CISA KEV (Known Exploited Vulnerabilities)

Le CISA KEV (Known Exploited Vulnerabilities Catalog) est un catalogue maintenu par la CISA (Cybersecurity and Infrastructure Security Agency, agence cyber du gouvernement US) qui liste les vulnérabilités confirmées exploitées dans le monde réel par des acteurs malveillants. Lancé en novembre 2021 via la Binding Operational Directive 22-01, le KEV s'est imposé comme la référence mondiale de priorisation des patches.

Critères d'inclusion : (1) la vulnérabilité doit avoir un CVE assigné ; (2) preuves d'exploitation active en environnement réel (in-the-wild) — pas juste un PoC public ou un threat actor mentionnant la vuln ; (3) action de remediation claire disponible (patch, workaround, fin de support EOL).

Format : chaque entrée contient CVE ID, vendor/product, vulnerability name, date added, short description, required action, due date (généralement 2-3 semaines après l'ajout pour les agences fédérales US qui sont obligées de patcher), notes, ransomware use indicator (depuis 2023). Total : ~1100 CVE au catalogue mi-2024, avec ~80-120 ajouts par an.

Obligation fédérale US : la BOD 22-01 impose à toutes les agences fédérales civiles US de remédier les CVE KEV dans les délais fixés (typiquement 2 semaines pour les nouvelles, sinon ajout sur "naughty list" CIO). Cela donne au KEV un poids opérationnel inégalé.

Usage en entreprise : (1) priorisation patching — les CVE KEV doivent passer en haut de la file, devant le scoring CVSS pur (un CVE 7.5 KEV exploité est plus urgent qu'un 9.8 non exploité) ; (2) intégration scanners (Tenable, Qualys, Rapid7 InsightVM, Wiz, Snyk taggent les CVE KEV) ; (3) SLA contractuel — certains contrats imposent KEV remediation en X jours ; (4) reporting board — KPI "% de CVE KEV non patchés >30j".

Complémentaire à EPSS (Exploit Prediction Scoring System, FIRST.org) qui calcule la probabilité d'exploitation dans les 30 prochains jours via ML — KEV = exploité, EPSS = probabilité d'être exploité.