Une nouvelle directive CISA amène les agences fédérales au-delà des scores de gravité et vers un modèle de correctifs basé sur les risques qui donne la priorité à l’exploitation réelle, à l’exposition des actifs et à l’impact des attaquants – un cadre que de nombreux responsables de la sécurité considèrent comme l’avenir de la gestion des vulnérabilités.
Les pratiques d’application des correctifs des équipes de sécurité ont été soumises à une pression intense au cours de l’année écoulée, à mesure que l’exploitation active augmente, que les délais d’exploitation s’accélèrent et que les vulnérabilités sont devenues le principal vecteur d’accès initial des attaquants.
L’année dernière, les organisations n’ont entièrement corrigé que 26 % des vulnérabilités que les attaquants exploitaient activement dans la nature, contre 38 % l’année précédente, selon le rapport 2026 d’enquête sur les violations de données de Verizon. Le délai médian pour combler ces failles dangereuses connues s’étendait à 43 jours, tandis que les attaquants ont réduit leur côté de l’équation à quelques jours, parfois quelques heures.
C’est dans ce contexte que l’Agence américaine de cybersécurité et de sécurité des infrastructures a publié la directive opérationnelle contraignante 26-04. Cette directive reflète une reconnaissance croissante du fait que les correctifs basés principalement sur les scores de gravité ne suffisent plus dans un environnement piloté par l’IA, où les défenseurs sont confrontés à plus de vulnérabilités qu’ils ne peuvent raisonnablement y remédier à la fois.
Lors d’un point de presse annonçant la directive, Chris Butera, directeur adjoint exécutif par intérim pour la cybersécurité à la CISA, a décrit l’initiative comme le point culminant de plus d’une décennie de leçons tirées des programmes fédéraux de gestion des vulnérabilités, de l’activité adverse et de la compréhension croissante de l’agence de l’impact de l’IA sur les cyber-opérations.
« Donner la priorité aux opérations informatiques et de sécurité sur les actifs les plus à risque est désormais particulièrement important compte tenu des progrès de l’intelligence artificielle, qui permettent aux acteurs malveillants de trouver et d’exploiter les vulnérabilités de ces actifs », a déclaré Butera. « Les défenseurs ne peuvent pas se permettre de mettre des semaines à mettre à jour des systèmes qui peuvent être exploités en masse et de manière autonome. »
Dans un article de blog complémentaire, Butera et Jonathan Spring, conseiller technique principal de la CISA, affirment que les défenseurs ont du mal à suivre le rythme d’un volume de vulnérabilités en croissance rapide. L’IA aide les chercheurs et les adversaires à identifier les failles des logiciels, augmentant ainsi considérablement le rythme de découverte de nouvelles vulnérabilités et obligeant les organisations à repenser la manière dont elles priorisent les efforts de remédiation.
Butera et Spring affirment que les défenseurs ont besoin de plus de clarté et de rapidité pour décider quoi corriger. Leur prescription : patcher plus intelligemment, pas plus dur.
Au-delà du CVSS : pourquoi les scores de gravité ne suffisent plus
La directive s’appuie sur le programme Known Exploited Vulnerabilities de CISA, qui identifie déjà les vulnérabilités activement exploitées par les attaquants. Mais le BOD 26-04 va plus loin en introduisant un cadre de décision qui prend en compte quatre facteurs clés : si le système vulnérable est exposé publiquement à Internet, si la vulnérabilité est répertoriée dans le catalogue KEV, si un attaquant peut automatiser l’exploitation et quel degré de contrôle un attaquant obtiendrait après l’exploitation.
Au cours du briefing, Butera a déclaré que ces quatre caractéristiques – exposition publique, exploitation connue, automatisation des exploits et impact post-exploitation – représentent les conditions les plus étroitement associées à un risque significatif pour les systèmes fédéraux. Les vulnérabilités présentant au moins trois de ces attributs doivent être corrigées dans un délai de trois jours, tandis que les vulnérabilités à faible risque peuvent être corrigées dans des délais plus longs ou, dans certains cas, reportées jusqu’à la prochaine mise à niveau majeure du système.
