Catalogue KEV de la CISA : Définition, Priorisation des Risques et Acteurs Français
Le catalogue KEV de la CISA liste les vulnérabilités activement exploitées par des attaquants.
- Issu de la directive BOD 22-01 pour les agences fédérales.
- Priorise la gestion des risques en pointant les menaces immédiates.
- Utilise le modèle SSVC pour évaluer l’urgence des correctifs.
- L’ANSSI s’aligne sur le KEV pour prioriser les failles en France.
- Le COMCYBER l’utilise pour les systèmes d’information militaires.
Qu’est-ce que le catalogue KEV de la CISA ?
- Catalogues les failles activement exploitées par des attaquants dans la nature
- Priorise la gestion des vulnérabilités
- Issue de la directive BOD 22-01
- Source de référence obligatoire
Le catalogue KEV (Known Exploited Vulnerabilities) est une liste officielle maintenue par la CISA (Cybersecurity and Infrastructure Security Agency). Il recense les vulnérabilités pour lesquelles il existe des preuves d’exploitation active. Contrairement à d’autres bases de données qui listent toutes les failles connues, le KEV ne contient que celles qui représentent une menace immédiate et tangible.
Ce catalogue a été créé dans le cadre de la directive BOD 22-01 (Binding Operational Directive). Cette directive impose aux agences fédérales américaines de corriger ces vulnérabilités dans des délais stricts. Pour les organisations privées et les gouvernements hors États-Unis, le KEV constitue un outil de priorisation des risques incontournable.
Son utilité pratique est simple : face à des centaines de nouvelles CVE chaque mois, les équipes de sécurité ne peuvent pas tout traiter immédiatement. Le KEV réduit ce bruit en pointant uniquement les failles effectivement utilisées par des attaquants. C’est une source de référence obligatoire dans les processus de gestion des vulnérabilités, car elle élimine les conjectures et se concentre sur les menaces avérées.
Comment le KEV aide-t-il à prioriser les risques et vulnérabilités ?

Le catalogue KEV sert de donnée d’entrée essentielle dans un cadre de priorisation structuré. En signalant les vulnérabilités activement exploitées, il permet aux équipes de sécurité de concentrer leurs efforts sur les failles les plus dangereuses, plutôt que de se noyer dans des milliers de CVE théoriques.
Le système de priorisation repose sur un modèle SSVC, qui évalue l’urgence en fonction de critères comme l’exploitation active et l’impact potentiel. Pour les agences fédérales américaines, la directive BOD 26-04 fixe des délais stricts de correction, transformant cette liste en obligation opérationnelle. Les organisations adoptent ce même principe pour aligner leurs correctifs sur les menaces réelles, réduisant ainsi leur surface d’attaque.
Quels sont les acteurs français de la cybersécurité liés au KEV ?
ANSSI et les autorités publiques
En France, la gestion des vulnérabilités critiques s’appuie sur plusieurs entités publiques. L’ANSSI, autorité nationale placée sous l’autorité du SGDSN, est le référent en matière de cybersécurité. Elle publie des avis et des recommandations qui s’alignent souvent sur les données du catalogue KEV de la CISA pour prioriser les correctifs sur le territoire.
- COMCYBER : le commandement cyber du ministère des Armées. Il assure la défense des systèmes d’information militaires et utilise le KEV comme source pour prioriser les correctifs sur les équipements sensibles.
- Cybermalveillance.gouv.fr : plateforme nationale d’assistance aux victimes d’actes cyber. Elle diffuse des alertes sur les vulnérabilités exploitées, notamment celles listées dans le KEV, auprès des particuliers et des TPE/PME.
- MonAideCyber : outil d’autodiagnostic en ligne. Il permet aux organisations de vérifier leur exposition aux risques et les oriente vers les correctifs prioritaires, y compris ceux issus du catalogue KEV.
Entreprises privées françaises de cybersécurité
Côté privé, plusieurs entreprises intègrent le KEV dans leurs solutions de détection et de réponse aux incidents. Thales et Airbus CyberSecurity proposent des services de supervision (SOC) qui exploitent les données du catalogue pour filtrer les alertes les plus critiques. Orange Cyberdéfense s’en sert pour prioriser les actions de remédiation chez ses clients grands comptes. Stormshield, éditeur français de pare-feux et de solutions de sécurité, utilise le KEV pour ajuster ses signatures de détection et alerter ses utilisateurs sur les vulnérabilités activement exploitées.
Où trouver les données KEV (API, GitHub et abonnement) ?
Site officiel et abonnement email
- cisa.gov/known-exploited-vulnerabilities-catalog : page officielle regroupant l’intégralité des vulnérabilités exploitées activement, avec leur identifiant CVE, leur description et la date d’ajout au catalogue.
- Mise à jour par email disponible : abonnement gratuit aux notifications pour recevoir chaque nouvelle entrée du KEV dès sa publication, sans avoir à consulter manuellement le site.
Dépôt GitHub et formats de données
- Dépôt « cisagov/kev-data » (miroir) : réplique officielle du catalogue sur GitHub, synchronisée automatiquement à chaque mise à jour de la CISA.
- Fichiers de données téléchargeables : formats JSON et CSV exploitables directement par vos outils de gestion des vulnérabilités ou scripts d’analyse automatisée.
Ces deux sources offrent aux équipes de sécurité informatique une flexibilité totale : le site web pour une consultation rapide, le dépôt GitHub pour une intégration dans des pipelines de priorisation des risques ou des tableaux de bord internes.
Quelles sont les directives et délais associés au KEV ?
Le catalogue KEV est ancré dans une directive américaine : la BOD 26-04 (Binding Operational Directive). Cette directive a remplacé la précédente BOD 22-01 pour renforcer la gestion des vulnérabilités au sein des agences fédérales. Elle impose un cadre strict pour la correction des failles listées dans le KEV.
Pour les organisations ciblées, le délai de correction est défini comme « dès que possible », avec un tableau de délais spécifiques. La directive oblige les agences à mettre à jour leurs politiques internes de gestion des vulnérabilités dans un délai de 60 jours. Ce calendrier vise à réduire la fenêtre d’exposition aux attaques en forçant une action rapide sur les failles activement exploitées.
FAQ sur le KEV de la CISA
Qu’est-ce que le catalogue KEV de la CISA exactement ?
Le catalogue KEV est une liste publique et dynamique des vulnérabilités activement exploitées dans la nature, maintenue par l’agence américaine CISA pour prioriser les correctifs.
Qui sont les principaux leaders français de la cybersécurité ?
Les leaders incluent l’ANSSI pour le secteur public, ainsi que des entreprises privées majeures comme Thales, Orange Cyberdefense et Stormshield.
Quelle est la vulnérabilité CVE la plus célèbre ?
La CVE-2017-11882 (vulnérabilité dans l’éditeur Microsoft Equation) est l’une des plus célèbres, exploitée massivement pour exécuter du code à distance.
Quelles entreprises françaises sont spécialisées en cybersécurité ?
Des entreprises comme Wallix, Tehtris, Gatewatcher et Advens sont spécialisées respectivement dans la gestion des accès, la détection de menaces et le SOC.
