⚡ Points Clés

Le catalogue KEV du CISA a atteint 1 484 entrées après une hausse de 20 % en 2025, avec 245 nouveaux ajouts et 304 entrées liées à des groupes de ransomware. Les organisations adoptant la priorisation KEV corrigent les vulnérabilités signalées 3,5 fois plus vite que la moyenne, mais 53 % des organisations ont encore des vulnérabilités exposées sur Internet avec un délai médian de remédiation de 361 jours.

En résumé : Les RSSI devraient immédiatement intégrer le catalogue KEV gratuit du CISA dans leurs scanners de vulnérabilités et fixer des objectifs de remédiation de 14 jours pour les nouveaux ajouts, car la priorisation basée sur les menaces surpasse nettement les approches CVSS traditionnelles.

Lire l’analyse complète ↓

Publicité

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevé
Les systèmes fédéraux et d’entreprise algériens font face aux mêmes vulnérabilités exploitées cataloguées par le CISA. L’adoption de la priorisation basée sur le KEV améliorerait immédiatement l’efficacité des correctifs pour les organisations algériennes, en particulier les opérateurs d’infrastructures critiques comme Sonatrach et Sonelgaz.
Infrastructure prête ?
Partiel
Les organisations algériennes disposent d’outils d’analyse des vulnérabilités, mais la plupart manquent de l’automatisation et des processus de gestion du changement nécessaires pour atteindre des délais de correction de 14 jours. Le catalogue lui-même est librement accessible.
Compétences disponibles ?
Partiel
L’Algérie dispose de professionnels de la cybersécurité, mais la gestion des vulnérabilités basée sur le KEV nécessite une intégration entre les équipes de sécurité et les équipes opérationnelles que de nombreuses organisations n’ont pas encore établie.
Calendrier d’action
Immédiat
Le catalogue KEV est gratuit et accessible publiquement dès aujourd’hui. Les RSSI algériens peuvent adopter la priorisation basée sur le KEV immédiatement sans investissement en infrastructure.
Parties prenantes clés
RSSI, équipes de sécurité informatique, administrateurs systèmes, opérateurs d’infrastructures critiques
Type de décision
Tactique
Cet article fournit un cadre de priorisation des vulnérabilités immédiatement actionnable que les équipes de sécurité algériennes peuvent adopter aujourd’hui en utilisant les outils existants et une ressource publique gratuite.

En bref : Chaque RSSI algérien devrait intégrer le catalogue KEV du CISA dans son processus de gestion des vulnérabilités dès aujourd’hui. Le catalogue est gratuit, accessible publiquement et fournit une liste filtrée de vulnérabilités confirmées comme activement exploitées. Les organisations devraient configurer leurs scanners pour signaler les vulnérabilités KEV comme critiques quel que soit le score CVSS, et viser une remédiation en 14 jours pour les nouveaux ajouts. Ce seul changement peut améliorer l’efficacité des correctifs de 3,5 fois.

Le catalogue qui a redéfini la priorisation des vulnérabilités

Lorsque le CISA a lancé le catalogue des vulnérabilités exploitées connues (KEV) en novembre 2021 avec 311 entrées initiales, il a introduit un postulat radical : cesser de prioriser les vulnérabilités par scores de sévérité théoriques et commencer à les prioriser par exploitation confirmée dans la nature. Quatre ans plus tard, le catalogue a atteint 1 484 entrées en décembre 2025 et continue de s’élargir, avec sept nouvelles entrées ajoutées le 13 avril 2026.

La trajectoire de croissance parle d’elle-même. Après une vague initiale de 555 ajouts en 2022, alors que le CISA comblait son retard, le catalogue s’est stabilisé à environ 187 entrées par an en 2023 et 2024. Puis 2025 a vu une accélération renouvelée, avec 245 nouvelles vulnérabilités ajoutées, soit une hausse de 20 % et plus de 30 % au-dessus de la tendance des deux années précédentes. Cette accélération reflète non seulement une activité d’exploitation accrue, mais aussi des mécanismes de détection et de signalement améliorés.