Ce changement reflète un changement plus large dans la façon dont les praticiens de la sécurité envisagent la gestion des vulnérabilités. Pendant des années, les organisations se sont largement appuyées sur des scores de gravité tels que CVSS pour déterminer les priorités en matière de correctifs. Mais ces scores ne permettent souvent pas de prédire si les attaquants exploiteront réellement une faille.
Le fardeau opérationnel de l’évaluation continue des risques
Le changement opérationnel le plus notable est peut-être le fait que les délais de remédiation deviennent dynamiques. Le temps de réponse requis pour une vulnérabilité peut changer en fonction de l’évolution des circonstances, les vulnérabilités Internet et activement exploitées recevant la plus haute priorité.
Lors du briefing, Butera a déclaré que cette flexibilité est l’un des plus grands atouts de la directive. Dans une analyse d’une agence civile fédérale, la CISA a constaté que seulement 1 % environ des instances de vulnérabilité nécessitaient une correction dans les trois jours, tandis que plus de 60 % pouvaient être reportées jusqu’à la prochaine mise à jour du système.
Cette découverte met en évidence l’argument central de l’agence : la gestion des vulnérabilités est devenue un problème de priorisation autant qu’un problème de correctifs.
« Nous pensons vraiment que nous devrions pouvoir libérer du temps pour corriger plus rapidement les vulnérabilités les plus urgentes tout en permettant des cycles de correctifs plus réguliers pour certaines des vulnérabilités à faible risque », a déclaré Butera.
Plutôt que d’obliger les agences à consacrer des ressources pour remédier à des milliers de vulnérabilités d’importance variable, le cadre concentre l’attention sur le petit sous-ensemble de failles les plus susceptibles d’aboutir à une compromission.
Ce que la directive apporte de bon – et ce qu’elle laisse de côté
Romanosky note cependant que le traitement de l’impact par la directive est relativement étroit, se concentrant largement sur la question de savoir si l’exploitation accorde à un attaquant un contrôle partiel ou complet d’un système.
« Qu’en est-il des impacts sur l’intégrité qui modifient les données ou refusent complètement l’accès à un système, comme une attaque DDoS sur DNS ou l’effacement d’une base de données ? » dit-il. « Ces impacts semblent également importants. »
Il reconnaît néanmoins que si les décideurs politiques doivent simplifier les décisions en matière de risques au sein du gouvernement fédéral, donner la priorité aux vulnérabilités qui permettent aux adversaires de contrôler les systèmes est un point de départ raisonnable.
La directive met également l’accent sur les systèmes connectés à Internet, ce qui pourrait soulever des questions sur les risques plus profonds au sein des réseaux d’entreprise. Butera et Spring abordent ce point directement dans leur article de blog, affirmant que la CISA n’observe généralement pas les acteurs malveillants compromettant les réseaux centraux uniquement par le biais de vulnérabilités logicielles. Au lieu de cela, les attaquants s’appuient souvent sur des informations d’identification valides, des erreurs de configuration et d’autres techniques de « vivre de la terre ».
Le KEV est utile, mais est-ce suffisant ?
Les professionnels de la cybersécurité extérieurs au gouvernement devraient y prêter une attention particulière, car la gestion fédérale des vulnérabilités préfigure souvent des pratiques industrielles plus larges. La directive formalise des idées que de nombreux responsables de la sécurité préconisent depuis des années : les scores CVSS à eux seuls sont insuffisants ; le contexte des actifs est important ; l’exposition à Internet est importante ; l’exploitation active compte le plus.
Michael Roytman, co-fondateur et CTO d’Empirical Security, considère la directive comme une étape importante dans cette évolution.
Mais il soutient également que le fait que le cadre s’appuie sur le catalogue KEV met en évidence l’une de ses limites.
« Les listes KEV sont binaires et rétroactives », explique Roytman. « Lorsque l’IA réduit à quelques heures l’intervalle entre le correctif et l’exploit, attendre l’entrée KEV signifie que vous découvrez que vous vous êtes trompé à partir du rapport d’incident. »
Romanosky soulève une préoccupation similaire, décrivant le KEV comme une source d’informations précieuse mais intrinsèquement rétrospective. « KEV est un excellent programme pour le DHS et le public, mais il constitue, au mieux, une preuve d’une exploitation passée », dit-il.
