Le 14 juillet 2026, Microsoft a publié le plus gros Patch Tuesday de son histoire : 570 vulnérabilités corrigées, dont 57 critiques et 3 zero-days. Microsoft attribue ce volume à un système de découverte de failles assisté par IA, déployé sur le code de Windows. Autrement dit : l’IA trouve les failles plus vite ; votre processus de correction doit suivre le rythme.
« Nous sommes full cloud, ça ne nous concerne pas »… si, justement
Les deux zero-days activement exploités visent AD FS et SharePoint Server, des produits installés sur des serveurs internes. Si votre informatique repose entièrement sur Microsoft 365 et Azure (c’est le cas de la plupart des sociétés de gestion que nous accompagnons), ces deux-là ne vous concernent pas : Microsoft patche ses propres datacenters.
Mais le reste du bulletin vous concerne directement, parce que vos postes de travail, eux, ne sont pas dans le cloud :
- 4 failles critiques dans Windows Media Foundation permettent une exécution de code à distance ; un fichier multimédia piégé, reçu par mail ou téléchargé, suffit.
- Une faille DHCP côté client expose chaque poste qui se connecte à un réseau, y compris le Wi-Fi d’un hôtel ou d’un espace de coworking.
- Un contournement BitLocker (rendu public avant correctif) permet, avec un accès physique, de lire le disque d’un laptop volé ou perdu. Pour un gérant nomade avec des données investisseurs sur son poste, c’est le scénario concret.
Sur les 570 CVE, environ 250 permettent une élévation de privilèges et 144 une exécution de code à distance. La question n’est donc pas « sommes-nous concernés ? » mais « en combien de temps notre parc est-il couvert, et pouvons-nous le prouver ? ».
Ce que DORA attend de vous ce mois-ci
Pour une entité régulée AMF/ACPR, appliquer les correctifs ne suffit pas. Le cadre DORA exige une gestion des vulnérabilités démontrable :
- Une qualification datée : quelles CVE concernent votre environnement, lesquelles non, et pourquoi.
- Un délai de déploiement mesuré, conforme à votre politique de gestion des vulnérabilités.
- Un taux de couverture du parc vérifiable : pas déclaré, mesuré.
- Une exception documentée pour chaque machine non corrigée.
C’est exactement ce que votre RCCI ou l’auditeur demandera. Pas « avez-vous patché ? », mais « montrez-moi le registre ».
Comment nous le gérons
Chaque mercredi qui suit le Patch Tuesday, nous qualifions le bulletin pour chaque client : ce qui s’applique, ce qui ne s’applique pas, ce qui est prioritaire. Le déploiement est ensuite orchestré par anneaux (postes pilotes, validation, généralisation), avec un reporting de couverture du parc. Pendant la fenêtre d’exposition, l’EDR surveille chaque poste en continu, et le SOC 24/7 prend le relais pour les clients qui en disposent. La trace complète (qualification, déploiement, couverture, exceptions) est versée au dossier de conformité du client : la même logique de preuve que pour les tests d’intrusion pilotés (TLPT) exigés par DORA.
Un record de 570 failles ne change rien à la méthode. Il confirme simplement qu’un processus mensuel, industrialisé et tracé n’est plus une option pour une entreprise régulée.
Une question sur la couverture de votre parc ? Réservez un diagnostic de 60 minutes, sans engagement.
Toutes les actualités