<?xml version="1.0" encoding="utf-8"?><rss xmlns:atom="http://www.w3.org/2005/Atom" version="2.0"><channel><title>Ivanti Blog: Publié par </title><description /><language>fr</language><atom:link rel="self" href="https://www.ivanti.com/fr/blog/authors/chris-goettl/rss" /><link>https://www.ivanti.com/fr/blog/authors/chris-goettl</link><item><guid isPermaLink="false">e28041cb-a947-4862-8224-341b4c225a38</guid><link>https://www.ivanti.com/fr/blog/june-2026-patch-tuesday</link><atom:author><atom:name>Chris Goettl</atom:name><atom:uri>https://www.ivanti.com/fr/blog/authors/chris-goettl</atom:uri></atom:author><category>Patch Tuesday</category><category>Sécurité</category><title>Patch Tuesday de juin 2026</title><description>&lt;figure&gt;&lt;img alt="Bar chart titled “CVEs Resolved per Release — Jun 2025 – Jun 2026” showing monthly counts of vulnerabilities fixed by Firefox, Chrome, Acrobat, Windows, and Edge. Small monthly bars through 2025 rise sharply in early 2026, with Chrome and Edge reaching several hundred fixes by June 2026. Vertical dashed lines mark milestones: “First AI-credited CVEs (FF148, Feb ’26)” and “AI-scale discovery (FF150 · Chr148, Apr ’26).”" src="https://static.ivanti.com/sites/marketing/media/images/blog/2026/06/cvesresolvedpermonth.png"&gt;&lt;figcaption&gt;Source : graphique généré à l’aide de Claude (Anthropic) le 9 juin 2026, sur la base d’invites conçues par l’auteur et d’un jeu de données de Chris Goettl.&lt;/figcaption&gt;&lt;/figure&gt;&lt;p&gt;Vous avez peut-être déjà vu ou entendu une référence à la Patch Apocalypse ; si ce n’est pas le cas, vous trouverez plus de détails &lt;a href="https://www.ivanti.com/fr/resources/whitepapers/the-patch-apocalypse"&gt;ici&lt;/a&gt;. Le graphique ci-dessus présente un échantillon de plusieurs applications de grands fournisseurs présentes dans nos environnements. Vous pouvez y voir, sur les douze derniers mois glissants, le nombre de CVE corrigées chaque mois dans ces applications. Avant février 2026, ce qui préoccupait le plus chaque mois était les mises à jour des systèmes d’exploitation : Microsoft, Apple, Android, les différentes distributions Linux, etc. C’était le socle autour duquel les entreprises organisaient leur maintenance mensuelle, en considérant le Patch Tuesday comme le point de départ de cette maintenance.&lt;/p&gt;&lt;p&gt;En observant les trois lignes pointillées du graphique, on constate que février a été le premier mois où la ligne bleue, représentant le système d’exploitation Microsoft Windows, a commencé à être concurrencée. C’était la première attribution de CVE découvertes par des outils d’IA. En avril, la deuxième ligne pointillée, nous avons assisté à l’annonce de Project Glasswing et à une forte hausse du nombre de CVE découvertes.&lt;/p&gt;&lt;p&gt;Avançons jusqu’au Patch Tuesday de juin : une ligne verte imposante apparaît à côté d’une ligne bleue tout aussi importante. Il s’agit de Google Chrome et de Microsoft Edge (Chromium), qui ont déjà publié deux mises à jour en juin, corrigeant au total plus de 500 CVE, dont un exploit zero-day (CVE-2026-11645). Aujourd’hui, nous sommes dans la Patch Apocalypse. La Patch Apocalypse, c’est maintenant.&lt;/p&gt;&lt;p&gt;L’objectif n’est pas d’employer une tactique alarmiste. Il s’agit de décrire le défi que de nombreuses organisations anticipaient déjà, mais que la nouvelle génération de LLM a considérablement accéléré au premier semestre 2026.&lt;/p&gt;&lt;p&gt;Les fournisseurs vont corriger davantage de CVE, à un rythme plus rapide et plus continu que tout ce que nous avons connu jusqu’à présent. Malheureusement, cela inclura également plus d’exploits zero-day et n-day qu’auparavant. Le délai entre la publication par un fournisseur et l’exploitation s’était &lt;a href="https://cloud.google.com/blog/topics/threat-intelligence/time-to-exploit-trends-2023" rel="noopener" target="_blank"&gt;déjà réduit à 5 jours selon les données de veille sur les menaces de 2023&lt;/a&gt;.