7 minutes de lecture \u00b7 \u00c9dition du 23.04.2026<\/p>\n
Le 20 avril 2026, la CISA a ajout\u00e9 huit vuln\u00e9rabilit\u00e9s au catalogue des vuln\u00e9rabilit\u00e9s exploit\u00e9es connues (Known Exploited Vulnerabilities). Trois d’entre elles concernent le Cisco Catalyst SD-WAN Manager avec une date limite de correctif jusqu’au 23 avril. Les cinq autres vuln\u00e9rabilit\u00e9s dans PaperCut, JetBrains TeamCity, Kentico Xperience, Quest KACE SMA et Synacor Zimbra ont des d\u00e9lais f\u00e9d\u00e9raux jusqu’au 4 mai. Pour les \u00e9quipes de s\u00e9curit\u00e9 europ\u00e9ennes, cette mise \u00e0 jour est bien plus qu’une simple routine administrative am\u00e9ricaine. En 2026, les d\u00e9lais de la CISA deviendront de plus en plus une ligne de priorisation pour les CISO de la r\u00e9gion DACH, car le BSI n’\u00e9tablit pas de d\u00e9lais aussi stricts.<\/strong><\/p>\n Qu’est-ce que le catalogue CISA KEV ?<\/strong> Le catalogue KEV de l’agence am\u00e9ricaine Cybersecurity and Infrastructure Security Agency (CISA) est une liste curat\u00e9e de vuln\u00e9rabilit\u00e9s pour lesquelles une exploitation active est document\u00e9e. Les agences f\u00e9d\u00e9rales du Federal Civilian Executive Branch sont tenues de corriger les vuln\u00e9rabilit\u00e9s list\u00e9es dans un d\u00e9lai imparti. Le catalogue sert \u00e9galement de r\u00e9f\u00e9rence pour les \u00e9quipes de s\u00e9curit\u00e9 du monde entier, car son inclusion signifie qu’une vuln\u00e9rabilit\u00e9 n’est plus un risque th\u00e9orique, mais un vecteur d’attaque r\u00e9el.<\/p>\n La mise \u00e0 jour du 20 avril 2026 liste huit vuln\u00e9rabilit\u00e9s. La famille Cisco Catalyst SD-WAN Manager en concerne trois : CVE-2026-20122 (CVSS 5.4, appels API non s\u00e9curis\u00e9s), CVE-2026-20128 (CVSS 7.5, stockage de mots de passe sous une forme r\u00e9cup\u00e9rable) et CVE-2026-20133 (CVSS 6.5, informations sensibles). Ensemble, ces trois vuln\u00e9rabilit\u00e9s forment une cha\u00eene d’escalade qui devient critique dans les r\u00e9seaux de management non segment\u00e9s. CISA a fix\u00e9 pour ces vuln\u00e9rabilit\u00e9s la date limite plus courte du 23 avril 2026.<\/p>\n La deuxi\u00e8me classe inclut PaperCut NG\/MF (CVE-2023-27351, CVSS 8.2), JetBrains TeamCity (CVE-2024-27199), Kentico Xperience (CVE-2025-2749), Quest KACE SMA (CVE-2025-32975) et Synacor Zimbra Collaboration Suite (CVE-2025-48700). La combinaison de r\u00e9activations de vuln\u00e9rabilit\u00e9s plus anciennes et de bogues plus r\u00e9cents est notable. Nous traitons les probl\u00e8mes de PaperCut dans un article s\u00e9par\u00e9<\/a>. Synacor Zimbra a \u00e9galement la date limite du 23 avril, ce qui augmente l’urgence op\u00e9rationnelle pour les op\u00e9rateurs de plateformes de messagerie.<\/p>\n Trois observations marquent cette analyse. La premi\u00e8re concerne la composition du mix de fournisseurs. Le Cisco Catalyst SD-WAN Manager est largement utilis\u00e9 dans de nombreuses grandes entreprises de la r\u00e9gion DACH, notamment dans les r\u00e9seaux multi-sites avec des bureaux d\u00e9centralis\u00e9s. La Zimbra Collaboration Suite est pr\u00e9sente dans de nombreuses structures universitaires et administratives. PaperCut se trouve dans presque tous les environnements d’impression de taille moyenne. Si vous utilisez l’un de ces syst\u00e8mes, il est imp\u00e9ratif de v\u00e9rifier si les versions mentionn\u00e9es sont affect\u00e9es.<\/p>\n La deuxi\u00e8me observation concerne la relation avec les avis du BSI (Bundesamt f\u00fcr Sicherheit in der Informationstechnik). Au cours des derni\u00e8res semaines, le BSI a publi\u00e9 plusieurs avertissements pr\u00e9liminaires concernant des sujets li\u00e9s \u00e0 Cisco Catalyst, mais sans imposer de d\u00e9lais stricts pour les correctifs. Les responsables de la s\u00e9curit\u00e9 de l’information (CISOs) dans les banques, les assurances et les op\u00e9rateurs KRITIS (Kritische Infrastrukturen) utilisent de plus en plus les \u00e9ch\u00e9ances de la CISA (Cybersecurity and Infrastructure Security Agency) comme proxy de priorisation interne. Int\u00e9grer la deadline de la CISA dans la logique d’escalade interne pour des stacks similairement expos\u00e9s permet de gagner en rapidit\u00e9 sans surr\u00e9glementation.