Patch Tuesday Mars 2026 : 83 failles corrigées, 2 zero-days — ce que votre PME doit faire

Patch Tuesday mars 2026 : l'essentiel en 30 secondes

Microsoft a publié son Patch Tuesday de mars 2026, corrigeant 83 vulnérabilités dont :

• 2 zero-days divulguées publiquement (CVE-2026-21262, CVE-2026-26127)
• Plusieurs failles critiques dont des RCE dans Office exploitables via le volet d'aperçu
• Une faille inédite dans Excel qui permet l'exfiltration de données via Copilot Agent sans interaction utilisateur
• Correctifs pour Windows 10, Windows 11, Windows Server, Office, SQL Server et Exchange

Pour les PME : les failles Office sont particulièrement dangereuses — un simple aperçu de fichier suffit à déclencher l'exploitation. Patchez en priorité les postes utilisant Outlook et Office.

Les zero-days : ce qui a été divulgué publiquement

Deux failles zero-day ont été divulguées publiquement ce mois-ci. Bonne nouvelle : elles ne sont pas encore activement exploitées dans la nature, mais le risque augmente maintenant que les détails sont publics.

CVE-2026-21262 — Élévation de privilèges dans SQL Server (CVSS 8.8)

Cette faille permet à un utilisateur connecté à SQL Server d'escalader ses privilèges jusqu'à devenir administrateur complet (sysadmin) de la base de données. Fait inhabituel : elle a été découverte par Erland Sommarskog, un expert en bases de données, dans le cadre de ses recherches sur les permissions des procédures stockées.

Impact PME : si vous utilisez SQL Server pour vos applications métier (ERP, CRM, logiciel de gestion), un compte utilisateur compromis pourrait prendre le contrôle total de vos données.

CVE-2026-26127 — Déni de service dans .NET (CVSS 7.5)

Cette vulnérabilité permet à un attaquant de provoquer un déni de service sur les applications basées sur .NET. Moins critique en gravité, mais potentiellement impactante pour les PME qui hébergent des applications web .NET.

Pourquoi c'est critique pour votre PME

Même si ces zero-days ne sont pas encore exploitées activement, la divulgation publique change la donne. Les attaquants disposent maintenant des informations nécessaires pour développer des exploits. Le délai entre divulgation et exploitation active se réduit à quelques jours.

Les PME sont particulièrement exposées car :

• Pas d'équipe IT dédiée pour surveiller et déployer les patchs
• Parc hétérogène avec des versions Windows différentes
• Aucun test de compatibilité avant déploiement (risque de régression)
• Postes en télétravail qui ne se mettent pas à jour automatiquement

Les failles critiques à corriger en priorité

Au-delà des zero-days, ce Patch Tuesday corrige plusieurs failles critiques qui méritent une attention immédiate.

CVE-2026-26110 et CVE-2026-26113 — RCE via le volet d'aperçu Office

Ces deux failles d'exécution de code à distance dans Microsoft Office sont exploitables via le volet d'aperçu (Preview Pane). L'utilisateur n'a pas besoin d'ouvrir le fichier — le simple fait de le prévisualiser dans Outlook ou l'Explorateur suffit à déclencher l'exploitation.

Impact PME : un email contenant une pièce jointe piégée peut compromettre un poste dès que l'utilisateur la survole dans Outlook. C'est le scénario classique d'attaque ciblant les PME.

CVE-2026-26144 — XSS dans Excel + exfiltration via Copilot Agent

La faille la plus inhabituelle de ce mois : une vulnérabilité Cross-Site Scripting (XSS) dans Excel qui, combinée avec Copilot Agent, permet d'exfiltrer des données sensibles sans aucune interaction utilisateur (zero-click).

Microsoft confirme dans son advisory : "Un attaquant qui exploite cette vulnérabilité pourrait potentiellement amener le mode Copilot Agent à exfiltrer des données via un canal réseau non prévu."

Impact PME : si vous utilisez Microsoft 365 Copilot, cette faille est critique. Un fichier Excel piégé pourrait extraire silencieusement vos données d'entreprise.

Répartition des vulnérabilités

Systèmes impactés :

• Windows 10 et 11 : postes de travail de vos collaborateurs
• Windows Server : serveurs de fichiers, Active Directory, Exchange
• Microsoft Office : Word, Excel, Outlook — vecteur d'attaque par pièce jointe et aperçu
• SQL Server : bases de données métier
• Microsoft 365 Copilot : nouvelle surface d'attaque via l'IA

Ce que votre PME doit faire maintenant

Si vous gérez votre IT en interne

1. Déployez les mises à jour Windows via WSUS ou Windows Update dans les 48h
2. Priorisez les failles Office (CVE-2026-26110, CVE-2026-26113) : désactivez le volet d'aperçu dans Outlook en attendant le déploiement
3. Mettez à jour SQL Server si vous utilisez des bases de données on-premise
4. Vérifiez les postes en télétravail : ils manquent souvent les mises à jour
5. Testez les applications métier après le déploiement pour détecter les régressions

Si vous êtes client Dhala

Aucune action requise. Notre équipe a déjà :

• Testé les patchs sur notre environnement de pré-production
• Déployé les correctifs critiques (failles Office et SQL Server) sous 48h
• Planifié le déploiement complet sur la fenêtre de maintenance habituelle
• Supervisé les postes pour détecter toute régression

Le patching automatisé : pourquoi c'est indispensable pour une PME

Avec 83 correctifs ce mois-ci, le patching manuel est devenu impossible pour une PME. Microsoft publie entre 50 et 150 correctifs chaque mois — soit plus de 1 000 par an.

Chez Dhala, notre service d'infogérance inclut :

• Déploiement automatisé des patchs critiques sous 48h
• Tests de compatibilité avant déploiement sur votre parc
• Supervision 24/7 pour détecter les postes non patchés
• Rapports mensuels de conformité pour votre direction

Le patching est inclus dans notre offre à partir de 44€/poste/mois avec le SOC managé et la protection EDR.

Récapitulatif Patch Tuesday mars 2026

Cet article est mis à jour chaque mois à l'occasion du Patch Tuesday. Pour une protection continue de votre parc, découvrez notre offre d'infogérance et cybersécurité ou demandez votre audit gratuit.