&lt;/p&gt;&lt;p&gt;De nombreux fournisseurs reconnaissent la nécessité d’utiliser des outils d’IA dans leurs recherches en sécurité afin d’identifier et de corriger les failles de sécurité de leurs produits. Oracle a récemment annoncé l’intégration de la CSPU, ou mise à jour de sécurité mensuelle, dont juin constituera la deuxième occurrence dans cette nouvelle cadence de publication. Google Chrome était déjà passé à une cadence hebdomadaire en 2023. Mozilla publie généralement une à deux versions de sécurité par mois et suit désormais, lui aussi, une cadence presque hebdomadaire.&lt;/p&gt;&lt;p&gt;Ivanti observe une augmentation de 30 à 40 % du nombre de correctifs publiés chaque mois chez les fournisseurs pris en charge dans notre Patch Catalog, et nous nous attendons à ce que cette tendance continue de s’accélérer pendant un certain temps, jusqu’à atteindre un nouveau seuil stable. Mais nous pensons qu’il ne s’agit pas d’un pic : c’est la nouvelle normalité.&lt;/p&gt;&lt;p&gt;Nous revenons donc au Patch Tuesday de juin 2026, comme prévu, pour une mise à jour à date. Microsoft a corrigé 198 CVE, Google Chrome en a corrigé 74, dont l’exploit zero-day (CVE-2026-11645), et Adobe a corrigé 123 CVE au travers de 11 mises à jour.&lt;/p&gt;&lt;p&gt;À ce stade, je me sens un peu désensibilisé, mais il faut le souligner : il s’agit du plus grand nombre de CVE corrigées par Microsoft lors d’un seul Patch Tuesday. Le précédent record datait d’octobre 2025, avec 175 CVE corrigées. Cela semble presque anecdotique en comparaison du nombre de CVE corrigées par Chrome et Edge, soit 429, dans la mise à jour du 3 juin 2026 publiée la semaine précédente.&lt;/p&gt;&lt;p&gt;En élargissant la discussion au défi des publications continues : d’après le Patch Catalog d’Ivanti, un rapide décompte des mises à jour liées à la sécurité entre les Patch Tuesday de mai et de juin fait état de 89 mises à jour corrigeant 513 CVE (Chrome et Edge sont dédupliqués dans ce calcul). Ces mises à jour doivent être incluses dans votre prochaine maintenance si vous ne disposez pas aujourd’hui d’une approche de mise à jour continue.&lt;/p&gt;&lt;p&gt;Ces publications comprennent plusieurs versions pour tous les principaux navigateurs (Chrome, Firefox, Edge, Opera, etc.), des éditeurs et lecteurs PDF (Foxit, Adobe, Nitro), des outils de développement (Node.js, VSCodium, Docker), des utilitaires et applications courants (Notepad++, PuTTY, PyCharm, Wireshark, Splunk UF), des applications de productivité et de télécommunications (Teams, Zoom), entre autres.&lt;/p&gt;&lt;h2&gt;Vulnérabilités Microsoft divulguées publiquement&lt;/h2&gt;&lt;p&gt;Microsoft a corrigé une vulnérabilité de contournement de fonctionnalité de sécurité dans Windows BitLocker (&lt;a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50507" rel="noopener" target="_blank"&gt;CVE-2026-50507&lt;/a&gt;). La vulnérabilité est classée comme importante par Microsoft et affiche un score CVSS v3.1 de 6,8, mais elle a été divulguée publiquement. La CVE indique un niveau de maturité du code d’exploitation de type preuve de concept, ce qui augmente le risque d’exploitation. Un attaquant disposant d’un accès physique pourrait exploiter cette vulnérabilité pour contourner une fonctionnalité de sécurité et accéder à des données chiffrées.