> Sécurité > Analyse Patch Tuesday Juillet 2026

Analyse Patch Tuesday Juillet 2026

Sécurité - Par iTPro - Publié le 17 juillet 2026

Microsoft vient de publier son dernier patch Tuesday. Que retenir en quelques points clés ?

Analyse Patch Tuesday Juillet 2026

Satnam Narang, Senior Staff Research Engineer chez Tenable partage son analyse sur la mise à jour du Patch Tuesday de Microsoft de ce mois-ci. Il décrypte les raisons de cette hausse sans précédent du nombre de vulnérabilités corrigées, explique comment l’IA accélère leur découverte et pourquoi cette évolution oblige les organisations à repenser leur manière d’évaluer les risques et de prioriser les correctifs de sécurité.

Plus de 500 CVE sont corrigées en un seul mois

Nous savions que ce jour finirait par arriver. Le Patch Tuesday de juin 2026 a battu le précédent record, et celui de juillet l’a éclipsé. C’est la première fois dans l’histoire du Patch Tuesday que plus de 500 CVE sont corrigées en un seul mois, avec un total impressionnant de 569 CVE corrigées, dépassant largement le record établi le mois dernier avec 198 CVE.

Habituellement, il faut attendre octobre ou novembre pour savoir si le volume annuel de correctifs dépassera celui de l’année précédente. Mais dès le mois de juillet, il est désormais confirmé que 2026 sera l’année la plus importante de l’histoire du Patch Tuesday, dépassant le précédent record de 1 245 CVE corrigées en 2020. Il est probable que nous dépassions non seulement les 2 000 CVE sur une année civile, mais potentiellement les 3 000 CVE, voire davantage, cette année.

La découverte assistée par l’IA révèle des vulnérabilités passées inaperçues

Le mois dernier, j’avais indiqué que la boîte de Pandore avait été ouverte. Microsoft a lui-même reconnu cette évolution au début du mois, en précisant que les clients constateraient “un volume plus important de mises à jour de sécurité incluses dans chaque publication de sécurité”, conséquence de l’utilisation de l’IA pour faciliter la découverte de vulnérabilités.

La découverte assistée par l’IA révèle des vulnérabilités qui étaient passées inaperçues pendant des années. L’ampleur de ce volume est remarquable, mais il reflète surtout l’efficacité croissante de ces outils pour identifier des failles, et non le nombre de vulnérabilités qui représentent réellement un risque pour les organisations.

Trois zero-day

Parmi les nombreuses vulnérabilités divulguées ce mois-ci, trois zero-day ont été corrigées, dont deux faisaient déjà l’objet d’une exploitation active dans la nature. Ces deux vulnérabilités exploitées sont toutes deux des vulnérabilités d’élévation de privilèges : CVE-2026-56155, qui affecte Active Directory Federation Services (AD FS), et CVE-2026-56164, qui concerne Microsoft SharePoint Server.

La CVE-2026-50661, une vulnérabilité de contournement d’une fonctionnalité de sécurité affectant Windows BitLocker, a quant à elle été signalée comme ayant été divulguée publiquement. Nous supposons qu’elle pourrait être liée à la série de vulnérabilités zero-day divulguées par le chercheur connu sous les pseudonymes Nightmare-Eclipse ou Chaotic-Eclipse, bien qu’aucune confirmation officielle n’ait été apportée. Nous savons également que ce chercheur avait annoncé qu’il publierait de nouvelles informations à l’occasion du Patch Tuesday.

Si ces vulnérabilités sont les plus marquantes de ce mois, auxquelles s’ajoutent 59 CVE critiques, il est nécessaire de revoir la manière dont est évalué l’Exploitability Index qui mesure la probabilité qu’une vulnérabilité soit exploitée, afin qu’il évolue pour suivre le rythme de découverte imposé par les outils automatisés.

La manière d’appréhender le Patch Tuesday a changé

Par exemple, Microsoft avait initialement classé la CVE-2026-45659, une vulnérabilité affectant SharePoint, comme présentant une faible probabilité d’exploitation. Pourtant, cette vulnérabilité a été ajoutée au catalogue Known Exploited Vulnerabilities (KEV) de la CISA le 1er juillet.

Par ailleurs, les travaux de la Red Team d’Anthropic sur des vulnérabilités déjà connues (n-days) ont montré à quel point ce système d’évaluation est devenu fragile : son modèle Mythos Preview est parvenu à générer des preuves de concept d’exploitation pour 13 des 14 vulnérabilités classées comme “Exploitation Less Likely” ou “Exploitation Unlikely”.

En d’autres termes, notre manière d’appréhender le Patch Tuesday a changé. L’Exploitability Index est conçu en fonction des capacités humaines, et non de celles des outils d’IA. Or, à mesure que ces outils gagnent en efficacité, les capacités de défense doivent progresser au même rythme.

Dossiers complémentaires sur le sujet avec les experts du site iTPro.fr

Microsoft Patch Tuesday Février 2026

Patch Tuesday Mars 2026

Patch Tuesday Avril 2026

Patch Tuesday Mai 2026

Patch Tuesday Juin 2026

 

Téléchargez cette ressource

Microsoft 365 Tenant Resilience

Microsoft 365 Tenant Resilience

Face aux failles de résilience des tenants M365 (configurations, privilèges, sauvegarde). Découvrez 5 piliers pour durcir, segmenter et surveiller vos environnements afin de limiter l’impact des attaques. Prioriser vos chantiers cyber et améliorer la résilience de vos tenants Microsoft 365.

Les plus consultés sur iTPro.fr

A lire aussi sur le site

À la une de la chaîne Sécurité