Aller au contenu principal
Cybersécurité7 min de lecture

Patch Tuesday Mai 2023 : 38 failles corrigées, 3 zero-days — ce que votre PME doit faire

Patch Tuesday mai 2023 : Microsoft corrige 38 vulnérabilités dont 3 zero-days activement exploitées. Analyse d'impact pour les PME et actions à mener immédiatement.

Patch Tuesday Microsoft mai 2023 — correctifs de sécurité pour PME

Sommaire

Patch Tuesday mai 2023 : l'essentiel en 30 secondes

Microsoft a publié son Patch Tuesday de mai 2023, corrigeant 38 vulnérabilités dont :

  • 6 failles critiques (exécution de code à distance)
  • 3 zero-days activement exploitées dans la nature
  • Correctifs pour Windows 10, Windows 11, Windows Server et Outlook

Pour les PME : malgré un nombre de failles plus faible que d'habitude, la gravité est exceptionnelle. Trois zero-days simultanées, dont un contournement de Secure Boot par le bootkit BlackLotus — une menace au niveau du firmware de vos machines.

Les 3 zero-days : ce qui est exploité en ce moment

CVE-2023-29336 — Élévation de privilèges Win32k

Cette vulnérabilité dans le composant Win32k de Windows permet à un attaquant d'obtenir les privilèges SYSTEM — le contrôle total de la machine. Une fois ces privilèges obtenus, l'attaquant peut installer des logiciels malveillants, voler des données ou déployer un ransomware sans aucune restriction.

CVE-2023-24932 — Contournement de Secure Boot (BlackLotus)

C'est la faille la plus préoccupante du mois. Le bootkit BlackLotus exploite cette vulnérabilité pour contourner Secure Boot, la protection qui garantit que votre PC ne démarre qu'avec du code de confiance. Un attaquant peut ainsi installer du code malveillant avant même le chargement de Windows, rendant la menace quasiment invisible pour les antivirus traditionnels.

Pour les PME, c'est un cauchemar : un poste infecté par BlackLotus est compromis au niveau le plus profond. Même une réinstallation de Windows ne suffit pas toujours à éliminer la menace.

CVE-2023-29325 — Exécution de code à distance OLE (Outlook)

Cette faille permet l'exécution de code à distance via des objets OLE dans les e-mails. Un simple aperçu d'un e-mail malveillant dans Outlook peut suffire à déclencher l'exploitation — sans même ouvrir la pièce jointe. C'est le scénario le plus dangereux pour une PME : un seul collaborateur qui consulte ses e-mails peut compromettre tout le réseau.

Pourquoi c'est critique pour votre PME

Les zero-days sont des failles exploitées avant même que le correctif n'existe. Au moment où Microsoft publie le patch, des attaquants les utilisent déjà. Chaque jour de retard dans l'application du correctif est une fenêtre d'opportunité pour les cybercriminels.

Les PME sont particulièrement exposées car :

  • Pas d'équipe IT dédiée pour surveiller et déployer les patchs
  • Parc hétérogène avec des versions Windows différentes
  • Aucun test de compatibilité avant déploiement (risque de régression)
  • Postes en télétravail qui ne se mettent pas à jour automatiquement
Vérifiez si votre parc est à jour

Les 6 failles critiques à corriger en priorité

Au-delà des zero-days, ce Patch Tuesday corrige 6 failles critiques (score CVSS ≥ 9.0). Ces vulnérabilités permettent une exécution de code à distance (RCE) — un attaquant peut prendre le contrôle total d'un poste ou serveur vulnérable.

Systèmes impactés :

  • Windows 10 et 11 : postes de travail de vos collaborateurs
  • Windows Server : serveurs de fichiers, Active Directory, contrôleurs de domaine
  • Microsoft Outlook : vecteur d'attaque par simple aperçu d'e-mail
  • Composants réseau Windows : protocoles de communication internes

Ce que votre PME doit faire maintenant

Si vous gérez votre IT en interne

  1. Déployez les mises à jour Windows via WSUS ou Windows Update dans les 48h
  2. Priorisez les 3 zero-days : CVE-2023-29336, CVE-2023-24932 et CVE-2023-29325
  3. Attention à Secure Boot : le correctif CVE-2023-24932 nécessite des étapes manuelles supplémentaires — consultez le guide Microsoft
  4. Vérifiez les postes en télétravail : ils manquent souvent les mises à jour
  5. Testez les applications métier après le déploiement pour détecter les régressions

Si vous êtes client Dhala

Aucune action requise. Notre équipe a déjà :

  • Testé les patchs sur notre environnement de pré-production
  • Déployé les correctifs critiques (3 zero-days) sous 48h
  • Planifié le déploiement complet sur la fenêtre de maintenance habituelle
  • Supervisé les postes pour détecter toute régression

Le patching automatisé : pourquoi c'est indispensable pour une PME

Avec 3 zero-days en un seul mois, le patching ne peut plus attendre. Microsoft publie entre 50 et 150 correctifs chaque mois — soit plus de 1 000 par an.