&lt;/p&gt;&lt;p&gt;Microsoft a corrigé une vulnérabilité de déni de service dans HTTP.sys (&lt;a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-49160" rel="noopener" target="_blank"&gt;CVE-2026-49160&lt;/a&gt;). La vulnérabilité est classée comme importante par Microsoft et affiche un score CVSS v3.1 de 7,5, mais elle a été divulguée publiquement. La CVE indique un niveau de maturité du code d’exploitation non prouvé, ce qui signifie qu’aucun exemple de code n’a été divulgué au moment de sa publication. Un attaquant non autorisé pourrait tirer parti d’une consommation non contrôlée des ressources dans HTTP/2 pour provoquer un déni de service sur un réseau.&lt;/p&gt;&lt;p&gt;Microsoft a corrigé une vulnérabilité d’élévation de privilèges dans Windows Collaborative Translation Framework (&lt;a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45586" rel="noopener" target="_blank"&gt;CVE-2026-45586&lt;/a&gt;). La vulnérabilité est classée comme importante par Microsoft et affiche un score CVSS v3.1 de 7,8, mais elle a été divulguée publiquement. La CVE indique un niveau de maturité du code d’exploitation non prouvé, ce qui signifie qu’aucun exemple de code n’a été divulgué au moment de sa publication. Un attaquant exploitant avec succès cette vulnérabilité pourrait obtenir des privilèges SYSTEM sur le système cible.&lt;/p&gt;&lt;h2&gt;Avis de sécurité Ivanti&lt;/h2&gt;&lt;p&gt;Ivanti a publié deux mises à jour de sécurité pour juin. Ces mises à jour concernent Ivanti Endpoint Manager Mobile et Ivanti Sentry, et corrigent au total quatre CVE. Des informations complémentaires et des détails sur les mesures d’atténuation sont disponibles dans l’&lt;a href="https://www.ivanti.com/blog/june-2026-security-update" target="_blank" rel="noopener"&gt;avis de sécurité de juin&lt;/a&gt;.&lt;/p&gt;&lt;h2&gt;Vulnérabilités tierces&lt;/h2&gt;&lt;p&gt;Adobe a publié 11 mises à jour corrigeant 123 CVE. Adobe a classé la mise à jour ColdFusion comme la plus prioritaire.&lt;/p&gt;&lt;p&gt;Google Chrome a corrigé 74 CVE dans la dernière mise à jour de Chrome, dont un exploit zero-day (CVE-2026-11645). Cette mise à jour intervient dans le sillage de la plus importante version de Chrome, publiée le 3 juin, qui corrigeait 429 CVE. Microsoft Edge doit également être mis à jour pour corriger ces CVE.&lt;/p&gt;&lt;h2&gt;Liste des actions à mener pour les mises à jour de juin&lt;/h2&gt;&lt;ul&gt;&lt;li&gt;Google Chrome et Microsoft Edge sont les principales priorités ce mois-ci, afin de corriger plus de 500 CVE corrigées au cours de la semaine écoulée, ainsi qu’un exploit zero-day (CVE-2026-11645).&lt;/li&gt;&lt;li&gt;La mise à jour du système d’exploitation Windows constitue la priorité suivante, car elle corrige plus de 110 CVE, selon l’édition.&lt;/li&gt;&lt;/ul&gt;</description><pubDate>Tue, 09 Jun 2026 21:27:02 Z</pubDate></item><item><guid isPermaLink="false">dff8b123-c766-4bfe-85a5-999e158b1f05</guid><link>https://www.ivanti.com/fr/blog/vulnerability-remediation-maturity</link><atom:author><atom:name>Chris Goettl</atom:name><atom:uri>https://www.ivanti.com/fr/blog/authors/chris-goettl</atom:uri></atom:author><title>Pour renforcer votre maturité en matière de sécurité, repensez vos capacités de remédiation des vulnérabilités</title><description>&lt;p id="toc_1"&gt;Les équipes de sécurité croulent sous les vulnérabilités. On parle de dizaines de milliers de résultats par trimestre. De centaines de milliers dans les grandes organisations. Les environnements informatiques actuels n’ont plus de frontières et couvrent toutes les plateformes de systèmes d’exploitation. Gérer et sécuriser ce parc de manière linéaire n’est plus viable, pas plus qu’un &lt;a href="https://www.ivanti.com/blog/vulnerability-prioritization-guide" rel="noopener" target="_blank"&gt;processus de remédiation des vulnérabilités&lt;/a&gt; qui traite chaque correctif comme une tâche simple et à faible impact.&lt;/p&gt;

