Les 570 correctifs de Microsoft ne sont pas un signal de panique, mais un test de priorisation
Deux failles exploitées dans AD FS et SharePoint comptent plus que le total affiché; il faut corriger par risque réel.
La publication de sécurité Microsoft de juillet 2026 impressionne par son volume: au moins 570 correctifs, près de 60 failles critiques, trois zero-days et deux vulnérabilités déjà exploitées selon Microsoft. La bonne lecture n’est pas la panique. La bonne lecture est la priorisation.

Les deux priorités immédiates sont CVE-2026-56155, une élévation de privilèges dans Active Directory Federation Services, et CVE-2026-56164, une élévation de privilèges dans Microsoft SharePoint Server. Microsoft les marque comme exploitées. Zero Day Initiative rappelle que l’AD FS touche à l’identité, et qu’une faille SharePoint accessible par le réseau peut être urgente même avec un score CVSS modéré.
Ce que Microsoft a publié
KrebsOnSecurity parle d’au moins 570 failles corrigées. Les données Microsoft confirment les signaux importants: CVE-2026-56155 et CVE-2026-56164 sont exploitées; CVE-2026-50661, un contournement BitLocker, est divulguée publiquement mais pas signalée comme exploitée; CVE-2026-48561 est une exécution de code à distance dans Microsoft Copilot avec un score de base de 9,6.
Le total varie selon les sources parce que les périmètres de comptage changent. Pour une équipe de défense, les critères utiles sont l’exploitation active, l’exposition réseau, l’absence d’interaction utilisateur, le niveau de privilège et la présence réelle du produit dans l’environnement.
Corriger d’abord ce qui est exploité et exposé
Une organisation qui utilise AD FS doit identifier les serveurs concernés, lire les indications Microsoft et appliquer le correctif avec une fenêtre adaptée au rôle d’authentification. Une organisation qui exploite SharePoint Server sur site doit traiter CVE-2026-56164 en tête de file. Il ne faut pas effrayer les clients SharePoint Online sans indication: le périmètre dépend de l’avis et des versions touchées.
Viennent ensuite les RCE critiques dans des services réellement joignables. DHCP, Exchange, Defender, SQL Server, Office, Copilot ou les composants Windows n’ont pas le même risque dans toutes les architectures. Le CVSS aide, mais il ne remplace pas l’inventaire et la connaissance de l’exposition.
Ce que change l’AI
Microsoft associe l’augmentation du volume à la découverte et à l’analyse assistées par AI. Cela ne veut pas dire que l’AI a créé les failles. Cela veut dire que davantage de problèmes deviennent visibles plus vite. Pour les défenseurs, c’est positif, mais cela augmente la charge de décision: corriger immédiatement, déployer par vagues, atténuer, surveiller ou accepter temporairement un risque avec un responsable.
Les attaquants peuvent aussi accélérer l’analyse après publication des avis. Les anciennes fenêtres de correction, pensées pour une vitesse humaine, peuvent être trop lentes pour les services exposés. La réponse reste opérationnelle: inventaire, sauvegardes, déploiement par anneaux, surveillance, plan de retour arrière et exceptions datées.
Un ordre calme
Commencez par AD FS et SharePoint Server sur site, surtout s’ils sont exposés ou très privilégiés. Continuez avec les RCE critiques dans les services accessibles. Traitez ensuite les vulnérabilités publiquement divulguées, comme le contournement BitLocker, selon le modèle de menace. Déployez les postes par groupes pilotes représentatifs, puis vérifiez la réalité de l’installation avec la télémétrie et les scans.
Pour les particuliers et les petites équipes, le conseil reste simple: sauvegarder les fichiers importants, laisser Windows Update actif et ne pas repousser les redémarrages pendant des semaines. Le nombre 570 ne justifie pas de désactiver les mises à jour; il rappelle que la maintenance régulière évite les décisions d’urgence.
Ce Patch Tuesday est donc un avertissement de volume et de vitesse, pas une sirène de panique. Les équipes les plus solides seront celles qui distinguent rapidement les failles exploitées, exposées et critiques pour l’activité, puis terminent le reste du travail sans sacrifier la fiabilité.
Comments
Sign in to comment.
No comments yet.