Aller au contenu principal
Cybersécurité7 min de lecture

Patch Tuesday Août 2023 : 87 failles corrigées, 2 zero-days — ce que votre PME doit faire

Patch Tuesday août 2023 : Microsoft corrige 87 vulnérabilités dont 2 zero-days activement exploitées. Analyse d'impact pour les PME et actions à mener immédiatement.

Patch Tuesday Microsoft août 2023 — correctifs de sécurité pour PME

Sommaire

Patch Tuesday août 2023 : l'essentiel en 30 secondes

Microsoft a publié son Patch Tuesday d'août 2023, corrigeant 87 vulnérabilités dont :

  • 6 failles critiques (exécution de code à distance)
  • 2 zero-days activement exploitées dans la nature
  • Correctifs pour Windows 10, Windows 11, Windows Server, Office, .NET et Visual Studio

Pour les PME : la faille Office RCE (CVE-2023-36884) est exploitée par le groupe russe Storm-0978 (ex-RomCom). Ce groupe cible les entreprises européennes avec des documents Word piégés. Si vos collaborateurs ouvrent des pièces jointes, vous êtes en danger.

Les 2 zero-days : ce qui est exploité en ce moment

CVE-2023-36884 — Exécution de code à distance Office HTML

C'est la faille la plus dangereuse du mois. Le groupe russe Storm-0978 (anciennement connu sous le nom de RomCom) exploite activement cette vulnérabilité dans Microsoft Office. L'attaque fonctionne ainsi :

  1. L'attaquant envoie un document Word spécialement conçu par e-mail
  2. Le document contourne la protection Mark of the Web (MoTW) — l'alerte de sécurité ne s'affiche pas
  3. À l'ouverture, du code malveillant s'exécute avec les droits de l'utilisateur
  4. L'attaquant peut ensuite déployer un ransomware sur tout le réseau

Pour une PME, ce scénario est le plus courant : un seul collaborateur qui ouvre une pièce jointe peut compromettre l'ensemble de l'entreprise. Storm-0978 a déjà été associé au ransomware Industrial Spy (renommé "Underground").

CVE-2023-38180 — Déni de service .NET et Visual Studio

Cette vulnérabilité permet une attaque par déni de service contre les applications .NET et Visual Studio. Un attaquant peut rendre vos applications internes ou vos services web indisponibles. Si votre PME utilise des applications métier développées en .NET, vous êtes directement concerné.

Pourquoi c'est critique pour votre PME

Les zero-days sont des failles exploitées avant même que le correctif n'existe. Au moment où Microsoft publie le patch, des attaquants les utilisent déjà. Chaque jour de retard dans l'application du correctif est une fenêtre d'opportunité pour les cybercriminels.

Les PME sont particulièrement exposées car :

  • Pas d'équipe IT dédiée pour surveiller et déployer les patchs
  • Parc hétérogène avec des versions Windows différentes
  • Aucun test de compatibilité avant déploiement (risque de régression)
  • Postes en télétravail qui ne se mettent pas à jour automatiquement

Storm-0978 cible spécifiquement les entreprises européennes — les PME françaises sont dans le viseur.

Vérifiez si votre parc est à jour

Les 6 failles critiques à corriger en priorité

Au-delà des zero-days, ce Patch Tuesday corrige 6 failles critiques (score CVSS ≥ 9.0). Ces vulnérabilités permettent une exécution de code à distance (RCE) — un attaquant peut prendre le contrôle total d'un poste ou serveur vulnérable.

Systèmes impactés :

  • Microsoft Office : Word, Excel — vecteur d'attaque par document piégé
  • Windows 10 et 11 : postes de travail de vos collaborateurs
  • Windows Server : serveurs de fichiers, Active Directory, contrôleurs de domaine
  • .NET et Visual Studio : applications métier et services web internes

Ce que votre PME doit faire maintenant

Si vous gérez votre IT en interne

  1. Déployez les mises à jour Windows via WSUS ou Windows Update dans les 48h
  2. Priorisez CVE-2023-36884 (Office RCE) : c'est la faille la plus exploitée par Storm-0978
  3. Alertez vos collaborateurs : ne pas ouvrir de pièces jointes Word inattendues
  4. Vérifiez les postes en télétravail : ils manquent souvent les mises à jour
  5. Testez les applications métier après le déploiement pour détecter les régressions

Si vous êtes client Dhala

Aucune action requise. Notre équipe a déjà :

  • Testé les patchs sur notre environnement de pré-production
  • Déployé les correctifs critiques (Office RCE, .NET DoS) sous 48h
  • Planifié le déploiement complet sur la fenêtre de maintenance habituelle
  • Supervisé les postes pour détecter toute régression

Le patching automatisé : pourquoi c'est indispensable pour une PME

Avec 87 correctifs ce mois-ci et un groupe d'attaquants russe ciblant les entreprises européennes, le patching ne peut plus attendre. Microsoft publie entre 50 et 150 correctifs chaque mois — soit plus de 1 000 par an.

