📋 Contexte

Le 10 juin 2026, la Cybersecurity and Infrastructure Security Agency (CISA) a publié la Binding Operational Directive 26-04 (BOD 26-04) intitulée Prioritizing Security Updates Based on Risk. Cette directive est contraignante pour l’ensemble des agences fédérales civiles américaines (Federal Civilian Executive Branch — FCEB). Elle est publiée sur le site officiel cisa.gov.

🎯 Objectif et portée

La directive vise à moderniser la gestion des vulnérabilités au sein du gouvernement fédéral américain en priorisant la remédiation selon le niveau de risque réel plutôt qu’en traitant toutes les vulnérabilités de manière uniforme. Elle s’applique à tous les systèmes d’information fédéraux (Federal Information Systems), y compris ceux hébergés dans des environnements tiers (FedRAMP, cloud).

Elle révoque et remplace deux directives précédentes :

  • BOD 19-02 : Vulnerability Remediation Requirements for Internet-Accessible Systems (2019)
  • BOD 22-01 : Reducing the Significant Risk of Known Exploited Vulnerabilities (2021)

🔑 Critères de priorisation

La remédiation est déterminée selon quatre variables :

  1. Exposition de l’actif : l’actif vulnérable est-il exposé publiquement ?
  2. Statut KEV : la vulnérabilité figure-t-elle dans le catalogue Known Exploited Vulnerabilities (KEV) de la CISA ?
  3. Automatisation de l’exploit : l’adversaire peut-il automatiser toutes les étapes d’exploitation ?
  4. Impact technique : l’adversaire obtient-il un contrôle partiel ou total de l’actif après exploitation ?

📅 Actions requises (phases)

  • Phase I (immédiat) : Mise à jour des politiques de gestion des vulnérabilités, surveillance du catalogue KEV, automatisation du reporting via le tableau de bord CDM, maintien du scan Cyber Hygiene.
  • Phase II (60 jours) : Mise à jour des procédures pour intégrer la base CVE et le catalogue KEV.
  • Phase III (180 jours) : Remédiation selon les délais définis dans le Tableau 1, identification et étiquetage continus des actifs exposés, reporting complet dans le CDM Federal Dashboard.

⏱️ Délais de remédiation (Table 1)

Les délais sont dynamiques et basés sur la combinaison des quatre critères. Le délai le plus court est 3 jours (avec triage forensique obligatoire) pour les vulnérabilités KEV, exposées publiquement, automatisables et à impact total. Les cas de moindre risque peuvent être différés jusqu’à la prochaine mise à niveau majeure planifiée.

🏛️ Alignement réglementaire

La directive s’aligne sur :

  • OMB Circular A-130
  • FISMA 2014
  • Executive Order on AI Innovation and Security
  • Cyber Strategy for America
  • Méthodologie SSVC (Stakeholder-Specific Vulnerability Categorization)

📌 Type d’article

Il s’agit d’une cyberlégislation / directive réglementaire contraignante publiée par la CISA, dont le but principal est d’imposer aux agences fédérales civiles américaines un cadre structuré et priorisé de gestion des vulnérabilités basé sur le risque réel.

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1203 — Exploitation for Client Execution (Execution)

🟡 Indice de vérification factuelle : 53/100 (moyenne)

  • ✅ cisa.gov — source reconnue (liste interne) (20pts)
  • ✅ 23101 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 2 TTP(s) MITRE (8pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.cisa.gov/news-events/directives/bod-26-04-prioritizing-security-updates-based-risk