Qu'est-ce que KEV en cybersécurité ?

Comment les vulnérabilités exploitées connues de la CISA vous aident à prioriser les correctifs.

En cybersécurité, rapidité et concentration sont essentielles. Des milliers de nouvelles vulnérabilités et expositions courantes (CVE) apparaissent chaque année, mais seule une partie d'entre elles est activement exploitée par les attaquants. Les vulnérabilités connues exploitées (KEV) sont celles dont l'exploitation a été confirmée. Prioriser les KEV permet de réduire considérablement les risques réels, d'optimiser les correctifs et de renforcer la résilience.

KEV, défini

Les vulnérabilités de cybersécurité (VCE) désignent les vulnérabilités logicielles qui ont franchi un seuil critique : il existe des preuves crédibles que des adversaires les exploitent actuellement. Contrairement aux problèmes théoriques ou aux preuves de concept réalisées uniquement en laboratoire, les VCE sont liées à des campagnes actives : rançongiciel, vol de données, accès initial pour déplacement latéral, etc. Par conséquent, les VCE méritent une attention immédiate, plutôt que des éléments génériques « critiques » qui ne sont pas destinés à être utilisés comme une arme.

Qu'est-ce que le catalogue CISA KEV ?

L'Agence de cybersécurité et de sécurité des infrastructures (CISA) tient à jour le Catalogue des vulnérabilités connues exploitées (KEV), une liste organisée et régulièrement mise à jour des vulnérabilités CVE dont l'exploitation est confirmée. Pour les défenseurs, il s'agit d'une source d'informations complète qui répond à une question pratique : quelles vulnérabilités les attaquants exploitent-ils actuellement ?

Les équipes de sécurité utilisent le catalogue KEV pour :

• Identifiez les CVE qui nécessitent des correctifs d’urgence ou des contrôles compensatoires.

• Établissez des calendriers de correctifs basés sur des SLA et suivez les exceptions.

• Communiquez l’urgence à la direction avec une source claire et faisant autorité.

Pourquoi les KEV sont importants (et comment ils réduisent les risques)

1. Priorisation liée aux attaques réelles. Avec autant de divulgations, il est facile de gaspiller des efforts. Les KEV révèlent le petit sous-ensemble le plus susceptible de provoquer des incidents aujourd'hui.

2. Allocation efficace des ressources. Lorsque le temps, le budget et les marges de manœuvre sont limités, se concentrer sur les KEV permet de réduire au maximum les risques par heure investie.

3. Impact mesurable. La correction rapide de KEV élimine les voies courantes d'attaques de phishing, de compromission d'applications Web et de vol d'appareils.

KEV vs. CVE vs. CVSS : quelle est la différence ?

• CVE est l'identifiant qui indique « qu'une vulnérabilité existe ».

• CVSS est un score de gravité qui estime l’impact potentiel et l’exploitabilité.

• KEV est une liste organisée de CVE connus pour être exploités.

Conclusion : Un score CVSS élevé ne garantit pas l'exploitation. Le statut KEV prévaut sur le CVSS lorsqu'il s'agit de décider quoi réparer en premier.

Comment une vulnérabilité devient un KEV

1. Découverte et attribution : les chercheurs, les fournisseurs, les bug bounty ou même les attaquants découvrent une faille et obtiennent un identifiant CVE.

2. Exploitation observée : les renseignements sur les menaces, les rapports d’incidents, les pots de miel et la télémétrie confirment une utilisation active par les adversaires.

3. Inclusion du catalogue : la CISA ajoute le CVE au catalogue KEV, signalant aux défenseurs qu'ils doivent donner la priorité à la correction.

Transformer KEV en action : un manuel d'utilisation

1) Ingérer en continu du KEV

Automatisez l'intégration quotidienne de la liste des vulnérabilités clés dans votre analyseur de vulnérabilités, CMDB ou SIEM. Identifiez les actifs affectés par les vulnérabilités clés pour faciliter la consultation et la création de rapports.

2) Attribuez KEV à votre environnement

Utilisez un inventaire logiciel précis (versions, versions, services cloud, micrologiciels des appareils). Commencez par identifier les actifs connectés à Internet : passerelles périphériques, VPN, pare-feu d'applications web (WAF), dispositifs de messagerie/sécurité, applications web et API exposées.

3) Attribuer des SLA qui priorisent KEV

• KEV avec accès Internet : changement d'urgence ; corrigez ou atténuez le problème dès que possible (en quelques heures ou jours).

• KEV critique interne : haute priorité ; ≤ 7 jours.

• Pas de KEV, CVSS élevé : suivez votre cycle mensuel/trimestriel standard.

4) Appliquer des contrôles compensatoires lorsque le correctif doit attendre

• Réduction temporaire de l'exposition (blocage des ports, listes géo-autorisées/IP, désactivation des fonctionnalités à risque).

• Correctifs virtuels WAF/IDS/IPS et signatures des fournisseurs.

• Renforcement EDR, règles strictes pour les processus enfants suspects, contrôles de macros/scripts.

• Segmentation ou isolement du réseau pour les hôtes affectés.

5) Vérifier et boucler la boucle

Analysez à nouveau, validez les versions et examinez les journaux/EDR pour détecter les indicateurs de vulnérabilité liés à KEV. Mettez à jour les manuels d'exécution en tenant compte des enseignements tirés.

