Patch Tuesday mai 2026 : l'essentiel en 30 secondes
Microsoft a publié son Patch Tuesday de mai 2026, corrigeant environ 120 vulnérabilités dans ses produits (jusqu'à ~138 en comptant les composants tiers), dont :
- 0 zero-day — ni exploitée dans la nature, ni divulguée publiquement. C'est le premier mois sans zero-day depuis près de deux ans.
- 16 failles critiques
- 2 RCE non authentifiées notées CVSS 9.8 : Windows Netlogon (contrôleurs de domaine) et client DNS Windows
- Correctifs pour Windows 10/11, Windows Server, Office, Word, Excel, SharePoint Server, Hyper-V et Active Directory
Pour les PME : c'est un mois « calme », mais à ne pas relâcher. Les deux RCE 9.8 visent directement le cœur d'un système d'information de PME — l'authentification (Netlogon) et la résolution de noms (DNS). Un déploiement encadré sous 7 jours est recommandé.
Le fait marquant : aucune zero-day ce mois-ci
Pour la première fois depuis l'été 2024, le Patch Tuesday ne contient aucune zero-day — aucune faille exploitée par des attaquants au moment de la publication, ni divulguée publiquement à l'avance. Sur les ~22 mois précédents, Microsoft corrigeait en moyenne plus de 3 zero-days par mois.
Faut-il pour autant relâcher la vigilance ? Non — et c'est le piège. L'absence de zero-day ne veut pas dire absence de danger :
- Les attaquants rétro-conçoivent les correctifs dès leur publication. Pour les failles les plus graves (les RCE 9.8 ci-dessous), un exploit fonctionnel peut apparaître en quelques jours.
- Les PME qui « attendent le mois prochain » se retrouvent exposées pendant la fenêtre la plus dangereuse : celle où le correctif existe mais n'est pas déployé.
Autrement dit, un mois sans zero-day est le bon moment pour rattraper son retard de patching sans la pression de l'urgence — pas pour reporter.
Les failles critiques à corriger en priorité
CVE-2026-41089 — RCE non authentifiée dans Windows Netlogon (CVSS 9.8)
C'est la faille la plus dangereuse du mois pour une PME. Un débordement de pile pré-authentification dans le service Netlogon permet à un attaquant distant et non authentifié d'exécuter du code en niveau SYSTEM directement sur un contrôleur de domaine.
Impact PME : le contrôleur de domaine est le cœur de l'authentification Active Directory. Un compromis ici, c'est potentiellement tout le système d'information qui tombe. À patcher en priorité absolue sur tous les serveurs Windows assurant un rôle AD.
CVE-2026-41096 — RCE dans le client DNS de Windows (CVSS 9.8)
Vulnérabilité d'exécution de code à distance déclenchée par une réponse DNS malveillante. Comme tout poste et tout serveur Windows effectue en permanence des requêtes DNS, le périmètre est immense.
Impact PME : un attaquant positionné sur le réseau (Wi-Fi invité mal isolé, poste déjà compromis, serveur DNS empoisonné) peut viser n'importe quelle machine Windows. À déployer sur l'ensemble du parc.
CVE-2026-40402 — Élévation de privilèges dans Hyper-V (CVSS 9.3)
Faille d'élévation de privilèges dans Windows Hyper-V avec un potentiel d'évasion d'une machine virtuelle vers l'hôte (guest-to-host). Une VM compromise pourrait prendre la main sur le serveur de virtualisation et donc sur les autres VM.
Impact PME : critique pour toute PME qui héberge plusieurs serveurs virtualisés sur un même hôte Hyper-V — un scénario très courant.
CVE-2026-40361 et CVE-2026-40364 — RCE dans Microsoft Word (CVSS 8.4)
Deux failles d'exécution de code à distance dans Microsoft Word, classées par Microsoft « Exploitation plus probable » et déclenchables via le volet d'aperçu (preview pane) : la victime n'a même pas besoin d'ouvrir le fichier, un simple aperçu dans Outlook ou l'explorateur suffit.
Impact PME : vecteur classique — une pièce jointe piégée par email. Les PME qui reçoivent quotidiennement des documents de clients, fournisseurs ou prospects sont en première ligne. Mettez Office à jour sur tous les postes.
Autres correctifs notables
- CVE-2026-40365 — RCE dans SharePoint Server (critique) : concerne les déploiements SharePoint on-premise, souvent oubliés des cycles de mise à jour en PME.
- CVE-2026-41103 — Élévation de privilèges (CVSS 9.1) dans le plugin Microsoft SSO pour Jira & Confluence : niche, mais à traiter si vous utilisez ces outils Atlassian avec authentification Entra ID.
