L'agence fédérale de cybersécurité a créé une nouvelle voie pour que les personnes extérieures au gouvernement américain puissent signaler les vulnérabilités à son catalogue de bugs qui ont été exploités. ### Simplification du signalement des vulnérabilités La **CISA** a annoncé jeudi la création d'un formulaire de nomination qui, selon elle, permet aux « chercheurs, fournisseurs et partenaires industriels » de signaler les bugs qui doivent être ajoutés au catalogue des **vulnérabilités exploitées connues (KEV)** — un outil clé devenu une ressource essentielle pour la communauté de la cybersécurité. « Chaque jour, la **CISA** collabore avec des chercheurs en sécurité et des partenaires industriels qui identifient et signalent les vulnérabilités exploitées. Cette nouvelle capacité de signalement améliore la capacité de la **CISA** à identifier, valider et partager rapidement des informations critiques sur les menaces », a déclaré Chris Butera, directeur exécutif adjoint par intérim de la cybersécurité à la **CISA**. « La détection précoce et la divulgation coordonnée des vulnérabilités font partie des outils les plus puissants dont nous disposons pour réduire les risques à grande échelle. La **CISA** encourage vivement les chercheurs et les organisations à partager les menaces liées aux vulnérabilités et à nous aider à sécuriser les systèmes sur lesquels les Américains comptent chaque jour. » Les experts peuvent désormais soumettre des vulnérabilités via un [formulaire de nomination](https://cisasurvey.gov1.qualtrics.com/jfe/form/SV_1Zwu52kgK2OYf3w) ou par e-mail et doivent fournir des informations sur le bug ainsi que des preuves de son exploitation. ### L'importance du catalogue KEV Le catalogue, connu familièrement sous le nom de KEV, est destiné à fournir aux défenseurs de la cybersécurité au sein du gouvernement fédéral une liste faisant autorité des vulnérabilités logicielles et matérielles qui doivent être corrigées dans un délai déterminé — généralement trois semaines. Il a permis aux défenseurs de se concentrer sur la remédiation des vulnérabilités qui sont activement exploitées par des pirates et des acteurs étatiques. L'agence a déclaré que le signalement des bugs à la **CISA** est « essentiel à la posture de cybersécurité de la nation, contribuant à garantir que les vulnérabilités exploitées sont découvertes tôt, communiquées de manière responsable et atténuées rapidement sur les réseaux fédéraux, privés et d'infrastructures critiques. » Robert Costello, qui a été directeur des systèmes d'information de la **CISA** pendant près de cinq ans avant de partir en mars, a déclaré que le nouveau formulaire de soumission est un moyen pour l'agence d'opérationnaliser son partenariat avec la communauté de recherche en cybersécurité de manière très pratique. « La mise en commun des renseignements sur l'exploitation via un processus de nomination standardisé signifie des ajouts plus rapides au KEV et, finalement, une action défensive plus rapide dans tout l'écosystème », a-t-il déclaré. « C'est le bon mouvement au bon moment, car l'IA accélère à la fois la découverte et l'exploitation des vulnérabilités à un rythme qui rend la divulgation précoce et coordonnée plus critique que jamais. » ### Impact et considérations futures Depuis que le catalogue a grandi [depuis ses débuts en 2021](https://therecord.media/cisa-known-exploited-vulnerability-catalog-passes-1000), les défenseurs de la cybersécurité en dehors du gouvernement fédéral l'ont adopté comme point de référence pour savoir quels bugs sont ciblés. Les experts ont constaté que les organisations corrigent les vulnérabilités ajoutées au KEV [3,5 fois plus rapidement que les bugs non-KEV](https://therecord.media/kev-list-vulnerabilities-patched-significantly-faster). Il est devenu encore plus critique alors que les défenseurs cherchent à gérer un déluge croissant de vulnérabilités découvertes par l'IA — dont beaucoup sont insignifiantes et peu susceptibles d'être exploitées. Mayuresh Dani de **Qualys** a déclaré que la **CISA** acceptait auparavant les soumissions par e-mail, mais a noté qu'il n'y avait aucun rapport externe sur le nombre de vulnérabilités ajoutées au KEV sur la base des soumissions à cette adresse e-mail. Le nouveau formulaire oblige les soumissionnaires à ajouter des informations critiques et détaillées. « Espérons que cette fonctionnalité fournira désormais une visibilité sur ce qui se passe exactement après la soumission », a déclaré Dani à Recorded Future News. « Il faut voir comment ces informations sont vérifiées par la **CISA** et quelles garde-fous contre les signalements incorrects et faux sont mis en place par la **CISA** afin que seules les observations d'exploitation réelles et validées parviennent à la liste KEV. » Dani a ajouté que la **CISA** pourrait essayer de rattraper son retard car des alternatives commerciales au KEV sont disponibles et certains le considèrent maintenant comme un indicateur tardif de l'exploitation des vulnérabilités. Alors que presque tous les bugs initialement ajoutés au KEV avaient un délai de correction de trois semaines, le nombre de vulnérabilités auxquelles on a donné [même des délais de correction de 24 heures](https://therecord.media/cisa-orders-agencies-patch-citrix-bleed-2) a augmenté au cours de la dernière année. Au début du mois, Reuters [a rapporté](https://www.reuters.com/legal/litigation/us-officials-weigh-cutting-deadlines-fix-digital-flaws-amid-worries-over-ai-2026-05-01/) que le directeur par intérim de la **CISA**, Nick Anderson, et le directeur national américain de la cybersécurité, Sean Cairncross, avaient évoqué la possibilité de limiter le délai du KEV pour tous les nouveaux bugs à seulement trois jours, par crainte que les pirates n'utilisent désormais des systèmes d'IA puissants et émergents pour développer des exploits pour les vulnérabilités en un temps plus court. Les experts ont déclaré que le nouvel effort de coordination avec le secteur privé était conçu pour accélérer les efforts de défense, la divulgation des vulnérabilités et le suivi de l'exploitation. « Des améliorations comme celle-ci peuvent aider à renforcer la qualité du signal et la ponctualité du KEV, ce qui profite en fin de compte aux défenseurs qui essaient de prioriser le risque réel par rapport à la gravité théorique », a déclaré Chris Doyle de **JupiterOne**.