6) Informer sur ce qui compte pour le leadership

Utilisez un tableau de bord simple : KEV ouverts, KEV dépassés dans le cadre du SLA, délai moyen de correction (MTTR) et exposition KEV par unité opérationnelle/niveau d'actif. Cela permet de traduire le travail technique en réduction des risques.

Meilleures pratiques pour la gestion des KEV

• Consultez régulièrement le catalogue KEV. Automatisez les alertes ; ne vous fiez pas aux vérifications manuelles.

• Appliquez les correctifs de l’extérieur vers l’intérieur. Corrigez d’abord les systèmes connectés à Internet, puis les actifs internes de grande valeur.

• Supprimer ou isoler les technologies existantes. Les produits anciens et non pris en charge apparaissent régulièrement dans les incidents liés à KEV.

• Corrélez avec les renseignements sur les menaces. Priorisez les KEV liés aux campagnes ciblant votre secteur ou votre ensemble technologique.

• Résultats clés récents du tableau. Validez la détection, les étapes d'intervention et les transferts d'équipe avant la prochaine urgence.

Erreurs courantes à éviter

• Traitez tous les CVE de manière égale. Utilisez KEV pour vous concentrer.

• Autoriser le changement de vitre pour bloquer les réparations d'urgence. Pour les véhicules électriques à cycle combiné, utilisez la procédure d'urgence.

• Ignorez les solutions tierces et SaaS. Incluez les outils MSP, les appareils gérés et les applications SaaS critiques dans les évaluations KEV.

• « Appliquez les correctifs et oubliez-les. » Validez systématiquement, surveillez les tentatives d'exploitation après l'application des correctifs et affinez les détections.

Exemple de flux de travail (voie rapide)

1. Une alerte KEV arrive pour un appareil VPN largement utilisé.

2. Vérifiez l'inventaire des actifs : 14 instances ont été trouvées avec une connexion Internet.

3. Changement d'urgence approuvé ; mise à jour du firmware pour 10, isolement des 4 restants derrière des contrôles d'accès temporaires.

4. Implémenter les signatures de correctifs virtuels IDS/WAF ; rechercher les indicateurs connus pendant 30 jours.

5. Réanalyser pour confirmer les versions ; fermer les exceptions dans les 7 jours ; signaler le MTTR et les conclusions à la direction.

Questions fréquemment posées

KEV est-il identique à CVE ?

Non. CVE est l'identifiant d'une faille ; KEV est la liste des CVE dont l'exploitation est confirmée.

En quoi KEV est-il différent de CVE et CVSS ?

• 
  

• CVE : identifiant qu'une vulnérabilité existe.

• CVSS : un score de gravité qui estime l'impact potentiel et l'exploitabilité.

• KEV : une liste organisée de CVE dont l'exploitation a été confirmée . En bref : lors du choix des correctifs à appliquer en premier, le statut KEV prime sur le statut CVSS .

Ai-je toujours besoin de CVSS si j'utilise KEV ?

Oui. Utilisez KEV pour « ce qui est militarisé maintenant » et CVSS pour prioriser le reste du backlog.

Que faire si je ne peux pas corriger un KEV immédiatement ?

Réduisez l'exposition (contrôles réseau), appliquez des correctifs virtuels, renforcez l'EDR et rationalisez la maintenance. Documentez les exceptions avec leurs dates d'expiration.

Qui gère le catalogue KEV ?

La Cybersecurity and Infrastructure Security Agency (CISA) gère le catalogue public KEV et ajoute des CVE une fois qu'un exploit est confirmé.

Le catalogue KEV est-il uniquement destiné aux agences fédérales américaines ?

Non. Bien que les agences fédérales américaines soient tenues d’agir sur les KEV dans les délais établis, le catalogue est public et largement utilisé par les entreprises, les PME et les opérateurs d’infrastructures critiques du monde entier.

À quelle fréquence KEV est-il mis à jour ?

Régulièrement. De nouvelles entrées sont ajoutées à mesure que l'exploitation est vérifiée. Automatisez la compilation pour intégrer continuellement les mises à jour au lieu de vous fier aux vérifications manuelles.

Où puis-je obtenir la liste KEV ?

La CISA publie le catalogue KEV en accès libre (dans des formats consultables et téléchargeables). La plupart des scanners de vulnérabilités et des plateformes de sécurité peuvent le traiter automatiquement .

Comment puis-je vérifier si mon environnement est affecté par un KEV ?

1. Inventaire : Maintenir des versions précises des logiciels/micrologiciels (y compris les appareils et agents connectés au SaaS).

2. Numériser et corréler : faire correspondre les données d'actifs à la liste KEV (scanner/CMDB/SIEM).

3. Valider l’exposition : donner la priorité aux systèmes connectés à Internet en premier.

Que se passe-t-il s’il n’existe pas encore de correctif fournisseur ?

Utiliser des contrôles compensatoires jusqu'à ce qu'une solution soit disponible :

• Patching virtuel (règles WAF/IDS/IPS)

• Renforcement EDR et restrictions de scripts et de macros

• Segmentation du réseau ou isolement temporaire

• Réduire l’exposition des services (fermer les ports, autoriser les listes)