Répartition des vulnérabilités
Sur l'ensemble du périmètre corrigé ce mois-ci (~138 CVE en incluant les composants tiers, source Zero Day Initiative), la répartition est largement dominée par l'élévation de privilèges :
| Type | Nombre | Part |
|---|---|---|
| Élévation de privilèges (EoP) | 61 | ~44% |
| Exécution de code à distance (RCE) | 22 | ~16% |
| Divulgation d'informations | 15 | ~11% |
| Spoofing (usurpation) | 10 | ~7% |
| Déni de service (DoS) | 8 | ~6% |
| Contournement de sécurité | 6 | ~4% |
| Falsification (Tampering) | 2 | ~1% |
Note de comptage : la presse spécialisée retient ~120 vulnérabilités pour les produits Microsoft « purs » ce mois-ci ; le total grimpe à ~138 en incluant les composants tiers et l'écosystème Edge. Quel que soit le périmètre, le constat est le même : l'élévation de privilèges domine, suivie de l'exécution de code à distance.
Systèmes impactés : Windows 10 et 11, Windows Server (Netlogon, Active Directory, DNS), Microsoft Office (Word, Excel), SharePoint Server, Hyper-V, Windows GDI.
Ce que votre PME doit faire dans les 7 prochains jours
Si vous gérez votre IT en interne
En priorité (cœur du SI) :
- Patchez vos contrôleurs de domaine et serveurs Windows — RCE Netlogon CVE-2026-41089 (9.8)
- Déployez la mise à jour sur tout le parc pour la RCE client DNS CVE-2026-41096 (9.8)
- Mettez à jour vos hôtes Hyper-V si vous virtualisez (CVE-2026-40402, 9.3)
Sous 7 jours :
- Mettez à jour Microsoft Office / Word sur tous les postes (RCE via volet d'aperçu)
- Patchez SharePoint Server si vous l'hébergez on-premise (CVE-2026-40365)
- Vérifiez les postes en télétravail, qui manquent souvent les mises à jour
- Testez les applications métier après déploiement pour détecter les régressions
À surveiller :
- Trafic DNS anormal et tentatives d'empoisonnement
- Authentifications Netlogon suspectes sur les contrôleurs de domaine
- Activité inhabituelle sur les hôtes Hyper-V
Si vous êtes client Dhala
Aucune action requise. Notre équipe a déjà :
- Validé les correctifs sur notre environnement de pré-production
- Planifié le déploiement des mises à jour critiques (Netlogon, DNS, Hyper-V) sur la fenêtre de maintenance
- Maintenu la supervision SOC sur les indicateurs liés à l'authentification AD et au trafic DNS
- Profité de ce mois sans zero-day pour rattraper d'éventuels correctifs en attente sur l'ensemble des parcs supervisés
Pourquoi le patching automatisé reste indispensable — même un mois calme
Un mois sans zero-day ne change rien au fond du problème : avec ~120 correctifs ce mois-ci et plus de 1 000 par an, le patching manuel est hors de portée d'une PME sans équipe IT dédiée. Et les deux RCE 9.8 de mai rappellent qu'une seule faille non corrigée sur un contrôleur de domaine peut suffire à compromettre toute l'entreprise.
Chez Dhala, notre service d'infogérance inclut :
- Déploiement automatisé des patchs critiques sous 48h
- Tests de compatibilité sur environnement de pré-production
- Supervision 24/7 pour détecter les postes non patchés
- Rapports mensuels de conformité pour votre direction et vos clients (audit, ISO 27001, NIS 2)
Le patching managé est inclus dans notre offre à partir de 44€/poste/mois avec le SOC managé et la protection EDR/MDR.
Récapitulatif Patch Tuesday mai 2026
| Métrique | Valeur |
|---|---|
| Total de vulnérabilités (Microsoft) | ~120 |
| Failles critiques | 16 |
| Zero-day exploitée | 0 |
| Zero-day divulguée publiquement | 0 |
| CVSS le plus élevé | 9.8 (Netlogon CVE-2026-41089 & client DNS CVE-2026-41096) |
| Systèmes impactés | Windows, Office, SharePoint, AD, Hyper-V, DNS |
| Urgence de déploiement | Élevée (RCE 9.8 sur le cœur du SI) |
Cet article est mis à jour chaque mois à l'occasion du Patch Tuesday. Pour une protection continue de votre parc et un patching managé inclus, découvrez notre offre d'infogérance et cybersécurité ou demandez votre audit gratuit.
