Aller au contenu
FortaRisks
Retour au glossaireThreat intelligence

CISA KEV

Le CISA KEV (Known Exploited Vulnerabilities) est le catalogue public des vulnérabilités dont l'exploitation dans la nature est avérée, publié par l'agence américaine de cybersécurité CISA. Contrairement aux scores prédictifs, il ne liste que des failles réellement utilisées par des attaquants, ce qui en fait un signal de priorisation de premier ordre.

Mis à jour le 2 juillet 2026

Qu'est-ce que le CISA KEV ?

Le CISA KEV, pour Known Exploited Vulnerabilities, est un catalogue maintenu par la Cybersecurity and Infrastructure Security Agency, l'agence fédérale américaine de cybersécurité. Il recense les vulnérabilités pour lesquelles il existe des preuves d'une exploitation active par des attaquants.

Chaque entrée précise la vulnérabilité concernée (via son identifiant CVE), la date d'ajout et une échéance de remédiation. Pour figurer au KEV, une faille doit remplir des critères stricts, dont la preuve d'une exploitation réelle et l'existence d'une mesure corrective claire.

Pourquoi c'est important pour votre organisation

Le KEV répond à la question la plus utile en gestion des vulnérabilités : parmi toutes les failles connues, lesquelles sont réellement utilisées contre des organisations en ce moment ? C'est une liste courte et de très haute valeur, à traiter en priorité absolue.

Il agit comme un filtre puissant contre le bruit. Là où les catalogues de CVE contiennent des dizaines de milliers d'entrées, le KEV concentre l'attention sur celles qui comptent immédiatement.

Comment intégrer le KEV à votre priorisation

  • En priorité absolue : toute vulnérabilité du KEV présente dans votre parc passe devant.
  • Automatiquement corrélé à votre inventaire d'actifs.
  • En complément du CVSS (gravité) et de l'EPSS (probabilité) pour le reste des failles.
  • Suivi en continu : le catalogue est mis à jour régulièrement au fil des nouvelles exploitations.

Où les organisations pèchent le plus souvent

L'erreur classique est de ne pas relier le KEV à son propre inventaire : savoir qu'une faille est activement exploitée ne sert à rien si l'on ignore où elle se trouve dans son parc. L'autre écueil est de ne consulter le catalogue que ponctuellement, alors qu'il évolue en permanence et exige une surveillance continue.

Questions fréquentes

Qu'est-ce qui distingue le catalogue KEV du CVSS ou de l'EPSS ?

Le CVSS mesure la gravité et l'EPSS estime la probabilité d'exploitation. Le KEV n'estime rien : il constate. Une vulnérabilité n'y entre que si la CISA dispose de preuves d'une exploitation active. C'est donc le signal le plus fort pour dire « corrigez ceci maintenant ».

Le catalogue KEV concerne-t-il uniquement les agences américaines ?

Les échéances de remédiation du KEV sont contraignantes pour les agences fédérales américaines, mais le catalogue est public et utilisé mondialement comme référence de priorisation. Toute organisation gagne à traiter en priorité absolue les vulnérabilités qui y figurent et qui la concernent.

Ressources liées

Voyez votre vrai risque en 30 minutes de démo.

Un membre de notre équipe vous guide dans FortaRisks sur des menaces pertinentes pour votre secteur. Sans chatbot.