<\/p>\n La troisi\u00e8me observation concerne le mix du cycle de vie. Cette mise \u00e0 jour combine un bug de 2023 (PaperCut), un de 2024 (JetBrains), deux de 2025 (Kentico, Quest, Synacor) et trois de 2026 (Cisco). C’est la r\u00e9alit\u00e9 des mondes modernes des CVE (Common Vulnerabilities and Exposures) : les r\u00e9activations frappent parce que des syst\u00e8mes non patch\u00e9s restent en service. Le cas de PaperCut<\/a> est exemplaire. Sans une discipline SBOM (Software Bill of Materials) et des routines de patch syst\u00e9matiques, on court toujours apr\u00e8s chaque vague.<\/p>\n Deux semaines suffisent pour une r\u00e9action efficace si l’inventaire, la discipline de patching et la couche de d\u00e9tection fonctionnent en \u00e9troite collaboration. Les jalons suivants sont issus de discussions avec des responsables des op\u00e9rations de s\u00e9curit\u00e9 dans des banques et des conglom\u00e9rats industriels de taille moyenne.<\/p>\n Trois le\u00e7ons m\u00e9ritent d’\u00eatre retenues au-del\u00e0 de la mise \u00e0 jour individuelle. Premi\u00e8rement : la cadence des KEV (Known Exploited Vulnerabilities) s’intensifie. La CISA (Cybersecurity and Infrastructure Security Agency) publie des mises \u00e0 jour plus fr\u00e9quentes avec plus de failles par mise \u00e0 jour qu’en 2024. Les \u00e9quipes de s\u00e9curit\u00e9 doivent pr\u00e9voir un cr\u00e9neau hebdomadaire pour l’\u00e9valuation des KEV, plut\u00f4t qu’un traitement ad hoc. Ceux qui ne le font pas de mani\u00e8re syst\u00e9matique seront d\u00e9bord\u00e9s d\u00e8s le prochain trimestre.<\/p>\n Deuxi\u00e8mement : les investissements dans les SBOM (Software Bill of Materials) portent leurs fruits de mani\u00e8re mesurable. Ceux qui n’ont pas une liste compl\u00e8te des composants logiciels de leurs applications ne peuvent pas r\u00e9agir en quelques heures aux mises \u00e0 jour des KEV. En 2026, des fournisseurs comme Anchore, Snyk et Sysdig offrent des outils matures qui automatisent la g\u00e9n\u00e9ration des SBOM et la comparaison avec les KEV. L’investissement se situe g\u00e9n\u00e9ralement dans la fourchette basse \u00e0 moyenne de cinq chiffres par an et s’amortit d\u00e8s le premier incident s\u00e9rieux.<\/p>\n Troisi\u00e8mement : la consolidation des fournisseurs est aussi un levier de s\u00e9curit\u00e9. Ceux qui utilisent trois solutions de serveurs d’impression, quatre fournisseurs de SD-WAN et deux plateformes de messagerie en parall\u00e8le ont une complexit\u00e9 de patching qui g\u00e9n\u00e8re des frictions \u00e0 chaque vague de KEV. Une consolidation consciente r\u00e9duit non seulement les co\u00fbts de licence, mais aussi l’effort de patching. Cette discussion doit figurer dans la prochaine r\u00e9union de strat\u00e9gie IT, et non dans la routine de s\u00e9curit\u00e9.<\/p>\n Pour les CISOs et les conseils de surveillance, la mise \u00e0 jour implique une logique d’action concr\u00e8te. La ligne KEV devrait \u00eatre int\u00e9gr\u00e9e dans chaque rapport trimestriel au conseil d’administration en 2026. Le nombre de vuln\u00e9rabilit\u00e9s KEV ouvertes, le temps de patching par rapport au d\u00e9lai fix\u00e9 par la CISA et le statut de conformit\u00e9 par secteur r\u00e9glement\u00e9 sont trois indicateurs cl\u00e9s de performance robustes. La discussion sur ASP.NET Core concernant DORA et NIS2<\/a> a montr\u00e9 de mani\u00e8re exemplaire \u00e0 quel point le lien entre les CVE individuels et les obligations de reporting r\u00e9glementaires est devenu \u00e9troit. Ceux qui traduisent le mouvement KEV dans leurs briefings au conseil d’administration cr\u00e9ent de la clart\u00e9 au niveau de la direction.