Le mandat fédéral de correction

La directive opérationnelle contraignante 22-01 a transformé le catalogue KEV d’une ressource de référence en une obligation légale pour les agences fédérales. En vertu de la BOD 22-01, les agences du Federal Civilian Executive Branch (FCEB) doivent remédier aux vulnérabilités portant un identifiant CVE de 2021 ou plus récent dans les deux semaines suivant leur ajout au catalogue. Les vulnérabilités plus anciennes, antérieures à 2021, exigent une remédiation dans les six mois.

La directive crée un rythme de correction constant et urgent. Les agences doivent effectuer une analyse initiale dans les 48 heures suivant un nouvel ajout KEV et élaborer des plans de remédiation dans les 72 heures. Ce calendrier compresse le cycle traditionnel de gestion des vulnérabilités de plusieurs mois à quelques jours, obligeant les agences à maintenir une disponibilité permanente pour les correctifs d’urgence.

Le mandat ne s’applique qu’aux agences civiles fédérales, pas au secteur privé. Mais l’influence du catalogue s’étend bien au-delà du gouvernement.

Le secteur privé suit le mouvement

L’impact le plus significatif du catalogue KEV réside peut-être dans son adoption par des organisations n’ayant aucune obligation légale de le suivre. Les équipes de sécurité du secteur privé traitent de plus en plus les vulnérabilités répertoriées dans le KEV comme leur priorité absolue, utilisant le catalogue comme un filtre décisionnel qui coupe à travers le bruit des plus de 130 nouvelles CVE divulguées quotidiennement.

Les résultats sont mesurables. Les organisations qui adoptent la priorisation basée sur le KEV remédient aux vulnérabilités répertoriées 3,5 fois plus vite que les vulnérabilités hors KEV. Le catalogue fonctionne comme un signal filtré dans un océan de bruit lié aux vulnérabilités, répondant à la question la plus importante pour les défenseurs : « Quelqu’un exploite-t-il réellement cette faille en ce moment ? »

Le CISA a explicitement encouragé cette adoption, déclarant que, bien que la BOD 22-01 ne s’applique qu’aux agences FCEB, il recommande fortement à toutes les organisations de prioriser la remédiation du catalogue KEV dans le cadre de leur pratique de gestion des vulnérabilités. De nombreux fournisseurs de solutions de sécurité ont intégré le statut KEV dans leurs produits, signalant et escaladant automatiquement les vulnérabilités répertoriées.

Publicité

Les chiffres qui devraient alarmer chaque RSSI

Malgré l’efficacité du catalogue comme outil de priorisation, la réalité de la remédiation dans la plupart des organisations reste alarmante. Selon le rapport sur les vulnérabilités 2026, 53 % des organisations ont au moins une vulnérabilité exposée sur Internet, et 22 % en comptent plus de 1 000 non corrigées.

Le délai médian pour corriger la moitié des vulnérabilités exposées sur Internet est d’environ 361 jours. Les chiffres sectoriels sont pires : les services publics affichent une moyenne de 270 jours, la santé 519 jours et l’éducation 577 jours. Or l’exploitation survient souvent dans les zéro à cinq jours suivant la divulgation.

La menace zero-day s’accélère. L’exploitation zero-day a augmenté de 46 % au premier semestre 2025, et 32,1 % des CVE nouvellement exploitées ont été exploitées le jour même de leur divulgation publique ou avant. Les attaquants transforment les vulnérabilités en armes plus vite que les défenseurs ne peuvent les corriger, créant un désavantage structurel qu’aucune vitesse de correction ne peut totalement surmonter.

Les groupes de ransomware, moteurs du KEV

L’intersection entre les vulnérabilités répertoriées dans le KEV et les ransomwares est significative. Sur les 1 484 entrées du catalogue, 304 vulnérabilités (20,5 %) ont été exploitées par des groupes de ransomware. Le CISA a spécifiquement signalé 24 des 245 vulnérabilités ajoutées en 2025 comme ayant une exploitation confirmée par des ransomwares.

