L’équivalent américain de l’ANSSI a lancé son Ransomware Vulnerability Warning Pilot (RVWP). Cette initiative vise à identifier les SI d’organisations critiques qui sont vulnérables et à les notifier, avant que les failles repérées soient exploitées.
La Cybersecurity and Infrastructure Security Agency a annoncé la création du Ransomware Vulnerability Warning Pilot (RVWP), un programme dans le cadre duquel l’agence identifie des ransomwares et des systèmes d’informations d’opérateurs d’infrastructures critiques qui y sont vulnérables.
Pour ce faire, la CISA emploie divers outils open source et internes, ainsi que des solutions du commerces, et s’appuient sur des informations provenant du gouvernement ou de partenaires industriels. Le deuxième volet du Ransomware Vulnerability Warning Pilot consiste à informer les propriétaires des systèmes d'information affectés, de façon qu’ils puissent corriger ou atténuer ces vulnérabilités avant qu’elles ne soient exploitées. Les notifications transmises par la CISA contiennent des informations clés telles que le fabricant et le modèle de l'appareil, l'adresse IP utilisée, la manière dont l’agence a détecté la vulnérabilité et des conseils sur la manière dont la vulnérabilité peut être atténuée.
ProxyNotShell
Ainsi, l’organisme fédéral a notifié 93 organisations identifiées comme exécutant des instances de Microsoft Exchange Service avec une vulnérabilité appelée « ProxyNotShell », qui a été largement exploitée par les acteurs du ransomware. « Le RVWP permettra à CISA de fournir des informations opportunes et exploitables qui réduiront directement la prévalence des incidents de rançongiciels dommageables affectant les organisations américaines. Nous encourageons chaque organisation à atténuer de toute urgence les vulnérabilités identifiées par ce programme et à adopter des mesures de sécurité solides conformes aux directives du gouvernement américain » indique Eric Goldstein, directeur adjoint exécutif de l’agence.
A noter que la réception d'une notification n'est pas indicative d'un compromis, mais indique que l’organisation présente un risque d’être attaquée et que son système d’information requiert des actions correctrices immédiates… à condition que l’entité concernée veuille bien agir. En effet, les notifications de la CISA n’ont pas de valeur contraignante et n’oblige pas le destinataire à se conformer aux recommandations de l’agence.