Qu'est-ce que le CISA KEV ?
Le CISA KEV, pour Known Exploited Vulnerabilities, est un catalogue maintenu par la Cybersecurity and Infrastructure Security Agency, l'agence fédérale américaine de cybersécurité. Il recense les vulnérabilités pour lesquelles il existe des preuves d'une exploitation active par des attaquants.
Chaque entrée précise la vulnérabilité concernée (via son identifiant CVE), la date d'ajout et une échéance de remédiation. Pour figurer au KEV, une faille doit remplir des critères stricts, dont la preuve d'une exploitation réelle et l'existence d'une mesure corrective claire.
Pourquoi c'est important pour votre organisation
Le KEV répond à la question la plus utile en gestion des vulnérabilités : parmi toutes les failles connues, lesquelles sont réellement utilisées contre des organisations en ce moment ? C'est une liste courte et de très haute valeur, à traiter en priorité absolue.
Il agit comme un filtre puissant contre le bruit. Là où les catalogues de CVE contiennent des dizaines de milliers d'entrées, le KEV concentre l'attention sur celles qui comptent immédiatement.
Comment intégrer le KEV à votre priorisation
- En priorité absolue : toute vulnérabilité du KEV présente dans votre parc passe devant.
- Automatiquement corrélé à votre inventaire d'actifs.
- En complément du CVSS (gravité) et de l'EPSS (probabilité) pour le reste des failles.
- Suivi en continu : le catalogue est mis à jour régulièrement au fil des nouvelles exploitations.
Où les organisations pèchent le plus souvent
L'erreur classique est de ne pas relier le KEV à son propre inventaire : savoir qu'une faille est activement exploitée ne sert à rien si l'on ignore où elle se trouve dans son parc. L'autre écueil est de ne consulter le catalogue que ponctuellement, alors qu'il évolue en permanence et exige une surveillance continue.