D’après l’analyse du rapport 2026 sur les vulnérabilités Microsoft, la société a signalé 1273 failles de sécurité en 2025. Ce chiffre est en baisse par rapport aux 1360 vulnérabilités de l’année précédente. Le nombre total de failles chez Microsoft semble ainsi stable depuis 2020.
Mais ce bilan global masque une réalité plus inquiétante. Les vulnérabilités jugées critiques ont doublé d’une année sur l’autre. Leur nombre est passé de 78 à 157, ce qui met fin à une tendance à la baisse observée depuis plusieurs années.
La stabilité des chiffres ne reflète pas la gravité croissante des failles. C’est sur ce point que les entreprises doivent concentrer leur attention.
La concentration des risques
Les failles de type élévation de privilège représentent 40% du total. Cette catégorie domine, et elle est associée à une hausse de 73% des vulnérabilités de divulgation d’informations. Ces données indiquent que les attaquants préfèrent l’infiltration discrète et la reconnaissance à des exploits bruyants.
Les privilèges sont l’élément qui transforme une vulnérabilité en violation de données. Les attaquants n’ont plus besoin de campagnes de malware massives s’ils peuvent élever silencieusement leurs accès et se déplacer latéralement. Pour cela, ils utilisent des identifiants légitimes et des techniques de type Living Off the Land.
Cette tendance correspond aux modes opératoires observés sur le terrain. L’accès initial est souvent banal, mais l’impact est amplifié par des privilèges excessifs, des erreurs de configuration et des contrôles d’identité faibles.
Cette situation est particulièrement préoccupante pour les plateformes cloud et métier. Le nombre total de vulnérabilités a légèrement diminué pour Microsoft Azure et Dynamics 365. En revanche, les failles critiques ont explosé, passant de 4 à 37 en une seule année.
Les plateformes cloud ne sont plus de simples infrastructures. Elles sont devenues essentielles aux opérations des entreprises. Elles fournissent une large gamme de services, comme la gestion des identités et des accès, l’automatisation des processus métier ou le contrôle centralisé de l’entreprise.
Une faille critique dans ces environnements a des conséquences qui dépassent l’exposition de données. Elle peut paralyser des flux de travail entiers et détruire rapidement les barrières de confiance. Quand une vulnérabilité cloud devient critique, le rayon d’impact potentiel devient la principale mesure du risque.
Dans la pratique, une simple identité mal configurée sur Azure peut offrir à un attaquant les clés de tout un locataire. La plupart des organisations ne le découvrent qu’une fois les dégâts commis. La faille CVE-2025-55241, une vulnérabilité critique dans Entra ID corrigée en juillet 2025, l’a parfaitement illustré. Un attaquant pouvait forger des jetons acceptés sur n’importe quel locataire, sans laisser de trace dans les journaux de la victime.
Du côté des postes de travail et des serveurs, les résultats sont mitigés, mais toujours inquiétants. Le nombre total de vulnérabilités pour Microsoft Windows a reculé. Pourtant, le nombre de failles critiques est resté obstinément élevé. Les vulnérabilités de Microsoft Windows Server ont augmenté pour atteindre 780, dont 50 classées critiques. Les serveurs restent des cibles de choix, car ils fonctionnent souvent avec des privilèges élevés, hébergent des services partagés et servent de fondation à une grande variété d’infrastructures métier.
Les attaquants savent que compromettre un serveur procure un accès plus rapide et plus profond que compromettre un simple poste de travail. Un refrain revient souvent chez les responsables de la sécurité : « Nous avons corrigé toutes les vulnérabilités critiques, alors pourquoi subissons-nous encore des violations ? ». Ces données expliquent ce paradoxe.
Le changement le plus marquant concerne peut-être les logiciels de productivité. Les vulnérabilités de Microsoft Office ont bondi de 234% sur un an. Elles sont passées de 47 à 157. Les failles critiques sont quant à elles passées de 3 à 31, soit une multiplication par dix.
Microsoft Office reste l’une des surfaces d’attaque les plus exploitées. Ce logiciel se trouve à l’intersection des comportements humains, des opérations quotidiennes et de la continuité des activités.
Les macros, le partage de documents, les volets d’aperçu, le rendu HTML, les nouvelles capacités d’IA et les modules complémentaires créent un terrain unique pour l’exploitation. Quand les vulnérabilités d’Office augmentent, les utilisateurs restent le point d’entrée le plus fiable via l’ingénierie sociale.
Les mesures à prendre pour les organisations
La priorité défensive immédiate est de réduire le rayon d’impact avant le prochain cycle de correctifs. Pour cela, il faut auditer les droits d’administration permanents, traiter les comptes de service et les agents IA avec la même rigueur que les identités humaines, et désactiver le volet d’aperçu Windows, qui a été le point d’entrée de sept failles en 2025.
La leçon est claire pour les entreprises. La seule gestion des correctifs ne suffit plus. Les organisations doivent d’abord prioriser les vulnérabilités qui permettent une escalade de privilèges, un abus d’identité ou un mouvement latéral. Cette approche exige de la contextualisation, une connaissance des exploits, un rapprochement avec des cadres comme MITRE ATT&CK, et pas seulement des scores CVSS. Elle nécessite aussi de repenser les hypothèses de confiance dans les couches cloud, des terminaux, des serveurs et de productivité.
Les organisations qui ont de l’avance sur ce sujet ne se contentent pas d’appliquer les correctifs plus vite. Elles repensent complètement la notion de privilège dans un environnement orienté vers le cloud.
Chez les organisations avec lesquelles nous travaillons, les agents IA sont rapidement passés d’une préoccupation future à une réalité concrète. La plupart manquent de la gestion de posture de sécurité IA nécessaire pour un gouvernance adéquate.
La gestion des correctifs est importante, mais les correctifs ne réduisent pas les privilèges excessifs ni n’appliquent le principe du moindre privilège pour les agents IA. Le fantôme dans ces données n’est pas le nombre de vulnérabilités. C’est tout ce que ces vulnérabilités déverrouillent quand les contrôles d’identité ne sont pas là pour les arrêter.
Pour le paysage de 2026 et au-delà, le rapport confirme une vérité difficile. Les attaquants ne défoncent plus la porte d’entrée avec des exploits en force brute. Ils entrent, ils élèvent silencieusement leurs accès, et ils opèrent comme des utilisateurs de confiance, qu’ils soient humains ou machines.
Si les programmes de sécurité ne se concentrent pas sur la réduction des privilèges, la visibilité des identités et l’évaluation continue des risques, les chiffres pourront sembler stables d’une année sur l’autre. Mais la surface d’attaque et l’impact sur les activités continueront de croître.