Ce lien entre le catalogue KEV et les campagnes de ransomware renforce la valeur du catalogue en tant qu’outil défensif. Lorsqu’une vulnérabilité apparaît sur la liste KEV, il ne s’agit pas d’un risque théorique. C’est une arme confirmée en usage actif, souvent par des organisations criminelles motivées financièrement disposant des ressources et de la motivation pour l’exploiter à grande échelle.

Pour les organisations évaluant leur stratégie de priorisation des correctifs, le catalogue KEV fournit une réponse claire : si le CISA dit qu’elle est exploitée, traitez-la comme un incident en cours plutôt qu’une vulnérabilité à planifier pour la prochaine fenêtre de maintenance.

Ce que le catalogue ne peut pas résoudre

Le catalogue KEV excelle à répondre à la question « quoi corriger en premier », mais ne peut pas résoudre les défis structurels de la gestion des vulnérabilités. De nombreuses organisations manquent du personnel, des outils ou des processus de gestion du changement nécessaires pour corriger les systèmes critiques en deux semaines, sans parler de 48 heures. Les systèmes hérités exécutant des logiciels en fin de vie ne peuvent pas être corrigés du tout.

Le catalogue ne traite également que les vulnérabilités connues et divulguées. L’augmentation de 46 % de l’exploitation zero-day signifie qu’une part croissante des attaques exploitent des vulnérabilités qui n’ont ni CVE, ni correctif, ni entrée KEV au moment de l’attaque. Le catalogue est une composante nécessaire de la gestion moderne des vulnérabilités, mais il ne suffit pas à lui seul.

Ce que le catalogue KEV a accompli est plus fondamental : il a fait passer la conversation de « quelle pourrait être la gravité en théorie » à « cette faille est-elle exploitée en ce moment ». Ce recadrage, aussi simple qu’il paraisse, a rendu la gestion des vulnérabilités plus rationnelle, plus urgente et plus efficace pour toute organisation disposée à écouter.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn
Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Publicité

Questions Fréquemment Posées

Qu’est-ce que le catalogue KEV du CISA et qui doit le suivre ?

Le catalogue des vulnérabilités exploitées connues (KEV) est une liste maintenue publiquement de vulnérabilités logicielles confirmées comme étant sous exploitation active. En vertu de la directive opérationnelle contraignante 22-01, les agences civiles fédérales américaines doivent corriger les vulnérabilités répertoriées dans le KEV dans un délai de 14 jours. Bien que les organisations privées n’aient aucune obligation légale, beaucoup adoptent volontairement la priorisation KEV car elle concentre les correctifs sur les menaces confirmées plutôt que sur les scores de risque théoriques.

À quelle vitesse les attaquants exploitent-ils les nouvelles vulnérabilités par rapport aux correctifs des défenseurs ?

L’écart est sévère. Au premier semestre 2025, 32,1 % des CVE nouvellement exploitées ont été transformées en armes le jour même de leur divulgation publique ou avant, et l’exploitation zero-day a bondi de 46 %. Pendant ce temps, le délai médian pour que les organisations corrigent la moitié de leurs vulnérabilités exposées sur Internet est de 361 jours, avec une moyenne de 519 jours pour la santé et 577 jours pour l’éducation. Cela crée un avantage structurel pour les attaquants.

Comment les organisations hors des États-Unis peuvent-elles bénéficier du catalogue KEV du CISA ?

Le catalogue est librement accessible sur cisa.gov et s’applique à tous les logiciels, pas uniquement aux systèmes spécifiques aux États-Unis. Toute organisation peut intégrer le statut KEV dans son scanner de vulnérabilités pour escalader automatiquement les vulnérabilités confirmées comme exploitées. Les organisations utilisant la priorisation basée sur le KEV remédient aux vulnérabilités signalées 3,5 fois plus vite que celles utilisant uniquement le score CVSS traditionnel, ce qui en fait l’amélioration la plus rentable disponible pour toute équipe de sécurité.

Sources et lectures complémentaires