&lt;p&gt;La hiérarchisation basée sur les risques aide à faire le tri dans ce bruit en intégrant le contexte des menaces et le contexte métier au processus de remédiation des vulnérabilités. Cela a constitué une avancée significative. Mais de nombreuses organisations ayant adopté cette approche ne respectent toujours pas leurs SLA, continuent de créer des frictions avec l’informatique et voient les exceptions s’accumuler plus vite que les remédiations.&lt;/p&gt;

&lt;p&gt;Savoir ce qu’il faut corriger en premier n’est qu’une partie de l’équation.&lt;/p&gt;

&lt;p&gt;La partie la plus difficile, et celle qui manque encore à de nombreux programmes, consiste à comprendre l’impact réel de ce correctif. Plus important encore : comment passer d’une remédiation mensuelle à un processus continu, tout en équilibrant risque et impact.&lt;/p&gt;

&lt;p&gt;C’est la remédiation équilibrée sur le plan opérationnel : une pratique qui consiste à évaluer l’impact réel d’un correctif avant de s’y engager. C’est l’élément critique qui manque à de nombreux programmes de remédiation des vulnérabilités, et l’un des indicateurs les plus nets de la maturité en gestion de l’exposition. &lt;a href="/fr/resources/v/doc/ivi/2897/d841d481f143" target="_blank"&gt;Le modèle de maturité de la gestion de l’exposition d’Ivanti&lt;/a&gt; l’identifie comme l’une des six capacités fondamentales qui distinguent les programmes de sécurité matures des programmes réactifs.&lt;/p&gt;

&lt;h2&gt;Qu’est-ce que la remédiation équilibrée sur le plan opérationnel ?&lt;/h2&gt;

&lt;p&gt;Le modèle de maturité la définit simplement : la capacité à corriger ou à atténuer les expositions d’une manière à la fois efficace et pragmatique. L’urgence de sécurité est mise en balance avec les réalités informatiques, comme la disponibilité des systèmes, les tests de correctifs et la continuité d’activité.&lt;/p&gt;

&lt;p&gt;En pratique, cela se résume à une équation : risque de sécurité plus impact réel égale décision de remédiation éclairée. Identifier les expositions n’a aucune valeur si vous ne pouvez pas y remédier. Et une remédiation qui crée des interruptions imprévues, perturbe les systèmes de production ou déclenche des retours arrière n’a pas réduit le risque. Elle l’a déplacé.&lt;/p&gt;

&lt;h2&gt;Le parcours de maturité de la remédiation des vulnérabilités : du réactif au stratégique&lt;/h2&gt;

&lt;h4&gt;Phase 1 : gestion traditionnelle des vulnérabilités, ou l’ère du scan-and-patch&lt;/h4&gt;

&lt;p&gt;C’est là que la remédiation des vulnérabilités a commencé pour de nombreuses organisations, et c’est aussi là que beaucoup se trouvent encore. La hiérarchisation est pilotée par le score CVSS et suit le principe du premier arrivé, premier traité. Votre scanner vous indique « Vous avez 10 000 CVE », sans contexte sur celles qui comptent réellement.&lt;/p&gt;

&lt;p&gt;Les exceptions ne sont pas documentées. Les workflows d’analyse des vulnérabilités et de remédiation résident dans des outils distincts, avec une intégration minimale.&lt;/p&gt;

&lt;p&gt;Le résultat : un fonctionnement réactif, qui consiste à courir après la dernière faille très médiatisée au lieu de traiter ce qui représente le plus grand risque pour l’environnement.&lt;/p&gt;

