Microsoft vient de publier son dernier patch Tuesday. Que retenir en quelques points clés ?
Analyse Patch Tuesday Juillet 2026
Satnam Narang, Senior Staff Research Engineer chez Tenable partage son analyse sur la mise à jour du Patch Tuesday de Microsoft de ce mois-ci. Il décrypte les raisons de cette hausse sans précédent du nombre de vulnérabilités corrigées, explique comment l’IA accélère leur découverte et pourquoi cette évolution oblige les organisations à repenser leur manière d’évaluer les risques et de prioriser les correctifs de sécurité.
Plus de 500 CVE sont corrigées en un seul mois
Nous savions que ce jour finirait par arriver. Le Patch Tuesday de juin 2026 a battu le précédent record, et celui de juillet l’a éclipsé. C’est la première fois dans l’histoire du Patch Tuesday que plus de 500 CVE sont corrigées en un seul mois, avec un total impressionnant de 569 CVE corrigées, dépassant largement le record établi le mois dernier avec 198 CVE.
Habituellement, il faut attendre octobre ou novembre pour savoir si le volume annuel de correctifs dépassera celui de l’année précédente. Mais dès le mois de juillet, il est désormais confirmé que 2026 sera l’année la plus importante de l’histoire du Patch Tuesday, dépassant le précédent record de 1 245 CVE corrigées en 2020. Il est probable que nous dépassions non seulement les 2 000 CVE sur une année civile, mais potentiellement les 3 000 CVE, voire davantage, cette année.
La découverte assistée par l’IA révèle des vulnérabilités passées inaperçues
Le mois dernier, j’avais indiqué que la boîte de Pandore avait été ouverte. Microsoft a lui-même reconnu cette évolution au début du mois, en précisant que les clients constateraient “un volume plus important de mises à jour de sécurité incluses dans chaque publication de sécurité”, conséquence de l’utilisation de l’IA pour faciliter la découverte de vulnérabilités.
La découverte assistée par l’IA révèle des vulnérabilités qui étaient passées inaperçues pendant des années. L’ampleur de ce volume est remarquable, mais il reflète surtout l’efficacité croissante de ces outils pour identifier des failles, et non le nombre de vulnérabilités qui représentent réellement un risque pour les organisations.
Trois zero-day
Parmi les nombreuses vulnérabilités divulguées ce mois-ci, trois zero-day ont été corrigées, dont deux faisaient déjà l’objet d’une exploitation active dans la nature. Ces deux vulnérabilités exploitées sont toutes deux des vulnérabilités d’élévation de privilèges : CVE-2026-56155, qui affecte Active Directory Federation Services (AD FS), et CVE-2026-56164, qui concerne Microsoft SharePoint Server.
La CVE-2026-50661, une vulnérabilité de contournement d’une fonctionnalité de sécurité affectant Windows BitLocker, a quant à elle été signalée comme ayant été divulguée publiquement. Nous supposons qu’elle pourrait être liée à la série de vulnérabilités zero-day divulguées par le chercheur connu sous les pseudonymes Nightmare-Eclipse ou Chaotic-Eclipse, bien qu’aucune confirmation officielle n’ait été apportée. Nous savons également que ce chercheur avait annoncé qu’il publierait de nouvelles informations à l’occasion du Patch Tuesday.
Si ces vulnérabilités sont les plus marquantes de ce mois, auxquelles s’ajoutent 59 CVE critiques, il est nécessaire de revoir la manière dont est évalué l’Exploitability Index qui mesure la probabilité qu’une vulnérabilité soit exploitée, afin qu’il évolue pour suivre le rythme de découverte imposé par les outils automatisés.
La manière d’appréhender le Patch Tuesday a changé
Par exemple, Microsoft avait initialement classé la CVE-2026-45659, une vulnérabilité affectant SharePoint, comme présentant une faible probabilité d’exploitation. Pourtant, cette vulnérabilité a été ajoutée au catalogue Known Exploited Vulnerabilities (KEV) de la CISA le 1er juillet.
Par ailleurs, les travaux de la Red Team d’Anthropic sur des vulnérabilités déjà connues (n-days) ont montré à quel point ce système d’évaluation est devenu fragile : son modèle Mythos Preview est parvenu à générer des preuves de concept d’exploitation pour 13 des 14 vulnérabilités classées comme “Exploitation Less Likely” ou “Exploitation Unlikely”.
En d’autres termes, notre manière d’appréhender le Patch Tuesday a changé. L’Exploitability Index est conçu en fonction des capacités humaines, et non de celles des outils d’IA. Or, à mesure que ces outils gagnent en efficacité, les capacités de défense doivent progresser au même rythme.
Dossiers complémentaires sur le sujet avec les experts du site iTPro.fr
Microsoft Patch Tuesday Février 2026
Téléchargez cette ressource
Microsoft 365 Tenant Resilience
Face aux failles de résilience des tenants M365 (configurations, privilèges, sauvegarde). Découvrez 5 piliers pour durcir, segmenter et surveiller vos environnements afin de limiter l’impact des attaques. Prioriser vos chantiers cyber et améliorer la résilience de vos tenants Microsoft 365.
Les articles les plus consultés
- Envahissement de l’Ukraine par la Russie : la cybersécurité en deuxième ligne, les SOC en alerte maximale
- La fraude à l’identité numérique : les gestes qui sauvent
- Vol de propriété intellectuelle: détecter les copies de répertoires
- Le Grand Défi Cybersécurité à l’honneur
- Les 6 recommandations pour les RSSI
Les plus consultés sur iTPro.fr
- Des Master Data aux data products : comment l’IA redéfinit le rôle du MDM
- Communication d’entreprise : la voix s’impose à nouveau comme canal critique à l’ère de l’IA
- Réforme de la facturation électronique : une préparation largement théorique
- Le futur de la cryptographie post-quantique
Articles les + lus
La blockchain n’est pas seulement un défi à encadrer : c’est aussi une solution à exploiter
Le futur de la cryptographie post-quantique
Deepfakes et IA : 64% des Français pensent savoir les détecter, mais la confiance reste fragile
Cybersécurité française 2026 : explosion des startups, ralentissement des scale-ups et virage stratégique de l’IA
Crypto Crime 2026 : États et cybercriminels convergent vers une industrialisation des infrastructures
À la une de la chaîne Sécurité
- La blockchain n’est pas seulement un défi à encadrer : c’est aussi une solution à exploiter
- Le futur de la cryptographie post-quantique
- Deepfakes et IA : 64% des Français pensent savoir les détecter, mais la confiance reste fragile
- Cybersécurité française 2026 : explosion des startups, ralentissement des scale-ups et virage stratégique de l’IA
- Crypto Crime 2026 : États et cybercriminels convergent vers une industrialisation des infrastructures
