Le catalogue CISA KEV
Le KEV (Known Exploited Vulnerabilities) est le catalogue, tenu par la CISA, des vulnérabilités dont l'exploitation dans la nature est avérée. C'est le signal de priorisation le plus fort qui soit : pas une probabilité, pas une estimation de gravité — un fait observé. Si une CVE est au KEV, elle se corrige en priorité.
Qu'est-ce que le catalogue KEV ?
Créé fin 2021 par la CISA (l'agence américaine de cybersécurité), le catalogue KEV recense les CVE pour lesquelles il existe des preuves fiables d'exploitation active. Il compte plus d'un millier d'entrées et s'est imposé comme la liste de priorité de référence bien au-delà des États-Unis.
Les trois critères d'inscription
Une vulnérabilité n'entre au KEV que si elle remplit trois conditions :
- elle possède un identifiant CVE ;
- il existe une preuve fiable d'exploitation active dans la nature (pas une simple preuve de concept) ;
- une remédiation claire est disponible (correctif ou mesure d'atténuation).
Ce dernier critère explique que le KEV soit conservateur : il ne liste que des failles concrètement actionnables.
Ce que contient une entrée KEV
| Champ | Détail |
|---|---|
| CVE | L'identifiant de la vulnérabilité. |
| Éditeur / produit | Le logiciel concerné. |
| Nom | Un intitulé lisible de la faille. |
| Date d'ajout | Quand l'exploitation a été confirmée. |
| Action requise | La remédiation attendue. |
| Échéance | La date limite (contraignante pour les agences fédérales US). |
Pourquoi c'est le meilleur signal de priorisation
Là où le CVSS estime la gravité et l'EPSS la probabilité, le KEV apporte une certitude : la faille est exploitée, maintenant. C'est le critère qui doit faire passer une CVE en tête de votre file de correctifs, quel que soit son score CVSS.
KEV vs EPSS vs CVSS
| Référentiel | Question | Nature |
|---|---|---|
| KEV | Est-elle exploitée ? | Fait avéré (oui/non) |
| EPSS | Risque-t-elle de l'être ? | Probabilité (0 à 1) |
| CVSS | Est-elle grave ? | Gravité (0 à 10) |
Les trois sont complémentaires : le KEV déclenche, l'EPSS anticipe, le CVSS quantifie l'impact.
Le cadre réglementaire : de BOD 22-01 à BOD 26-04
Le KEV a été créé fin 2021 par la directive BOD 22-01, qui imposait aux agences fédérales américaines de corriger les vulnérabilités du catalogue avant une échéance. En 2026, cette directive a été abrogée et remplacée par la BOD 26-04 (« priorisation des correctifs selon le risque ») — mais le catalogue KEV, lui, reste actif et maintenu. Sans jamais s'imposer juridiquement au secteur privé, le KEV est devenu une liste de priorité mondiale, adoptée comme bonne pratique par les RSSI.
Des entrées emblématiques
Le KEV inclut les grandes failles exploitées en masse : Log4Shell (CVE-2021-44228), la vague MOVEit (CVE-2023-34362), ou encore de nombreuses failles de VPN et d'équipements de bordure, cibles privilégiées des attaquants.
Comment l'exploiter dans votre veille
Dans une veille efficace, une CVE de votre parc qui entre au KEV doit remonter en tête, automatiquement. TechWatchAlert surveille ces transitions et vous alerte dès qu'une de vos CVE devient activement exploitée.