Qu'est-ce que l'OPSEC ? Tout savoir sur la sécurité opérationnelle

La sécurité opérationnelle (OPSEC) est un processus systématique en cinq étapes qui protège les informations sensibles en analysant les opérations du point de vue d'un adversaire. Elle identifie les données à protéger, évalue les menaces et les vulnérabilités potentielles, et met en œuvre des contre-mesures ciblées avant que les adversaires ne puissent exploiter les informations exposées.

Qu'est-ce que l'OPSEC (sécurité des opérations) ?

L'OPSEC (sécurité des opérations) est un processus systématique conçu pour identifier, analyser et protéger les informations critiques qu'un adversaire pourrait exploiter pour nuire aux opérations, au personnel ou aux objectifs stratégiques d'une organisation. Elle consiste à examiner les activités amies du point de vue d'un adversaire, en analysant les opérations comme le ferait un attaquant, afin d'identifier les vulnérabilités et de mettre en œuvre des contre-mesures visant à priver les adversaires des informations nécessaires à la planification et à l'exécution d'attaques.

Ce processus a vu le jour pendant la guerre du Vietnam, lorsque l'armée américaine a créé, en 1966, l'équipe « Purple Dragon » afin de déterminer pourquoi les forces ennemies parvenaient systématiquement à anticiper les opérations américaines. L'équipe a découvert que des informations en apparence anodines, une fois regroupées, révélaient des schémas opérationnels que les adversaires exploitaient sans avoir besoin d'accéder à des données classifiées. Cela a donné naissance à la méthodologie OPSEC en cinq étapes, qui reste aujourd'hui encore le fondement des pratiques modernes en matière de sécurité opérationnelle.

L'OPSEC moderne consiste à protéger toute information susceptible de procurer un avantage opérationnel à des adversaires : configurations techniques, processus métier, informations sur le personnel et plans stratégiques qui, ensemble, constituent la surface d'attaque d'une organisation.

Pourquoi l'OPSEC est-elle essentielle pour la sécurité des entreprises ?

Le coût des défaillances en matière de sécurité opérationnelle est quantifiable et ne cesse d'augmenter :

• Coût moyen mondial d'une violation de données : 4,44 millions de dollars (2025) ; entreprises américaines : 10,22 millions de dollars par incident
• Les organisations dotées de programmes OPSEC bien établis enregistrent 71 % d'incidents de sécurité en moins
• Les systèmes de défense basés sur l'IA réduisent la durée des incidents de sécurité de près de 80 jours
• Phishing 16 % de l'ensemble des violations de données, avec un coût moyen de 4,80 millions de dollars par incident

Contrairement aux mesures de sécurité réactives qui interviennent une fois les attaques en cours, l'OPSEC permet de prévenir aux pirates informatiques et cybercriminels recueillir les informations nécessaires pour lancer des attaques ciblées. Les organisations disposant de programmes OPSEC bien établis font état d'une meilleure conformité réglementaire, d'une réduction des primes d'assurance et d'une confiance accrue de la part des clients, parallèlement à une réduction directe des coûts.

L'émergence de l'IA fantôme a donné naissance à une nouvelle catégorie de vulnérabilités en matière de sécurité opérationnelle (OPSEC), abordée en détail dans la section ci-dessous consacrée aux défis de l'OPSEC liés à l'IA.

La sécurité opérationnelle dans le contexte des entreprises : bien que le concept d'OPSEC trouve son origine dans la doctrine militaire, la sécurité opérationnelle est devenue une discipline fondamentale pour les équipes de sécurité des entreprises. Elle englobe la protection des processus métier, des opérations de fusion-acquisition, des relations au sein de la chaîne d'approvisionnement et cloud contre les activités de reconnaissance menées par des acteurs malveillants.

Les 5 étapes de l'OPSEC

Le processus OPSEC en cinq étapes offre un cadre systématique permettant de protéger les informations critiques contre toute exploitation par des adversaires. Cette méthodologie éprouvée met en place un processus reproductible que les organisations peuvent adapter à leurs propres contextes de menaces et à leurs exigences opérationnelles.

