Données de la 2026 Rapport de vulnérabilité de Microsoft ils révèlent une vérité inconfortable pour le matériel de sécurité: ce n'est pas le volume total de CVE qui détermine le risque réel d'une organisation, mais la concentration de vulnérabilités qui permettent des attaques silencieuses et à impact élevé. En 2025, Microsoft a publié 1 273 vulnérabilités, un chiffre similaire aux années précédentes, mais les échecs critiques ont doublé (de 78 à 157), signe clair que la stabilité apparente du nombre total peut masquer une augmentation du potentiel de dommages.
Le schéma le plus pertinent est le passage à des vulnérabilités qui facilitent l'escalade des privilèges et la filtration de l'information : L'élévation du privilège représentait environ 40 % de l'ECV, tandis que la vulnérabilité de la divulgation de l'information augmentait de 73 % par année. Ce n'est pas inoffensif : un adversaire qui obtient des références ou choisit des itinéraires de reconnaissance silencieuse peut se déplacer latéralement en tant qu'utilisateur légitime, échapper à la détection et maximiser l'impact sans avoir besoin d'exploitations « bruyantes ». Cette tendance correspond aux techniques décrites dans le cadre MITRE ATT & CK, qui privilégient l'accès persistant et le mouvement latéral ( MITRE ATT & CK).
Les plateformes de cloud et de productivité apparaissent comme des zones à haut risque: Azure et Dynamics 365 ont vu un saut inquiétant dans les vulnérabilités critiques (de 4 à 37), et dans Azure / Entre ID erreurs telles que CVE-2025-55241 - une erreur qui a permis la falsification de jetons acceptés dans plusieurs locataires - qui montre qu'une seule identité mal configurée peut livrer "les clés du royaume" à un attaquant. Microsoft Office, pour sa part, a augmenté ses vulnérabilités de 234% et multiplié son CVE critique par dix; comme Office est le point de contact habituel avec les utilisateurs, cela amplifie le risque d'entrée via l'ingénierie sociale et les documents malveillants.
Les serveurs restent des objectifs prioritaires : Windows Server a accumulé 780 vulnérabilités, dont 50 critiques. Attaquer les serveurs offre aux attaquants un accès plus rapide et plus profond qu'un point d'extrémité isolé, car ils gèrent généralement des services avec des privilèges élevés et soutiennent des processus opérationnels critiques. Par conséquent, ne se fier qu'à "patcher tous les critiques" ne garantit pas la protection si l'architecture des identités et des privilèges reste faible.
Les implications pratiques sont claires : une atténuation efficace nécessite de passer de la simple gestion des patchs à une stratégie axée sur la réduction du rayon d'explosion et le contrôle des identités et des privilèges. Cela implique de vérifier et d'éliminer Permis administratifs permanents, appliquer le moins de privilèges aux comptes humains et aux machines (y compris les agents d'IV) et traiter les comptes de service et les agents avec la même rigueur que les utilisateurs réels. De nombreuses organisations n'ont toujours pas de contrôle précis sur l'identité des agents et des mécanismes d'analyse d'impact pour vérifier leurs jetons et leurs permis en temps réel.
Les actions prioritaires devraient être contextuelles et continues: hiérarchiser les corrections non pas par le CVSS pur, mais par le rôle de la vulnérabilité dans les chaînes d'attaque (facilite-t-il l'escalade, le mouvement latéral ou l'accès aux plans de contrôle des nuages?), cartographier les résultats des cadres comme MITRE ATT & CK et les scénarios d'affaires, et appliquer des contrôles compensatoires immédiats lorsqu'un patch n'est pas viable. Ces mesures comprennent la rotation et la suppression des pouvoirs permanents, permettant MFA et Conditional Access dans Azure AD, la segmentation du réseau pour réduire la portée latérale, et la surveillance et des alertes spécifiques pour un comportement d'identité atypique.
Au niveau technique et opérationnel, il convient de renforcer la détection et la réponse par télémétrie centrée sur les identités et les jetons (log des émissions et de la validation, anomalies des principes de service), d'intégrer les outils de gestion des privilèges (PAM / PSM) et de surveiller les vecteurs Office (pains, macros, add-ins) qui sont de nouveau devenus pertinents. Il ne suffit pas de se garer : Vous devez fermer la porte d'escalade de privilège et garder un oeil sur qui a les clés et comment vous les utilisez.. Des ressources telles que le Catalogue national de vulnérabilité du NIST (NVD) devraient être consultées pour consultation publique sur la divulgation et la surveillance des erreurs ( NVD) et le Microsoft Security Response Center ( MSRC).
Enfin, la gouvernance doit intégrer la gestion de nouveaux acteurs dans le périmètre de la confiance, en particulier les agents d'IA. Sans des politiques d'identité claires, des autorisations minimales et une visibilité continue, ces agents peuvent devenir des vecteurs d'escalade aussi dangereux que les comptes humains. La recommandation stratégique est de progresser vers Modèle Zero Standing Privilege, gestion continue de l'entité et hiérarchisation fondée sur l'impact opérationnel: qui transforme la réponse patch réactive en une stratégie proactive qui réduit les dommages lorsque des vulnérabilités critiques apparaissent.
Si votre organisation fonde toujours sa sécurité sur les mesures de comptage CVE, il est temps de changer le tableau : regardez qui peut faire quoi, dans quel contexte et avec quelle facilité un échec peut transformer un titre de compétence engagé en un engagement à grande échelle. Pour en savoir plus sur les résultats et les orientations de l'analyse, vous pouvez télécharger le rapport complet ici: 2026 Rapport de vulnérabilité de Microsoft.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...