&lt;h4&gt;Phase 2 : hiérarchisation des vulnérabilités basée sur les risques, ou l’ajout de contexte&lt;/h4&gt;

&lt;p&gt;La hiérarchisation basée sur les risques a introduit deux questions plus pertinentes : « Cette vulnérabilité est-elle activement exploitée ? » et « Quelle est la criticité de l’actif qu’elle affecte ? » En combinant la gravité avec la veille sur les menaces et la criticité des actifs, les équipes de sécurité ont pu mieux cibler leurs efforts de remédiation des vulnérabilités. Les renseignements sur les vulnérabilités pilotés par l’IA et &lt;a href="https://www.ivanti.com/fr/resources/datasheets/ivanti-neurons-for-patch-management"&gt;l’évaluation de la fiabilité des correctifs&lt;/a&gt; ont encore accéléré ce processus en réduisant la charge d’analyse manuelle qui obligeait auparavant les équipes de sécurité à hiérarchiser avec des données incomplètes.&lt;/p&gt;

&lt;p&gt;Mais il manque encore une pièce du puzzle. La hiérarchisation basée sur les risques indique à la sécurité ce qu’elle doit corriger. Elle ne dit rien de ce dont l’informatique a besoin pour maintenir les systèmes en fonctionnement. La collaboration entre les deux équipes se fait encore souvent au cas par cas, et l’impact de la remédiation sur les opérations informatiques reste une réflexion après coup, ou plus souvent un frein qui empêche les organisations d’accélérer leurs activités de remédiation.&lt;/p&gt;

&lt;h4&gt;Phase 3 : la pièce manquante — la remédiation équilibrée sur le plan opérationnel&lt;/h4&gt;

&lt;p&gt;Pour les organisations qui ont atteint la maturité nécessaire pour comprendre les risques réels d’une exposition, la question suivante est : « Quel sera l’impact de ce correctif sur les systèmes que nous devons maintenir en fonctionnement, et pouvons-nous nous permettre de les laisser exposés ? »&lt;/p&gt;

&lt;p&gt;Lorsque la remédiation des vulnérabilités est imposée sans tenir compte des effets en aval, elle entraîne des interruptions, une résistance de l’informatique et un arriéré croissant d’exceptions qui compromettent les objectifs de sécurité mêmes à l’origine de l’urgence.&lt;/p&gt;

&lt;p&gt;&lt;a href="https://www.ivanti.com/fr/resources/research-reports/state-of-cybersecurity-report"&gt;Le rapport Ivanti 2026 sur l’état de la cybersécurité&lt;/a&gt; révèle que 48 % des professionnels de la sécurité déclarent que les équipes informatiques ne répondent pas avec suffisamment d’urgence aux préoccupations de cybersécurité, tandis que 40 % estiment que l’informatique ne comprend pas la tolérance au risque de leur organisation. C’est ce qui se produit lorsque la sécurité et l’informatique fonctionnent avec des priorités différentes et sans méthode commune pour les concilier.&lt;/p&gt;

&lt;p&gt;Les programmes les plus matures répondent à ce problème non seulement par l’alignement des processus, mais aussi par l’automatisation, qui élimine les passages de relais manuels où les frictions s’accumulent. &lt;a href="https://www.ivanti.com/resources/whitepapers/automate-it-and-endpoint-management" rel="noopener" target="_blank"&gt;Les capacités d’auto-réparation automatisées&lt;/a&gt; peuvent détecter, diagnostiquer et corriger de manière proactive les problèmes liés aux terminaux et à la cyberhygiène. Cela réduit d’emblée le volume de vulnérabilités nécessitant un triage manuel. Lorsque la remédiation est intégrée au fonctionnement des terminaux au lieu d’être ajoutée après coup, l’écart entre l’urgence de sécurité et la capacité informatique se réduit de lui-même.&lt;/p&gt;

&lt;p&gt;L’indicateur de maturité est ici clair : des KPI partagés entre la sécurité et l’informatique, des processus d’exception documentés et un système de suivi de la remédiation des vulnérabilités qui tient compte à la fois de la réduction des risques et de la continuité d’activité. Pour y parvenir en continu, l’informatique et la sécurité doivent s’appuyer sur des données et des workflows partagés.&lt;/p&gt;

