En bref
- La CISA a dû improviser sa réponse après une fuite d’identifiants sensibles.
- Des secrets exposés sur GitHub ont compromis des accès gouvernementaux.
- Un manque de procédures et des tensions internes fragilisent la CISA.
Une agence censée protéger les réseaux fédéraux qui doit écrire son propre playbook en pleine crise, oui, ça fait désordre. Et c’est exactement ce que reconnaît la CISA à propos d’un incident survenu en mai 2026, après l’exposition publique de clés et d’identifiants sensibles donnant accès à des systèmes du gouvernement américain.
Le paradoxe qui pique
Dans un rapport post-mortem, la Cybersecurity and Infrastructure Security Agency (CISA) explique que ses équipes ont dû passer du temps à construire un plan de réponse pendant les premières étapes de l’incident. Pour une structure rattachée à la Homeland Security, chargée de défendre les réseaux fédéraux et d’aider à sécuriser les infrastructures critiques, l’aveu est quand même rude.
L’agence ajoute qu’il faut préparer des playbooks pour tous les besoins anticipés, histoire d’être prêt le jour où ça tape, au lieu d’improviser en direct. En gros, la leçon est limpide, sauf qu’elle arrive après coup. La CISA ne précise pas combien de temps cette absence de procédure a ralenti sa réaction.
Tout est parti d’un dépôt GitHub ouvert
Le point de départ, lui, est très concret. En mai dernier, le journaliste indépendant en cybersécurité Brian Krebs a révélé qu’un chercheur de la société GitGuardian était tombé sur un gros lot de mots de passe exposés dans un dépôt GitHub accessible publiquement.
Ces secrets avaient été mis en ligne par un employé d’un prestataire de la CISA. Selon ce qu’a rapporté Brian Krebs, le chercheur a d’abord tenté d’alerter ce sous-traitant, sans obtenir de réponse. C’est seulement après la prise de contact de Brian Krebs avec la CISA que l’agence a retiré le dépôt et lancé la révocation puis le remplacement de tous les identifiants compromis. Clairement, la chaîne d’alerte n’était pas au niveau.
Ce que l’agence dit avoir corrigé
La CISA assure qu’aucune donnée client ni aucune donnée de mission n’a été exposée dans l’incident. L’agence remercie aussi le chercheur et le journaliste pour leur aide, ce qui dit au passage une chose simple, sans eux, le problème aurait pu traîner plus longtemps.
Autre aveu, ses canaux permettant aux chercheurs en sécurité de signaler de potentiels incidents n’étaient pas bien définis. Depuis, la CISA dit avoir modifié ces mécanismes pour rendre le contact plus simple et plus rapide. Pas de quoi applaudir, mais c’était le minimum.
Un contexte interne loin d’être anodin
Derrière cet épisode, il y a aussi un climat interne compliqué. Depuis le début du second mandat de Donald Trump en janvier 2025, la CISA n’a plus de directeur permanent.
Et l’agence a aussi subi des coupes, des congés forcés et des licenciements touchant environ un tiers de ses effectifs depuis l’arrivée de Donald Trump. Difficile de ne pas voir que ce genre de fragilité organisationnelle finit par se lire dans les incidents. En cybersécurité, l’impro n’a jamais été un bon patch.