Catalogue des vulnérabilités activement exploitées (KEV) de la CISA
Qu'est-ce que Catalogue des vulnérabilités activement exploitées (KEV) de la CISA ?
Catalogue des vulnérabilités activement exploitées (KEV) de la CISAListe tenue à jour par la CISA américaine recensant les CVE pour lesquelles il existe des preuves crédibles d'exploitation active dans la nature, assortie de délais de remédiation obligatoires pour les agences civiles fédérales américaines et largement utilisée par les entreprises comme signal de priorisation.
Le catalogue des vulnérabilités activement exploitées (KEV) de la CISA est une liste tenue à jour par la Cybersecurity and Infrastructure Security Agency américaine, qui recense les vulnérabilités pour lesquelles la CISA dispose de preuves crédibles d'une exploitation active dans la nature. KEV a été lancé en novembre 2021 dans le cadre de la Binding Operational Directive 22-01, qui rend la remédiation des CVE inscrites obligatoire pour les agences du pouvoir exécutif civil fédéral américain (FCEB) dans un délai fixé (généralement de deux à trois semaines). Chaque entrée comprend la CVE, l'éditeur/produit, une description courte, l'action requise, la date limite, la date d'ajout et — depuis 2024 — un indicateur signalant si la faille est connue pour être exploitée dans des campagnes de rançongiciel.
Les critères d'inclusion sont volontairement stricts : une CVE n'est ajoutée que lorsqu'elle dispose d'un identifiant CVE attribué, qu'il existe des preuves fiables d'exploitation active (et non un simple code de démonstration public ou de l'activité de scan) et qu'une remédiation claire, comme un correctif éditeur, est disponible. C'est précisément cette exigence qui fait la valeur de KEV : elle filtre les ~40,000 CVE publiées chaque année pour ne retenir que la petite fraction que les attaquants transforment réellement en armes. Le catalogue est passé de 1,239 entrées fin 2024 à 1,484 fin 2025 (245 ajouts cette année-là, soit une hausse d'environ ~20%), couvrant les systèmes d'exploitation, les équipements réseau, les VPN, les outils RMM, les logiciels de productivité, les navigateurs et les ICS. Des zero-days à propagation rapide visant les équipements de périphérie, comme la CVE-2024-3400 de PAN-OS et la chaîne Ivanti Connect Secure (CVE-2023-46805 + CVE-2024-21887), ont été ajoutés quelques jours seulement après leur divulgation publique.
Malgré son périmètre formel limité au fédéral américain, KEV est devenu le signal de priorisation de facto pour l'ensemble du secteur : les programmes de gestion des vulnérabilités en entreprise et les cyber-assureurs considèrent l'inscription au KEV comme un marqueur « corriger immédiatement », et les plateformes ASPM/CSPM affichent le statut KEV aux côtés de la sévérité CVSS, de la probabilité EPSS (Exploit Prediction Scoring System) et de l'accessibilité du code. En consommant le flux JSON/CSV lisible par machine, les équipes peuvent escalader automatiquement tout actif exécutant un produit inscrit au KEV.
flowchart TD
A[Nouvelle CVE publiée] --> B{Répond aux 3 critères KEV ?}
B --> C[Identifiant CVE attribué]
B --> D[Preuves fiables d'exploitation active]
B --> E[Remédiation claire disponible]
C & D & E -->|Tout oui| F[Ajoutée au KEV Catalog]
B -->|Un non p. ex. PoC seul| G[Non ajoutée]
F --> H[BOD 22-01 : délai FCEB fixé]
F --> I[Entreprises + assureurs traitent en corriger maintenant]
F --> J[Alimente ASPM/CSPM avec EPSS + CVSS + accessibilité]
style F fill:#27ae60,color:#fff
style G fill:#7f8c8d,color:#fff● Exemples
- 01
La CVE-2024-47575 « FortiJump » de FortiManager est ajoutée à KEV le jour même où Mandiant publie son article ; les agences FCEB disposent d'un délai strict pour appliquer le correctif.
- 02
Une politique d'entreprise de priorisation des correctifs impose de remédier à toute CVE inscrite au KEV sous sept jours, quels que soient son CVSS, son EPSS ou la criticité de l'actif.
● Questions fréquentes
Qu'est-ce que Catalogue des vulnérabilités activement exploitées (KEV) de la CISA ?
Liste tenue à jour par la CISA américaine recensant les CVE pour lesquelles il existe des preuves crédibles d'exploitation active dans la nature, assortie de délais de remédiation obligatoires pour les agences civiles fédérales américaines et largement utilisée par les entreprises comme signal de priorisation. Cette notion relève de la catégorie Vulnérabilités en cybersécurité.
Que signifie Catalogue des vulnérabilités activement exploitées (KEV) de la CISA ?
Liste tenue à jour par la CISA américaine recensant les CVE pour lesquelles il existe des preuves crédibles d'exploitation active dans la nature, assortie de délais de remédiation obligatoires pour les agences civiles fédérales américaines et largement utilisée par les entreprises comme signal de priorisation.
Comment se défendre contre Catalogue des vulnérabilités activement exploitées (KEV) de la CISA ?
Les défenses contre Catalogue des vulnérabilités activement exploitées (KEV) de la CISA combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Catalogue des vulnérabilités activement exploitées (KEV) de la CISA ?
Noms alternatifs courants : KEV, Vulnérabilités activement exploitées.