Étape 1 - Identifier les informations critiques

Les organisations doivent déterminer quelles informations doivent être protégées en menant des audits approfondis de leurs données, de leurs systèmes et de leurs opérations. Les informations critiques ne se limitent pas aux cibles évidentes telles que la propriété intellectuelle et les données financières, mais englobent également les projets de fusion, les configurations d'infrastructure, les répertoires du personnel et les initiatives stratégiques que des adversaires pourraient exploiter.

Une identification efficace nécessite la contribution de toutes les parties prenantes au sein de l'organisation, car les informations critiques varient selon les services et les fonctions. Les équipes de sécurité doivent collaborer avec les unités opérationnelles pour répertorier les actifs informationnels, classer leur niveau de sensibilité et en comprendre l'importance opérationnelle, afin de garantir une couverture exhaustive tout en évitant une classification excessive qui affaiblirait les efforts de protection.

Les entreprises modernes doivent également tenir compte des traces numériques qui révèlent indirectement des informations critiques : points de terminaison API, enregistrements DNS, journaux de transparence des certificats et compartiments cloud qui exposent les structures organisationnelles et les technologies facilitant les attaques ciblées.

Étape 2 - Analyser les menaces

L'analyse des menaces permet d'identifier les adversaires potentiels, leurs capacités, leurs intentions et leurs méthodes d'action. Comprendre comment les adversaires progressent tout au long de la chaîne d'attaque cybernétique, depuis la collecte initiale de renseignements jusqu'à l'exploitation et l'exfiltration, aide les équipes de sécurité à déterminer quelles données nécessitent la protection OPSEC la plus stricte à chaque étape.

Chaque acteur malveillant recourt à des tactiques, techniques et procédures (TTP) différentes. Les acteurs étatiques disposent de capacités de menaces persistantes avancées et zero-day , tandis que les cybercriminels s'appuient sur des plateformes de ransomware-as-a-service et sur l'ingénierie sociale. Les menaces émanant de concurrents se concentrent sur le vol de propriété intellectuelle et la collecte de renseignements stratégiques, par le biais de méthodes de renseignement tant techniques qu'humaines.

Étape 3 - Analyser les vulnérabilités

L'analyse des vulnérabilités examine comment des adversaires pourraient obtenir des informations critiques en exploitant les failles des contrôles de sécurité, des processus ou des comportements humains ; elle consiste à se mettre à la place d'un attaquant pour identifier les failles exploitables que les évaluations de sécurité traditionnelles négligent.

Parmi les vulnérabilités courantes, on peut citer le partage excessif d'informations sur les réseaux sociaux, les schémas opérationnels prévisibles qui révèlent les horaires et les lieux, les canaux de communication non sécurisés et les contrôles d'accès insuffisants. Les relations au sein de la chaîne d'approvisionnement créent des risques supplémentaires lorsque les partenaires ne respectent pas des normes de sécurité équivalentes. Cloud entraînent des lacunes en matière de responsabilité partagée, des risques liés à la multi-location et des expositions au niveau des API qui nécessitent une évaluation explicite de la sécurité opérationnelle (OPSEC) en plus des contrôles traditionnels.

Étape 4 - Évaluer les risques

L'évaluation des risques permet d'analyser la probabilité et l'impact potentiel d'une compromission des informations critiques en combinant des analyses des menaces et des vulnérabilités, et en hiérarchisant les mesures de protection en fonction de l'importance stratégique pour l'entreprise, des exigences réglementaires et des ressources disponibles.

Les méthodologies quantitatives attribuent des valeurs numériques à la probabilité et à l'impact, ce qui permet de prendre des décisions d'investissement en matière de contre-mesures fondées sur des données. Les évaluations qualitatives permettent de comprendre le contexte des risques qui échappent à la quantification, tels que l'atteinte à la réputation, le désavantage concurrentiel ou les compromissions en cascade, où une faille ouvre la voie à d'autres attaques.

Étape 5 - Appliquer des contre-mesures

Les mesures correctives permettent d'éliminer ou de réduire les vulnérabilités grâce à des contrôles techniques, à l'amélioration des processus et à des formations de sensibilisation, tout en trouvant un équilibre entre sécurité et efficacité opérationnelle.

Les mesures techniques comprennent le chiffrement, les restrictions d'accès, la segmentation du réseau et la surveillance des comportements anormaux. Les mesures organisationnelles consistent à mettre en place des politiques de restriction d'accès, des procédures de traitement de l'information et des protocoles d'intervention en cas d'incident. Les mesures humaines sont axées sur la formation à la sensibilisation à la sécurité et sur la création d'une culture axée sur la sécurité.

