Qu'est-ce que le KEV de la CISA ?

Les hackers sont toujours à l'affût, prêts à attaquer. La Cybersecurity & Infrastructure Security Agency (CISA) existe justement pour contrer ces menaces. Au cœur de la CISA se trouve la base de données des vulnérabilités exploitées connues (Known Exploited Vulnerabilities ou KEV), qui répertorie les points faibles des logiciels exposés.

C'est un sujet d'une importance cruciale qui, en tant que tel, relève de la compétence du Département américain de la sécurité intérieure. Cependant, parce que le catalogue est accessible au public, il n'y a pas de raison qu'il ne soit pas aussi utilisé par d'autres personnes qui se soucient de la cybersécurité.

Identifier les vulnérabilités et appliquer des mesures de protection  

Le catalogue KEV de la CISA est une base de données des failles de sécurité qui existent dans les applications logicielles et des points faibles qui ont été exposés et exploités par les pirates. Ce catalogue en ligne est accessible au public ici.

Le catalogue peut également être utilisé par les entreprises concernées et même par des particuliers voulant faire preuve de prudence. Les vulnérabilités sont répertoriées par fournisseur, par produit et par date. Une description de la faille est fournie, ainsi que les actions que les utilisateurs peuvent mettre en place pour la combler. Le catalogue complet fait 90 pages, mais une fonction de recherche permet de trouver plus facilement un programme exploité. À partir de là, les mises à jour logicielles et les correctifs peuvent être appliqués dès leur publication, jusqu'à ce que la vulnérabilité soit corrigée.

Évidemment, ce serait mieux si les logiciels ne comportaient pas de défauts exploitables dès le départ. Cependant, en réalité, les logiciels sont conçus à partir de morceaux de code complexes, qui sont donc sujets à des problèmes de sécurité. Les hackers, y compris ceux qui travaillent pour d'autres gouvernements, sont toujours à l'affût de telles faiblesses.

Comment la CISA optimise-t-elle le catalogue KEV ?

Le KEV de la CISA est essentiellement un inventaire sous forme de tableau, des failles logicielles répertoriées par fournisseur. Ces failles ont déjà été exploitées par des cyberattaquants. Pour tirer parti de cette ressource, vous pouvez par exemple scanner la liste à la recherche d'un package logiciel spécifique, mais ce n'est pas le moyen le plus efficace d'utiliser une ressource aussi précieuse.

Pour optimiser la fonction de l'application de manière plus systématique, les informations sont également disponibles aux formats CSV et JSON, que vous pouvez télécharger en quelques secondes et ajouter à une base de données informatique.

Une volonté de rendre la CISA et le KEV plus imperméables encore

Plusieurs points sont devenus clairs à la lecture de la mission de la CISA. L'agence de cyberdéfense est fortement investie dans la protection des données gouvernementales américaines. Elle protège les informations de la même manière que les forces armées américaines protègent la nation. Deuxièmement, le KEV est une liste fiable. Malgré tout, le programme comporte quelques faiblesses.

Par exemple, les cyberattaquants qui ciblent des gouvernements ne sont pas les mêmes qui menacent les entreprises ordinaires. Ils viennent plutôt d'autres pays, de pays qui aimeraient interférer avec le fonctionnement normal du gouvernement américain. C'est un risque que l'on ne peut laisser passer. D'autre part, le catalogue KEV, bien que fiable, n'est pas complet. Il donne la priorité aux menaces logicielles les plus graves, ce qui est vrai, mais il y a encore du travail à faire.

L'ajout d'un tableau de bord de données issues du KEV et de la CISA comme couche secondaire de protection des données ne peut être que bénéfique. Cependant, cette couche supplémentaire de protection ne remplace pas la mise en place de mesures de cybersécurité centralisées. Le tableau de bord renforce le catalogue déjà disponible publiquement en ajoutant de nouveaux champs à la base de données. Il s'agit notamment des données telles que les indicateurs de tendance des attaques et des scores de sécurité. Les vulnérabilités à haut risque peuvent ensuite être traitées rapidement et corrigées au fur et à mesure que des mises à jour logicielles deviennent disponibles.

Bien que loin d'être parfait, le catalogue KEV de la CISA est une source fiable sur les vulnérabilités logicielles exploitées. Peut-être tout aussi important, le catalogue est une ressource fournie par le gouvernement américain, mais il a été rendu public afin que d'autres organisations et entreprises puissent profiter de ces connaissances sur la cybersécurité.