Chez Dhala, notre service d'infogérance inclut :

  • Déploiement automatisé des patchs critiques sous 48h
  • Tests de compatibilité avant déploiement sur votre parc
  • Supervision 24/7 pour détecter les postes non patchés
  • Rapports mensuels de conformité pour votre direction

Le patching est inclus dans notre offre à partir de 44€/poste/mois avec le SOC managé et la protection EDR.

Automatisez le patching de votre parc

Récapitulatif Patch Tuesday mai 2023

MétriqueValeur
Total de vulnérabilités38
Failles critiques (CVSS ≥ 9.0)6
Zero-days exploitées3 (Win32k, Secure Boot, OLE)
Menace principaleBlackLotus (bootkit Secure Boot)
Systèmes impactésWindows, Outlook, Server, Secure Boot
Urgence de déploiementCRITIQUE

Cet article est mis à jour chaque mois à l'occasion du Patch Tuesday. Pour une protection continue de votre parc, découvrez notre offre d'infogérance et cybersécurité ou demandez votre audit gratuit.

Valentin Bourgeois, fondateur Dhala Cyberdéfense

Valentin Bourgeois

Fondateur — Dhala Cyberdéfense · Meilleur Espoir MSP 2025 (BeMSP)

Expert en cybersécurité et infogérance pour PME. J'accompagne les dirigeants dans la protection de leur système d'information — de l'audit initial au SOC 24/7.

Demander un audit Sans engagement — résultats sous 48h
5.0 — 40 avis
+50 PME protégées
SOC 24/7
3 mois sans engagement

Articles similaires

Patch Tuesday Microsoft mars 2026 — correctifs de sécurité pour PME
Cybersécurité11 mars 2026

Patch Tuesday Mars 2026 : 83 failles corrigées, 2 zero-days — ce que votre PME doit faire

Patch Tuesday mars 2026 : Microsoft corrige 83 vulnérabilités dont 2 zero-days divulguées publiquement. Analyse d'impact pour les PME et actions à mener immédiatement.

Patch Tuesday Microsoft février 2026 — correctifs de sécurité pour PME
Cybersécurité10 févr. 2026

Patch Tuesday Février 2026 : 67 failles corrigées, 3 zero-days — ce que votre PME doit faire

Patch Tuesday février 2026 : Microsoft corrige 67 vulnérabilités dont 3 zero-days activement exploitées. Analyse d'impact pour les PME et actions à mener immédiatement.

Patch Tuesday Microsoft janvier 2026 — correctifs de sécurité pour PME
Cybersécurité13 janv. 2026

Patch Tuesday Janvier 2026 : 135 failles corrigées, 5 zero-days — ce que votre PME doit faire

Patch Tuesday janvier 2026 : Microsoft corrige 135 vulnérabilités dont 5 zero-days activement exploitées. Analyse d'impact pour les PME et actions à mener immédiatement.

Audit de sécurité

Testez votre posture cyber en 2 min. Sans engagement.

Lancer l'audit

Votre PME est-elle vraiment protégée ?

Audit de votre posture de sécurité. Résultats sous 48h, sans engagement. Voir nos offres.
Tester ma sécurité
Photo Valentin
ParisLyonBordeauxNancyCannesAngletMegèveReimsRouenMadridMilanMunichLondresBruxellesMontréalNew YorkSan FranciscoLas VegasDenverBrasovParisLyonBordeauxNancyCannesAngletMegèveReimsRouenMadridMilanMunichLondresBruxellesMontréalNew YorkSan FranciscoLas VegasDenverBrasovParisLyonBordeauxNancyCannesAngletMegèveReimsRouenMadridMilanMunichLondresBruxellesMontréalNew YorkSan FranciscoLas VegasDenverBrasov