Les organisations devraient tester leurs mesures correctives dans des environnements contrôlés, en évaluer l'efficacité et les adapter en fonction des résultats obtenus dans la pratique.

OPSEC vs InfoSec : Comprendre la différence

L'OPSEC vise spécifiquement à protéger les informations opérationnelles critiques contre toute exploitation par des adversaires. L'InfoSec met en œuvre des contrôles techniques complets pour sécuriser l'ensemble des systèmes d'information et des données.

La comparaison ci-dessous met en évidence les différences entre ces deux approches en termes d'orientation, de méthodologie et de portée.

La principale différence réside dans la perspective: l'OPSEC identifie les informations à protéger et la manière dont les adversaires pourraient contourner ces mesures de contrôle ; l'InfoSec fournit les moyens techniques nécessaires pour les protéger. Les organisations parviennent à un niveau de sécurité optimal en intégrant ces deux disciplines.

Qu'est-ce que la responsabilité en matière d'OPSEC ?

La vulnérabilité en matière d'OPSEC désigne le risque auquel s'expose une organisation lorsque la divulgation incontrôlée d'informations fournit à des adversaires les renseignements nécessaires pour planifier et mener des attaques ciblées. Contrairement à une vulnérabilité technique, qui correspond à une faille dans un système, la vulnérabilité en matière d'OPSEC résulte de l'accumulation d'informations apparemment anodines qui, une fois regroupées, constituent des renseignements exploitables.

Prises isolément, ces informations accessibles au public sont inoffensives. Une offre d'emploi révèle une pile technologique. Un profil LinkedIn énumère les responsabilités liées à un projet. Un communiqué de presse annonce un partenariat stratégique. Une présentation lors d'une conférence décrit l'architecture de sécurité interne. Une fois regroupées, ces informations constituent un tableau détaillé que les adversaires exploitent pour identifier des cibles de grande valeur, cartographier les structures organisationnelles et planifier leurs attaques de manière à maximiser leur impact.

Les attaquants qui mènent des opérations de reconnaissance exploitent l'agrégation de données pour reconstituer la surface d'attaque d'une organisation à partir de sources publiques, sans accéder à aucun système protégé. Ils combinent ainsi des offres d'emploi, des profils LinkedIn, des annonces de partenariats et des enregistrements DNS afin de dresser un tableau détaillé des informations qui leur permet d'orienter leurs attaques ciblées.

Sources courantes de risques liés à la sécurité opérationnelle :

• Les activités des employés sur les réseaux sociaux qui révèlent leurs fonctions au sein de l'organisation, leurs lieux de travail et les calendriers des projets
• Offres d'emploi mettant en évidence les piles technologiques, les fournisseurs d'outils de sécurité et les lacunes opérationnelles
• Points de terminaison d'API publiques, enregistrements DNS et journaux de transparence des certificats qui cartographient l'infrastructure
• Relations avec les fournisseurs et les partenaires impliquant le partage de données opérationnelles et de contrôles d'accès
• Présentations lors de conférences, communiqués de presse et conférences téléphoniques sur les résultats qui annoncent des initiatives stratégiques

Pour réduire les risques liés à la sécurité opérationnelle (OPSEC), il est nécessaire de procéder régulièrement à des audits de renseignement issu de sources ouvertes (OSINT) afin d'examiner les informations que les adversaires peuvent rassembler à partir de sources publiques avant qu'une alerte de sécurité ne se déclenche.

Exemples et cas d'utilisation de l'OPSEC

Des incidents récents montrent comment les défaillances en matière de sécurité opérationnelle (OPSEC) au niveau des plateformes de communication, cloud et des relations avec des tiers entraînent des compromissions en chaîne.

Calendrier des incidents OPSEC 2025

La chronologie ci-dessous présente les défaillances réelles en matière d'OPSEC survenues en 2025, en détaillant le déroulement de chaque incident, ses causes, ainsi que les enseignements concrets que les organisations peuvent en tirer pour éviter des situations similaires.

Meilleures pratiques OPSEC

Pour mettre en œuvre une sécurité opérationnelle (OPSEC) efficace, il faut prendre en compte à la fois les contrôles techniques, les processus organisationnels et les facteurs humains.

