Le 8 avril 2026, les équipes sécurité de Microsoft ont publié leur Patch Tuesday mensuel. Au menu : 165 correctifs en une seule journée. C'est l'un des volumes les plus élevés de ces dernières années. Parmi eux, plusieurs failles critiques, une zero-day déjà exploitée dans la nature, et des bulletins qui ont continué à tomber jusqu'à la fin du mois — le CERT-FR en a répertorié au moins quatre séries distinctes entre le 10 et le 27 avril 2026.

Pour un DSI de grand groupe, ce type d'événement déclenche un protocole rodé. Pour un dirigeant de PME, souvent sans équipe IT dédiée, c'est une autre histoire.

165 correctifs, une zero-day, et du code qui s'exécute tout seul

Commençons par ce qui fait vraiment peur aux spécialistes. Parmi les bulletins publiés en avril, trois vulnérabilités affectant Microsoft Office et Microsoft Word ont été classées critiques avec un score CVSS de 8,4. Leurs références : CVE-2026-32190, CVE-2026-33114 et CVE-2026-33115. Toutes les trois permettent à un attaquant non authentifié — c'est-à-dire sans mot de passe, sans accès préalable — d'exécuter du code arbitraire sur la machine ciblée. Il suffit d'exploiter ce que les chercheurs appellent un « use-after-free » : un défaut dans la gestion de la mémoire que le logiciel libère trop tôt, créant une fenêtre d'exploitation. Les détails techniques sont publiés par CrowdStrike dans son analyse du Patch Tuesday d'avril 2026.

Autre faille à ne pas sous-estimer : la CVE-2026-33827, elle aussi critique (CVSS 8.1), qui touche cette fois la pile TCP/IP de Windows. Concrètement, elle expose les systèmes à de l'exécution de code à distance via le réseau. Tyler Reguly, directeur adjoint de la R&D en sécurité chez Fortra, a commenté sobrement : « Il est rare de voir de nos jours une vulnérabilité TCP/IP véritablement exploitable à distance. » Ce n'est pas un billet de blog alarmiste — c'est un ingénieur qui mesure ses mots.

Et puis il y a la zero-day. La CVE-2026-21509, signalée comme activement exploitée selon le centre gouvernemental de cyberdéfense québécois (CERTQC), permet un contournement de politique de sécurité en local. Ce type de faille est souvent utilisé en deuxième étape d'une attaque : l'attaquant est déjà dans votre réseau, il s'en sert pour élever ses droits et se propager.

Ce que "correctifs publiés" veut dire quand vous n'avez pas de DSI

Le CERT-FR a publié plusieurs avis entre mars et fin avril 2026 — CERTFR-2026-AVI-0341 le 23 mars, CERTFR-2026-AVI-0420 le 10 avril, CERTFR-2026-AVI-0428 le 13 avril, et CERTFR-2026-AVI-0486 le 27 avril. Chacun liste des CVE concernant des produits Microsoft largement répandus dans les PME : Windows, Office, Azure, ASP.NET Core.

Le problème n'est pas l'existence de ces avis. Le problème, c'est qu'ils s'accumulent à un rythme que personne ne peut absorber sans organisation. Quatre vagues en cinq semaines, des dizaines de références techniques, des scores de criticité à interpréter. Un prestataire informatique qui gère dix clients n'a pas forcément le temps de lire chaque bulletin le jour de sa publication et d'évaluer son impact pour chaque configuration cliente.

Résultat : les mises à jour attendent. Parfois une semaine, parfois un mois. Parfois elles n'arrivent jamais parce que le poste redémarre rarement et que Windows Update est configuré en différé. C'est dans cet intervalle que les attaquants opèrent. Les groupes de ransomware en particulier ont industrialisé l'exploitation des CVE récentes : ils scannent internet à la recherche de versions non patchées dès les premières heures suivant la publication d'un bulletin.

La fin du mois d'avril a d'ailleurs ajouté une couche : Microsoft a diffusé en urgence des correctifs hors cycle pour ASP.NET Core, afin de colmater une faille critique d'élévation de privilèges. "Hors cycle" signifie que ça n'attendait pas le prochain Patch Tuesday. Quand Microsoft sort du calendrier prévu, c'est rarement bon signe.

Le vrai problème : vous ne savez pas ce que vous ne savez pas

Il y a une question que peu de dirigeants de PME se posent franchement : est-ce que je sais réellement quand un avis ANSSI ou CERT-FR me concerne ? La réponse honnête, dans la plupart des cas, est non. Pas par négligence, mais parce que personne n'a mis en place un système pour filtrer le signal du bruit.

Le CERT-FR publie en moyenne plusieurs dizaines d'avis par mois, toutes éditeurs confondus. Microsoft en concentre une part significative. Lire chaque bulletin, comprendre les produits concernés, évaluer le niveau de risque pour son propre environnement — c'est un travail à temps partiel. Que vous n'avez probablement pas le temps de faire.

C'est précisément pour ça que certaines PME commencent à s'outiller sur la veille. regwatch fait exactement ça : surveiller les publications ANSSI, CERT-FR et autres autorités, et vous envoyer chaque lundi matin un digest avec les avis qui comptent, leur niveau d'impact, et l'action à envisager — en trois lignes. Pas un flux RSS à déchiffrer, pas un tableau de bord à consulter : un email lisible par quelqu'un qui dirige une entreprise, pas un analyste SOC.

La vague de vulnérabilités Microsoft d'avril 2026 ne sera pas la dernière. Mai aura son Patch Tuesday. Juin aussi. La question n'est pas de savoir si votre prestataire s'en occupe — c'est d'avoir un moyen de vérifier qu'il ne passe rien à travers les mailles.

*Sources : CERT-FR CERTFR-2026-AVI-0486, CERT-FR CERTFR-2026-AVI-0341, Le Monde Informatique, CrowdStrike Patch Tuesday Analysis April 2026, CERTQC*

Sources