L’agence fédérale de cybersécurité américaine CISA n’avait pas de plan de réponse préétabli lorsqu’un sous-traitant a exposé des identifiants d’accès à des systèmes gouvernementaux sur GitHub en mai 2026. L’agence l’a reconnu dans un rapport postmortem publié le 10 juillet.
Des credentials exposés sur GitHub
Le journaliste indépendant Brian Krebs a révélé en mai qu’un chercheur en sécurité de l’entreprise GitGuardian l’avait alerté sur la présence de mots de passe et de clés d’accès stockés dans un dépôt GitHub publiquement accessible. Un employé d’un sous-traitant de la CISA avait téléchargé ces informations sensibles sur la plateforme sans restriction d’accès.
Selon le récit de Krebs, le chercheur a d’abord tenté de contacter le sous-traitant sans obtenir de réponse. Ce n’est qu’après avoir saisi la CISA que l’agence a retiré le dépôt en ligne et remplacé l’ensemble des identifiants exposés pour empêcher toute utilisation malveillante. L’affaire a été rapportée par Krebs en mai 2026 sur son blog.
Pas de playbook préétabli
Dans son rapport postmortem publié vendredi 10 juillet, la CISA indique que ses équipes «ont dû passer du temps à construire un plan de réponse» pendant les premières étapes de l’incident. L’agence reconnaît qu’il est nécessaire de préparer des playbooks pour «tous les besoins anticipés» afin d’éviter d’avoir à improviser en temps réel face à une compromission.
L’agence n’a pas précisé combien de temps le manque de préparation a retardé la réaction ni quelles étaient les procédures alors en vigueur. Un porte-parole de la CISA n’a pas répondu aux sollicitations de TechCrunch.
Le rapport souligne également que les canaux de communication entre la CISA et les chercheurs en sécurité extérieurs «n’étaient pas bien définis». L’agence indique avoir modifié ses procédures pour permettre aux chercheurs de la contacter plus rapidement et plus facilement à l’avenir.
Pas de données clients exposées
La CISA affirme qu’aucune donnée client ou liée à des missions n’a été compromise dans l’incident. L’agence a remercié le chercheur et le journaliste pour leur signalement. Selon le rapport, les credentials exposés concernaient des accès à des systèmes internes et non à des données opérationnelles ou classifiées.
L’incident a néanmoins soulevé des questions sur la supervision des sous-traitants de la CISA. L’agence n’a pas précisé si des sanctions avaient été prises à l’encontre de l’entreprise concernée.
Une agence sans directeur permanent
La CISA fonctionne sans directeur permanent depuis le début du second mandat du président Donald Trump en janvier 2025. L’agence a également subi des réductions d’effectifs et des congés forcés affectant environ un tiers de ses employés depuis l’arrivée de l’administration Trump, selon des informations rapportées par la presse américaine.
Cet incident intervient dans un contexte où la cybersécurité fédérale américaine fait l’objet de débats récurrents au Congrès. Plusieurs auditions parlementaires ont examiné l’impact des coupes budgétaires sur la capacité de la CISA à remplir ses missions de protection des infrastructures critiques.
Le SC Media et TechCrunch ont rapporté les conclusions du rapport. La CISA, qui relève du Département de la sécurité intérieure américain, coordonne la défense des réseaux fédéraux et la protection des infrastructures critiques du pays.