Mettre en place des contrôles d'accès basés sur le principe du « zéro confiance » (zero-trust), qui vérifient chaque requête quelle que soit sa source, afin d'empêcher les mouvements latéraux si des attaquants parviennent à compromettre des comptes individuels. Des révisions régulières des accès garantissent que les autorisations correspondent aux responsabilités professionnelles actuelles.

Réalisez des évaluations trimestrielles de l'OPSEC en suivant une procédure en cinq étapes afin d'identifier les vulnérabilités émergentes et de vérifier l'efficacité des contre-mesures. Les exercices externes de type « red team » apportent un regard critique que les équipes internes ne peuvent avoir en raison des angles morts de l'organisation.

La compartimentation limite la divulgation des informations en garantissant que chaque individu n'ait accès qu'aux données nécessaires à l'exercice de ses fonctions spécifiques. Des canaux de communication dédiés et des référentiels de documentation à accès restreint empêchent qu'une seule faille de sécurité ne compromette l'ensemble des opérations.

Surveillance technique, systèmes SIEM, analyse du comportement des utilisateurs et des entités (UEBA) et endpoint et réponseendpoint (EDR)doivent détecter les comportements anormaux indiquant une phase de reconnaissance : schémas d'accès inhabituels, tentatives d'agrégation de données et élévation de privilèges. L'EDR étend les contrôles OPSEC en surveillant le comportement au niveau des appareils afin de détecter les signes indiquant que des adversaires agissent sur la base des renseignements recueillis, même lorsqu'ils utilisent des outils légitimes et des identifiants valides.

Liste de contrôle pour la mise en œuvre de l'OPSEC

• Établir des politiques de classification de l'information définissant les niveaux de sensibilité et les exigences en matière de traitement.
• Mettre en place l'authentification multifactorielle pour tous les systèmes accédant à des informations critiques
• Mettre en œuvre des outils de prévention de la perte de données en surveillant les transferts d'informations non autorisés.
• Créer des programmes de formation pour les employés couvrant les risques liés à l'ingénierie sociale, au phishing et aux médias sociaux.
• Élaborer des procédures de réponse aux incidents portant spécifiquement sur les compromissions d'informations
• Surveiller les forums du dark web et les sites de collage pour détecter les fuites d'informations sur l'organisation.
• Procéder à des évaluations régulières de la vulnérabilité des actifs et des API destinés au public.
• Établir des canaux de communication sécurisés pour discuter des opérations sensibles
• Mettre en œuvre des politiques de gouvernance de l'IA avec des processus d'approbation clairs pour l'utilisation des outils d'IA
• Vérifier régulièrement les déploiements d'IA fantôme et l'utilisation non autorisée des services d'IA.
• Mettre en place des contrôles d'accès pour les modèles d'IA, les applications et les données d'entraînement.
• Contrôler la sécurité de la chaîne d'approvisionnement de l'IA, y compris les API, les plug-ins et les modèles tiers.

Défis OPSEC liés à l'IA

L'adoption rapide de l'intelligence artificielle a ouvert un nouveau front en matière de vulnérabilités liées à la sécurité opérationnelle (OPSEC). Le rapport 2025 Data Breach Report d'IBM identifie l'IA et l'« IA fantôme » comme des risques critiques émergents : 13 % de toutes les fuites de données impliquent désormais des modèles, des applications ou des infrastructures d'IA, une catégorie qui n'existait pratiquement pas les années précédentes.

Prolifération de l'IA fantôme

Lorsque des employés utilisent des outils d'IA non autorisés sans l'accord de leur employeur, ils créent des canaux non surveillés par lesquels des informations sensibles peuvent sortir de l'entreprise. 20 % des incidents de sécurité impliquent une IA « fantôme », ce qui ajoute en moyenne 670 000 dollars aux coûts liés aux violations de données. Ces déploiements contournent les contrôles de sécurité, ne font l'objet d'aucune supervision en matière de gouvernance des données et créent des lacunes d'audit dont les adversaires tirent parti. Les employés qui téléchargent du code propriétaire, des données clients ou des plans stratégiques vers des services d'IA externes exposent par inadvertance ces informations à des tiers dont le niveau de sécurité est inconnu.