Chez Dhala, notre service d'infogérance inclut :

  • Déploiement automatisé des patchs critiques sous 48h
  • Tests de compatibilité avant déploiement sur votre parc
  • Supervision 24/7 pour détecter les postes non patchés
  • Rapports mensuels de conformité pour votre direction

Le patching est inclus dans notre offre à partir de 44€/poste/mois avec le SOC managé et la protection EDR.

Automatisez le patching de votre parc

Récapitulatif Patch Tuesday août 2023

MétriqueValeur
Total de vulnérabilités87
Failles critiques (CVSS ≥ 9.0)6
Zero-days exploitées2 (Office RCE, .NET DoS)
Groupe d'attaquants actifStorm-0978 / RomCom (Russie)
Systèmes impactésOffice, Windows, Server, .NET
Urgence de déploiementCRITIQUE

Cet article est mis à jour chaque mois à l'occasion du Patch Tuesday. Pour une protection continue de votre parc, découvrez notre offre d'infogérance et cybersécurité ou demandez votre audit gratuit.

Valentin Bourgeois, fondateur Dhala Cyberdéfense

Valentin Bourgeois

Fondateur — Dhala Cyberdéfense · Meilleur Espoir MSP 2025 (BeMSP)

Expert en cybersécurité et infogérance pour PME. J'accompagne les dirigeants dans la protection de leur système d'information — de l'audit initial au SOC 24/7.

Demander un audit Sans engagement — résultats sous 48h
5.0 — 41 avis
+50 PME protégées
SOC 24/7
3 mois sans engagement

Articles similaires

Patch Tuesday Microsoft mars 2026 — correctifs de sécurité pour PME
Cybersécurité11 mars 2026

Patch Tuesday Mars 2026 : 83 failles corrigées, 2 zero-days — ce que votre PME doit faire

Patch Tuesday mars 2026 : Microsoft corrige 83 vulnérabilités dont 2 zero-days divulguées publiquement. Analyse d'impact pour les PME et actions à mener immédiatement.

Patch Tuesday Microsoft février 2026 — correctifs de sécurité pour PME
Cybersécurité10 févr. 2026

Patch Tuesday Février 2026 : 67 failles corrigées, 3 zero-days — ce que votre PME doit faire

Patch Tuesday février 2026 : Microsoft corrige 67 vulnérabilités dont 3 zero-days activement exploitées. Analyse d'impact pour les PME et actions à mener immédiatement.

Patch Tuesday Microsoft janvier 2026 — correctifs de sécurité pour PME
Cybersécurité13 janv. 2026

Patch Tuesday Janvier 2026 : 135 failles corrigées, 5 zero-days — ce que votre PME doit faire

Patch Tuesday janvier 2026 : Microsoft corrige 135 vulnérabilités dont 5 zero-days activement exploitées. Analyse d'impact pour les PME et actions à mener immédiatement.

Audit de sécurité

Testez votre posture cyber en 2 min. Sans engagement.

Lancer l'audit

Votre PME est-elle vraiment protégée ?

Audit de votre posture de sécurité. Résultats sous 48h, sans engagement. Voir nos offres.
Tester ma sécurité
Photo Valentin
ParisLyonBordeauxNancyCannesAngletMegèveReimsRouenMadridMilanMunichLondresBruxellesMontréalNew YorkSan FranciscoLas VegasDenverBrasovParisLyonBordeauxNancyCannesAngletMegèveReimsRouenMadridMilanMunichLondresBruxellesMontréalNew YorkSan FranciscoLas VegasDenverBrasovParisLyonBordeauxNancyCannesAngletMegèveReimsRouenMadridMilanMunichLondresBruxellesMontréalNew YorkSan FranciscoLas VegasDenverBrasov