurs de commande et de contrôle (C2), etc. 

La Cisa révèle avoir déjà commencé à travailler en ce sens, et alerté plus de 60 entités depuis le début de l’année, dans les secteurs de l’énergie, la santé, l’eau, et l’éducation, notamment : « nous avons confirmé que beaucoup d’entre elles ont identifié et remédié à l’intrusion avant que ne survienne le chiffrement ou l’exfiltration [de données] ».