Défaillances du contrôle d'accès à l'IA

97 % des violations liées à l'IA ne sont pas assorties de contrôles d'accès adéquats. Les organisations qui déploient des modèles d'IA ne parviennent pas à mettre en œuvre les mesures de sécurité élémentaires, les exigences d'authentification, les contrôles d'autorisation, la validation des entrées et la journalisation des audits, créant ainsi des scénarios dans lesquels les attaquants peuvent interroger les systèmes d'IA pour obtenir des informations sensibles, manipuler les résultats ou exfiltrer des données d'entraînement sans être détectés. Contrairement aux applications traditionnelles, les modèles d'IA peuvent involontairement mémoriser et restituer des données d'entraînement sensibles, répondre à des requêtes malveillantes qui contournent les restrictions prévues et servir de points de convergence pour des informations provenant de multiples sources.

Lacunes en matière de gouvernance de l'IA

63 % des organisations ne disposent pas de politiques de gouvernance de l'IA ou sont encore en train de les élaborer, alors même qu'elles déploient activement des capacités d'IA, ce qui crée des angles morts en matière de sécurité opérationnelle (OPSEC) où des informations critiques transitent par les systèmes d'IA sans aucun contrôle. Une gouvernance efficace de l'IA nécessite des politiques couvrant : l'utilisation acceptable des outils d'IA approuvés et non autorisés, les exigences de classification des données pour les interactions avec l'IA, les processus d'approbation des nouveaux déploiements d'IA, les procédures de surveillance et d'audit, ainsi que les plans d'intervention en cas d'incidents liés à l'IA.

Utilisation de l'IA par des adversaires

Dans 16 % des cas de violation, les attaquants ont eu recours à des technologies d'IA, et 37 % d'entre eux ont utilisé phishing générés par l'IA pour permettre Usurpation de compte et 35 % déployant des deepfakes à des fins d'usurpation d'identité. Les attaquants utilisent l'IA pour effectuer une reconnaissance automatisée à partir de sources publiques, générer des prétextes d'ingénierie sociale, mener des des campagnes de SEO poisoning qui font apparaître des pages de téléchargement malveillantes via des résultats de recherche manipulés, et pour adapter leurs stratégies d'attaque en temps réel en fonction des réactions des défenseurs.

Comment Vectra AI aux failles de sécurité opérationnelle liées à l'IA

Vectra AI la sécurité opérationnelle (OPSEC) à travers l'« Attack Signal Intelligence™ », en détectant les schémas comportementaux qui indiquent des activités de reconnaissance et de collecte d'informations menées par des adversaires avant qu'elles ne s'intensifient. En analysant simultanément le trafic réseau, les comportements des identités et cloud , la plateforme met en évidence les failles de sécurité opérationnelle qui se manifestent par des schémas d'accès inhabituels, des transferts de données suspects ou des escalades de privilèges précédant les attaques proprement dites, transformant ainsi la sécurité opérationnelle d'une simple liste de contrôle préventive en une capacité de détection continue qui s'adapte à mesure que les techniques des adversaires évoluent.

Les échecs les plus courants en matière d'OPSEC et la manière de les éviter

Les quatre types de défaillances les plus courants en matière d'OPSEC à partir de 2025 :

• Configuration incorrecte d'une plateforme de communication: la fuite Signalgate a révélé l'identité d'agents de la CIA à cause d'un seul membre ajouté par erreur à un groupe
• Exposition de l'environnement de développement: la faille de sécurité chez F5 Networks a compromis des référentiels de code source qui ne disposaient pas de contrôles de sécurité équivalents à ceux utilisés en production
• Risque lié aux plateformes tierces: la violation de données chez Qantas/Salesforce a exposé 5,7 millions d'enregistrements provenant de 39 entreprises à la suite de la compromission d'une seule plateforme partagée
• Retard dans l'application des correctifs: zero-day dans Oracle EBS a abouti parce que les entreprises n'avaient pas appliqué le correctif disponible avant l'intervention des opérateurs du ransomware Cl0p

L'erreur humaine reste la principale faille en matière de sécurité opérationnelle (OPSEC). La dimension psychologique de l'OPSEC, c'est-à-dire la manière dont les adversaires exploitent les schémas de comportement humains prévisibles, est la faille la plus difficile à contrôler par des moyens techniques seuls. Le partage excessif d'informations sur les réseaux sociaux révèle les structures organisationnelles, les calendriers des projets et les piles technologiques, que les adversaires exploitent à des fins de reconnaissance. Phishing aboutissent lorsque les employés ne sont pas sensibilisés aux techniques d'ingénierie sociale ou se sentent contraints de réagir rapidement.