Les deux experts ont suggéré que les signaux prédictifs méritent un rôle plus important dans les futurs efforts de priorisation des vulnérabilités. Romanosky cite spécifiquement l’Exploit Prediction Scoring System (EPSS), qui estime la probabilité qu’une vulnérabilité soit exploitée à l’avenir.
« Le problème, bien sûr, est que les vulnérabilités vieillissent, et donc ce qui a pu être exploité l’année dernière ou le mois dernier pourrait ne plus être utilisé activement aujourd’hui », explique Romanosky. « L’EPSS fournirait donc un meilleur signal. »
Roytman pousse l’argument un peu plus loin. S’appuyant sur des recherches menées aux côtés de l’équipe DBIR de Verizon, il a déclaré que la récence est extrêmement importante lors de l’évaluation du risque d’exploitation.
Selon Roytman, 82 % des entrées KEV impliquent des vulnérabilités dont l’exploitation a été signalée pour la première fois il y a plus d’un an. « Douze mois d’inactivité signifie que le risque d’exploitation passe de 99 % le premier jour à 5 % », dit-il.
Il affirme également que le KEV ne reflète qu’une fraction de l’activité d’exploitation observée. « La liste KEV ne couvre qu’environ 8 % de l’exploitation observée », a déclaré Roytman. « Nous suivons 17 800 CVE, contre 1 600 pour CISA. »
Comment l’IA pourrait forcer à repenser la gestion des vulnérabilités
Butera et Spring affirment que l’intelligence artificielle accélère déjà la découverte de vulnérabilités et augmente la pression sur les défenseurs. BOD 26-04 est destiné à aider les agences à automatiser et à faire évoluer la gestion des vulnérabilités tout en concentrant les ressources rares sur les risques les plus importants.
Mais le cadre à quatre facteurs de la directive a été construit sur le paysage des vulnérabilités tel qu’il existe aujourd’hui – et l’IA peut rendre ce paysage méconnaissable relativement rapidement.
Romanosky souligne une lacune structurelle dans le modèle actuel : comme le cadre s’appuie fortement sur les identifiants CVE, les défenseurs peuvent rencontrer des failles nouvellement découvertes qui nécessitent une attention urgente avant d’être formellement cataloguées. « À mesure que de plus en plus de vulnérabilités sont découvertes plus rapidement grâce aux outils d’IA, nous pourrions nous attendre à tout un ensemble de nouvelles vulnérabilités qui n’ont pas encore reçu d’identifiant CVE et qui doivent être corrigées très rapidement », dit-il.
Ce n’est pas une préoccupation hypothétique. Le processus d’attribution CVE – géré par MITRE et un réseau d’autorités de numérotation – a été conçu pour une cadence de découverte plus lente. Cela peut prendre des jours, voire des semaines, pour qu’une vulnérabilité reçoive un identifiant, passe par une analyse NVD et apparaisse dans les outils que les praticiens utilisent réellement. Si l’IA réduit à quelques heures le délai entre la découverte et l’exploitation, ce pipeline devient un handicap.
Roytman considère le modèle à quatre facteurs de la directive comme un point de départ plutôt que comme un point final – un modèle calibré en fonction du risque fédéral moyen plutôt que des conditions spécifiques de chaque organisation individuelle. « Le risque indiqué dans le tableau de la CISA est le risque moyen au sein de l’entreprise fédérale », a-t-il déclaré. « Le risque dans un environnement d’entreprise est un chiffre différent qui dépend des contrôles, de la télémétrie, de la prévalence et, finalement, d’un modèle local spécifique à cette entreprise. »
Romanosky reconnaît qu’une autre révision pourrait être inévitable. « Je pourrais m’attendre à ce qu’un autre BOD révisé – ou une autre directive – prenne en compte ce qui pourrait être un nouveau flux continu de vulnérabilités », dit-il.
En ce sens, le BOD 26-04 est peut-être moins une destination qu’un point de passage : la meilleure réponse actuelle du gouvernement fédéral à un problème que l’IA ne manquera pas de rendre plus difficile.