&lt;p&gt;Lorsque la visibilité sur les actifs, l’agrégation des expositions, la hiérarchisation basée sur les risques et la remédiation s’exécutent sur une &lt;a href="https://www.ivanti.com/fr/resources/whitepapers/ivanti-neurons-platform"&gt;plateforme unifiée&lt;/a&gt;, l’alignement exigé par la phase 3 devient une propriété structurelle du système, plutôt qu’un acquis culturel difficilement obtenu.&lt;/p&gt;

&lt;h2&gt;En quoi la remédiation équilibrée sur le plan opérationnel diffère de la hiérarchisation basée sur les risques&lt;/h2&gt;

&lt;p&gt;La façon la plus simple de comprendre cette progression consiste à examiner les questions auxquelles chaque approche permet de répondre.&lt;/p&gt;

&lt;table&gt;
	&lt;tbody&gt;
		&lt;tr&gt;
			&lt;td&gt;
			&lt;p&gt;&lt;strong&gt;Approche&lt;/strong&gt;&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;&lt;strong&gt;Questions auxquelles elle répond&lt;/strong&gt;&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;&lt;strong&gt;Ce qu’elle ne couvre pas&lt;/strong&gt;&lt;/p&gt;
			&lt;/td&gt;
		&lt;/tr&gt;
		&lt;tr&gt;
			&lt;td&gt;
			&lt;p&gt;Gestion traditionnelle des vulnérabilités&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Combien de vulnérabilités existent ?&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Le contexte et la hiérarchisation&lt;/p&gt;
			&lt;/td&gt;
		&lt;/tr&gt;
		&lt;tr&gt;
			&lt;td&gt;
			&lt;p&gt;Hiérarchisation basée sur les risques&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Quelles vulnérabilités présentent le plus grand risque ?&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;La faisabilité opérationnelle et l’impact&lt;/p&gt;
			&lt;/td&gt;
		&lt;/tr&gt;
		&lt;tr&gt;
			&lt;td&gt;
			&lt;p&gt;Remédiation équilibrée sur le plan opérationnel&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Quelles vulnérabilités devons-nous corriger en premier, compte tenu à la fois du risque de sécurité et des contraintes opérationnelles ? Comment l’automatisation peut-elle garantir que ces correctifs sont appliqués efficacement et sans interruption ?&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;L’approche la plus complète&lt;/p&gt;
			&lt;/td&gt;
		&lt;/tr&gt;
	&lt;/tbody&gt;
&lt;/table&gt;

&lt;p&gt;Cette approche ajoute une couche de contexte à &lt;a href="/fr/resources/v/doc/ivi/2673/6fc181e54240" target="_blank"&gt;la gestion de la remédiation des vulnérabilités&lt;/a&gt; : exigences de test des correctifs, dépendances système, fenêtres de maintenance, interruptions potentielles et capacités de retour arrière. Ces éléments déterminent si un correctif tient dans la durée, ou s’il crée de nouveaux problèmes nécessitant un retour arrière.&lt;/p&gt;

&lt;h2&gt;Pourquoi la remédiation équilibrée sur le plan opérationnel est au cœur de la gestion de l’exposition&lt;/h2&gt;

&lt;p&gt;Le modèle de maturité identifie six capacités fondamentales : visibilité sur les actifs, importance des actifs, évaluation des vulnérabilités en conditions réelles, hiérarchisation des vulnérabilités guidée par les enjeux métier, remédiation équilibrée sur le plan opérationnel et intégration des données et des workflows.&lt;/p&gt;

&lt;p&gt;Parmi elles, la remédiation équilibrée sur le plan opérationnel est la couche d’exécution qui rend le reste exploitable.&lt;/p&gt;

&lt;p&gt;Sans elle, la gestion de l’exposition reste théorique. Vous pouvez constituer des inventaires d’actifs parfaits, évaluer chaque vulnérabilité avec précision et produire des tableaux de bord impressionnants.&lt;/p&gt;

