L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a récemment publié une nouvelle série de directives obligatoires en matière de cybersécurité, exigeant que toutes les agences civiles fédérales enquêtent de manière approfondie et suppriment les équipements et logiciels de réseau de pointe qui ont cessé de prendre en charge les fournisseurs, y compris les routeurs, pare-feu, passerelles VPN et commutateurs obsolètes. Les autorités de régulation ont souligné que ces dispositifs de pointe « en fin de vie » sont devenus l'une des principales portes d'entrée permettant aux pirates informatiques au niveau de l'État de pénétrer dans les réseaux gouvernementaux et doivent être corrigés dans un délai limité.

Le document, intitulé « Directive opérationnelle contraignante 26-02 », a été publié conjointement par la CISA et le Bureau de la gestion et du budget de la Maison Blanche. Il vise à remédier à une faiblesse importante de longue date du système informatique fédéral : une infrastructure de périmètre de réseau obsolète et non corrigée. CISA note que dans de nombreuses attaques, les adversaires ne s'appuient pas sur des informations d'identification volées ou des e-mails de phishing, mais recherchent d'abord des routeurs et des pare-feu plus anciens qui n'ont pas été mis à jour depuis des années et ne sont plus entretenus pour prendre pied dans les réseaux gouvernementaux.

En vertu de la nouvelle directive, les agences fédérales sont tenues de mettre immédiatement à jour les appareils qui sont encore dans le cycle de support du fabricant et doivent remplacer tous les appareils dont le support a pris fin dans les 12 mois. Dans les 3 mois suivant la date d'entrée en vigueur de la directive, les agences doivent réaliser un inventaire exhaustif de tous les appareils de pointe et indiquer lesquels ont dépassé leur période de support fabricant. Au cours de l'année suivante, les agences compétentes doivent mettre progressivement au rebut ces équipements « en fin de service » et élaborer simultanément des plans de remplacement pour éviter que le nouveau lot d'équipements n'entre à nouveau hors de garantie à court terme.

La directive fixe en outre un délai de 18 mois au terme duquel tous les appareils non pris en charge doivent être complètement supprimés des réseaux du gouvernement fédéral. Afin d'éviter une « résurgence », le document exige également que les agences établissent un mécanisme de suivi continu pour garantir que les équipements obsolètes après le nettoyage ne seront pas discrètement reconnectés à l'environnement réseau.

Madhu Gottumukkala, directeur par intérim de la CISA, a déclaré que cette décision était à la fois « attendue » et « inévitable ». Depuis des années, CISA surveille la manière dont les attaquants exploitent les appareils réseau qui ne reçoivent plus de mises à jour de sécurité pour pirater les systèmes gouvernementaux qui disposent déjà de protections modernes pour les points finaux. Nick Andersen, directeur adjoint exécutif pour la cybersécurité à la CISA, a également souligné que les organisations de pirates informatiques parrainées par l'État et les groupes d'attaque à but lucratif ciblent de plus en plus ces équipements anciens et exploitent les vulnérabilités des micrologiciels obsolètes pour s'introduire. Une fois réussis, ils peuvent se déplacer latéralement à travers le réseau, voler des données ou interférer avec des opérations commerciales critiques.

Le répertoire des vulnérabilités exploitées connues géré par CISA a documenté plusieurs attaques liées à des équipements réseau abandonnés, y compris une vulnérabilité liée aux routeurs D-Link abandonnés, divulguée en décembre. L’agence a également cité une attaque d’un État-nation en 2025 attribuée à la Chine, qui a largement utilisé des équipements réseau plus anciens pour mener du cyberespionnage.

Bien que la directive soit obligatoire pour les agences civiles fédérales, elle n'impose pas de sanctions financières ou juridiques directes. La CISA et le Bureau de la gestion et du budget exerceront des pressions en suivant les progrès et en rendant publics les résultats, mais dans la pratique, les agences exécuteront souvent des « directives opérationnelles groupées » en tant que tâches de sécurité hautement prioritaires.

Pour soutenir les efforts de mise en œuvre, CISA a établi une « liste interne des appareils Edge en fin de service » de modèles d'appareils couramment trouvés dans les environnements fédéraux qui approchent ou dépassent la durée de vie de leur fabricant. Pour des raisons de sécurité, cette liste ne sera pas rendue publique afin de ne pas fournir des indices de ciblage à des attaquants potentiels. Pour les agences extérieures au système administratif fédéral, y compris les gouvernements des États et locaux et les entreprises privées, la CISA recommande qu'elles communiquent de manière proactive avec les fabricants d'équipements pour comprendre les cycles de support et l'état de risque des équipements qu'ils utilisent.