<\/p>\n Trois CVEs de Cisco Catalyst SD-WAN Manager (2026-20122, -20128, -20133), PaperCut NG\/MF CVE-2023-27351, JetBrains TeamCity CVE-2024-27199, Kentico Xperience CVE-2025-2749, Quest KACE SMA CVE-2025-32975 et Synacor Zimbra CVE-2025-48700. Les vuln\u00e9rabilit\u00e9s Cisco et Synacor ont une \u00e9ch\u00e9ance au 23 avril, les autres au 4 mai.<\/p>\n Pas directement. Les d\u00e9lais de la CISA sont obligatoires pour les agences f\u00e9d\u00e9rales am\u00e9ricaines relevant de l’Executive Branch civil f\u00e9d\u00e9ral. Pour les entreprises allemandes, ils constituent une recommandation de haute valeur r\u00e9f\u00e9rentielle. Les op\u00e9rateurs NIS2, les op\u00e9rateurs KRITIS et les entit\u00e9s r\u00e9gul\u00e9es par DORA les utilisent de plus en plus comme proxy d’escalade interne.<\/p>\n Le catalogue KEV documente exclusivement les vuln\u00e9rabilit\u00e9s activement exploit\u00e9es et fixe des d\u00e9lais de correction stricts pour les agences f\u00e9d\u00e9rales am\u00e9ricaines. Le BSI publie des avis avec une \u00e9valuation des risques plus large, sans dates de correction obligatoires pour le secteur priv\u00e9. Les deux syst\u00e8mes se compl\u00e8tent, le catalogue KEV \u00e9tant op\u00e9rationnellement plus strict.<\/p>\n Au moins hebdomadaire, id\u00e9alement avec une notification automatis\u00e9e via RSS ou API. En cas de mises \u00e0 jour critiques comme celle du 20 avril, il est utile d’avoir une routine d’escalade qui int\u00e8gre la mise \u00e0 jour dans un triage interne dans les 24 heures.<\/p>\n Les outils classiques de gestion des vuln\u00e9rabilit\u00e9s comme Tenable, Qualys et Rapid7 int\u00e8grent nativement la comparaison KEV. Les alternatives open-source comme OpenVAS et Wazuh disposent de modules KEV. Ceux qui travaillent sur la base de SBOM utilisent Anchore, Snyk ou Grype. Le choix d\u00e9pend du paysage d’outils existant.<\/p>\n Les PME sans SOC 24×7 auront plus de difficult\u00e9s \u00e0 corriger les huit vuln\u00e9rabilit\u00e9s en 14 jours. Une priorisation selon l’exposition et la criticit\u00e9 pour l’entreprise est d’autant plus importante. Ceux qui ont un partenaire de s\u00e9curit\u00e9 g\u00e9r\u00e9 devraient explicitement convenir avec lui du chemin de r\u00e9action.<\/p>\n PaperCut NG\/MF : le bug de 2023 de retour dans le CISA KEV<\/a><\/p>\n ASP.NET Core CVE-2026-40372 : conformit\u00e9 DORA et NIS2<\/a><\/p>\n Cisco Catalyst SD-WAN Manager : trois CVE sous attaque<\/a><\/p>\n<\/div>\nPoints cl\u00e9s<\/h2>\n
\n
Ce qui est inclus dans la mise \u00e0 jour<\/h2>\n
Pourquoi cette mise \u00e0 jour est pertinente pour les \u00e9quipes de s\u00e9curit\u00e9 DACH<\/h2>\n
Ce que les \u00e9quipes de s\u00e9curit\u00e9 doivent faire dans les 14 prochains jours<\/h3>\n
\n
Ce qui ne fonctionne pas<\/h3>\n
\n
Un plan de r\u00e9action de 14 jours pour les op\u00e9rations de s\u00e9curit\u00e9 dans les pays DACH<\/h2>\n
Ce que les vagues KEV nous apprennent structurellement pour 2026<\/h2>\n
Questions fr\u00e9quentes<\/h2>\n
Quelles sont les huit vuln\u00e9rabilit\u00e9s sp\u00e9cifiquement incluses dans la mise \u00e0 jour du 20 avril ?<\/h3>\n
Les d\u00e9lais de la CISA sont-ils \u00e9galement contraignants pour les entreprises allemandes ?<\/h3>\n
Quelle est la diff\u00e9rence entre le catalogue KEV et le syst\u00e8me d’avis du BSI ?<\/h3>\n
\u00c0 quelle fr\u00e9quence une \u00e9quipe de s\u00e9curit\u00e9 devrait-elle v\u00e9rifier les mises \u00e0 jour KEV ?<\/h3>\n
Quels outils sont adapt\u00e9s pour le monitoring KEV ?<\/h3>\n
Que signifie cette vague pour les op\u00e9rations de s\u00e9curit\u00e9 des PME ?<\/h3>\n
S\u00e9lection de la r\u00e9daction<\/h2>\n