&lt;p&gt;Mais si le processus de remédiation des vulnérabilités reste séparé, il crée des frictions entre la sécurité et l’informatique, les risques connus s’accumulent, les correctifs sont retardés et les indicateurs de ces tableaux de bord ne reflètent plus la posture de risque réelle.&lt;/p&gt;

&lt;p&gt;La progression de la maturité va d’une hiérarchisation ad hoc (phase 1) à une collaboration au cas par cas (phase 2), puis à une remédiation guidée par des KPI partagés (phase 3), avant d’aboutir à des rétrospectives auditées avec une boucle d’amélioration continue (phase 4). Toutes les organisations n’ont pas besoin d’atteindre la phase 4 pour chaque capacité. Mais le passage d’une remédiation ad hoc à une remédiation partagée et pilotée par des KPI est là où les gains réels se concrétisent.&lt;/p&gt;

&lt;h2&gt;L’analyse de rentabilité : équilibrer les objectifs de sécurité et les objectifs opérationnels&lt;/h2&gt;

&lt;h4&gt;Les coûts cachés d’une remédiation sans contexte opérationnel&lt;/h4&gt;

&lt;p&gt;Lorsque la remédiation des vulnérabilités est uniquement guidée par l’urgence de sécurité, les coûts s’accumulent de manière invisible jusqu’à devenir systémiques.&lt;/p&gt;

&lt;p&gt;Les interruptions imprévues sont le coût le plus évident : des systèmes métier critiques mis hors ligne sans évaluation appropriée de l’impact. Mais les effets en aval sont tout aussi dommageables.&lt;/p&gt;

&lt;p&gt;Les équipes informatiques mettent en place des contournements lorsque les exigences de sécurité sont difficiles à exécuter, créant des processus parallèles qui augmentent le risque au lieu de le réduire. La lassitude face aux exceptions s’installe lorsque celles-ci sont plus nombreuses que les cas conformes, ce qui vide les SLA de leur sens. Et la confiance entre la sécurité et l’informatique s’érode lorsque chaque partie voit l’autre comme imprudente ou comme un obstacle.&lt;/p&gt;

&lt;p&gt;&lt;a href="https://www.ivanti.com/fr/resources/research-reports/aem"&gt;Les recherches d’Ivanti&lt;/a&gt; confirment l’ampleur de ces frictions. Trente-neuf pour cent des professionnels de la cybersécurité déclarent avoir des difficultés à hiérarchiser la remédiation des risques et le déploiement des correctifs, et 35 % indiquent avoir du mal à maintenir la conformité des correctifs.&lt;/p&gt;

&lt;p&gt;Dans le même temps, &lt;a href="https://www.ivanti.com/fr/resources/research-reports/state-of-cybersecurity-report"&gt;seuls 60 % utilisent l’analyse d’impact métier&lt;/a&gt; pour éclairer la hiérarchisation des risques, et seulement 51 % utilisent un score d’exposition à la cybersécurité ou un indice basé sur les risques.&lt;/p&gt;

&lt;p&gt;Beaucoup s’appuient encore sur des indicateurs de processus comme le délai moyen de remédiation ou le pourcentage d’expositions corrigées, qui peuvent paraître positifs isolément, mais en disent peu sur l’amélioration réelle de la posture de risque par le processus de remédiation des vulnérabilités.&lt;/p&gt;

&lt;h4&gt;Le ROI d’une remédiation automatisée des vulnérabilités équilibrée sur le plan opérationnel&lt;/h4&gt;

&lt;p&gt;Lorsque les organisations opèrent ce changement, les résultats se manifestent rapidement. Les KPI partagés permettent de définir des calendriers de remédiation réalistes, ce qui améliore à son tour le respect des SLA. Le délai médian de remédiation diminue lorsque les obstacles au déploiement sont anticipés plutôt que découverts en cours de déploiement.&lt;/p&gt;

