CISA tells govt agencies to patch critical exploited flaws in 3 days

1 minute de lecture

Mis à jour : June 11, 2026

Directive CISA 26-04 : Accélération des délais de correction pour les agences fédérales

La CISA a émis la directive opérationnelle contraignante BOD 26-04, imposant aux agences fédérales civiles (FCEB) une gestion plus stricte et rapide des vulnérabilités critiques. Cette mesure vise à limiter l’exposition aux cyberattaques à grande échelle en imposant des délais de remédiation draconiens.

Points clés :

Réduction des délais : Les vulnérabilités les plus critiques doivent être corrigées sous 3 jours. Les failles moins urgentes disposent d’un délai de deux semaines.
Critères de priorisation : La sévérité est déterminée par l’exposition publique des actifs, la présence dans le catalogue KEV (Known Exploited Vulnerabilities) de la CISA, la possibilité d’automatisation de l’attaque et le niveau de contrôle (partiel ou total) accordé à l’attaquant.
Périmètre : La directive couvre les systèmes sur site, les services tiers et les environnements cloud (FedRAMP ou non). Les systèmes militaires, de renseignement et les contractants privés sont exclus.
Calendrier de mise en œuvre : Les agences disposent de 60 jours pour mettre à jour leurs politiques de gestion des vulnérabilités et de 180 jours pour se conformer pleinement aux nouveaux délais et exigences de reporting.

Vulnérabilités :

L’article ne mentionne pas de CVE spécifiques, mais impose une dépendance stricte au catalogue KEV (Known Exploited Vulnerabilities) de la CISA pour identifier les failles prioritaires nécessitant une action immédiate.

Recommandations pour les agences :

Mise à jour des politiques : Ajuster les processus de gestion des vulnérabilités pour intégrer les données CVE et KEV comme base décisionnelle.
Inventaire des actifs : Maintenir et actualiser en continu l’inventaire des actifs et les métadonnées associées.
Automatisation : Automatiser le reporting du statut de conformité vis-à-vis du catalogue KEV.
Surveillance : Assurer un monitoring continu des systèmes pour répondre aux exigences de reporting sous 180 jours.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CISA tells govt agencies to patch critical exploited flaws in 3 days

Directive CISA 26-04 : Accélération des délais de correction pour les agences fédérales

Partager sur

Vous pourriez aimer

Ukrainian national pleads guilty to role in Conti ransomware operation

Condamnation d’un membre clé du groupe de ransomware Conti

ShinyHunters Exploits Oracle PeopleSoft Zero-Day (CVE-2026-35273) to Breach Universities

Exploitation massive de la vulnérabilité zero-day dans Oracle PeopleSoft par ShinyHunters

Rethinking MDR as Attackers and Defenders Embrace AI

L’Obsolescence du Modèle MDR face à l’ère de l’IA

phpBB forum fixes auth bypass bug lurking for a decade

Correction d’une faille critique d’authentification sur phpBB