Prévenir les défaillances de l'OPSEC

Les évaluations de sécurité régulières doivent porter non seulement sur l'infrastructure informatique traditionnelle, mais aussi sur les plateformes de collaboration, les environnements de développement et les relations avec les tiers. Les services de détection et de réponse gérées (MDR) renforcent l'efficacité de l'OPSEC en assurant une surveillance 24 h/24 et 7 j/7 qui détecte lorsque des adversaires agissent sur la base des renseignements recueillis, y compris la nuit, le week-end et les jours fériés, lorsque les équipes internes sont le moins disponibles pour réagir.

Les organisations qui mettent en place un programme OPSEC efficace devraient donner la priorité aux mesures suivantes, chacune visant à combler une lacune courante où les activités de reconnaissance débouchent sur une compromission opérationnelle :

• Surveillance comportementale et détection des anomalies liées menace interne
• Contrôles d'accès « zero-trust » portant sur les employés ayant quitté l'entreprise et les changements de poste
• Contrats avec les fournisseurs précisant les exigences en matière de sécurité opérationnelle (OPSEC) et les droits d'audit
• Audits de sécurité des plateformes de collaboration portant sur les configurations de partage entre locataires
• Analyse automatisée des ressources accessibles au public avant chaque cycle d'évaluation

Sources et méthodologie

Ce guide s'appuie sur des rapports de recherche primaires, des documents officiels et des registres d'incidents vérifiés, à jour au premier trimestre 2026. Toutes les statistiques renvoient à leur source primaire. Lorsque des sources secondaires font référence à des recherches primaires, la source primaire est citée directement.

• Rapport IBM sur le coût des violations de données 2025 (ibm.com/reports/data-breach) — Source des chiffres relatifs au coût des violations, des statistiques sur les violations liées à l'IA, des taux d'incidents liés à l'IA cachée, des données phishing et des taux d'adoption de l'IA par les cybercriminels. IBM mène cette étude chaque année en partenariat avec le Ponemon Institute auprès de 604 organisations issues de 17 secteurs d'activité et réparties dans 16 pays.
• Documentation relative au modèle CMMC — Département américain de la Défense (dodcio.defense.gov/CMMC/Model) — Source d'information sur la date d'entrée en vigueur de la norme CMMC 2.0, les exigences OPSEC de niveau 2 et l'alignement des contrôles sur la norme NIST SP 800-171 Rev 2.
• Publication spéciale 800-53 Rev. 5 du NIST (csrc.nist.gov/publications/detail/sp/800-53/rev-5/final) — Référence pour la mise en correspondance entre la famille de contrôles de sécurité opérationnelle SC-38 et le cadre de contrôle OPSEC.
• MITRE ATT&CK (attack.mitre.org) — Source de référence sur les TTP des attaquants, de cartographie des techniques de reconnaissance (T1595 « Active Scanning », T1598 Phishing Information ») et de classification des comportements des acteurs malveillants.
• Directive d'urgence n° 26-01 de la CISA (cisa.gov/emergency-directive-26-01) — Source de référence pour la documentation relative à la violation de F5 Networks par un État-acteur et les exigences en matière de remédiation.
• Programme national d'OPSEC — Bureau du directeur du renseignement national des États-Unis (dni.gov/index.php/ncsc-what-we-do/ncsc-protect-your-secrets/national-opsec-program) — Source de la désignation du Mois national de la sensibilisation à l'OPSEC et des normes gouvernementales relatives au programme d'OPSEC.

Documentation des incidents

• Signalgate/Fuite de données du Pentagone (mars 2025) — Enquête exclusive de The Atlantic
• Fuite de données chez Qantas/Salesforce (octobre 2025) — Avis de sécurité de Salesforce et communiqué officiel de Qantas
• Attaque orchestrée par un État contre F5 Networks (octobre 2025) — Directive d'urgence n° 26-01 de la CISA et avis de sécurité de F5
• Oracle EBS CVE-2025-61882 (octobre 2025) — Avis de mise à jour critique d'Oracle et catalogue KEV de la CISA