&lt;p&gt;Les correctifs tiennent dans la durée parce qu’ils prennent en compte les dépendances système et les fenêtres de maintenance, au lieu de créer de nouveaux problèmes nécessitant un retour arrière. &lt;a href="https://www.ivanti.com/blog/ring-deployment-user-feedback-patch-management-strategy" rel="noopener" target="_blank"&gt;Le déploiement par anneaux&lt;/a&gt; en est un bon exemple : les correctifs sont déployés auprès de groupes de plus en plus larges, avec une validation à chaque étape avant l’extension du périmètre. C’est ce qui rend la remédiation équilibrée concrètement applicable.&lt;/p&gt;

&lt;p&gt;Associés à des workflows automatisés qui prennent en charge la corrélation, le triage et l’orchestration du déploiement, ces mécanismes transforment la remédiation équilibrée, qui passe du concept à un système fonctionnant en continu. Lorsque la plateforme gère la complexité opérationnelle, les équipes de sécurité consacrent moins de temps à piloter le processus de remédiation et davantage à valider les résultats.&lt;/p&gt;

&lt;p&gt;Les organisations au niveau de maturité 3 ou 4 dans le modèle d’Ivanti suivent la remédiation des vulnérabilités à l’aide d’indicateurs qui reflètent à la fois les résultats de sécurité et les résultats opérationnels :&lt;/p&gt;

&lt;ul&gt;
	&lt;li&gt;SLA ventilés entre vulnérabilités connues comme exploitées et niveaux de gravité traditionnels&lt;/li&gt;
	&lt;li&gt;Délai médian de remédiation (MTTR) pour les vulnérabilités exploitées&lt;/li&gt;
	&lt;li&gt;Pourcentage de demandes d’exception examinées conjointement par la sécurité et l’informatique&lt;/li&gt;
	&lt;li&gt;Réduction des exceptions récurrentes au fil du temps&lt;/li&gt;
&lt;/ul&gt;

&lt;p&gt;La valeur stratégique va plus loin. Lorsque la gestion de la remédiation des vulnérabilités tient compte de ce dont l’informatique a besoin pour maintenir les systèmes en fonctionnement, la sécurité cesse d’être perçue comme un frein et commence à jouer le rôle de facilitateur métier. C’est ce changement qui permet d’obtenir des investissements durables et le soutien de la direction pour la gestion de l’exposition.&lt;/p&gt;

&lt;h2&gt;De la hiérarchisation à l’exécution : combler l’écart&lt;/h2&gt;

&lt;p&gt;&lt;a href="https://www.ivanti.com/fr/resources/research-reports/risk-based-patch"&gt;La hiérarchisation des vulnérabilités basée sur les risques&lt;/a&gt; était une évolution nécessaire. Mais elle n’a résolu que la moitié du problème. Savoir ce qu’il faut corriger en premier a une valeur limitée si le fait de le corriger provoque des interruptions, des résistances ou une pile croissante d’exceptions non documentées.&lt;/p&gt;

&lt;p&gt;La remédiation équilibrée sur le plan opérationnel comble l’écart en amenant la sécurité et l’informatique à travailler à partir du même référentiel. Cela se traduit par des KPI partagés, des exceptions clairement définies et des fenêtres de maintenance qui protègent la continuité d’activité. Cela signifie aussi automatiser les workflows de remédiation capables de détecter et d’éviter les interruptions potentielles avant qu’elles ne deviennent un problème.&lt;/p&gt;

&lt;p&gt;Grâce à la hiérarchisation, à la génération d’insights et à l’orchestration, la remédiation peut suivre le rythme de l’environnement au lieu de prendre du retard. Et avec une plateforme unifiée qui connecte les données des terminaux et de sécurité, les équipes ne luttent plus contre les silos : elles avancent de façon synchronisée.&lt;/p&gt;

&lt;p&gt;Pour découvrir plus en détail comment évaluer la maturité actuelle de votre organisation et élaborer un plan de progression ciblé, consultez &lt;a href="https://www.ivanti.com/fr/resources/v/doc/ivi/2897/d841d481f143"&gt;le modèle de maturité de la gestion de l’exposition d’Ivanti&lt;/a&gt;.&lt;/p&gt;
</description><pubDate>Thu, 28 May 2026 14:00:15 Z</pubDate></item><item><guid isPermaLink="false">5e510045-d9f6-4f79-86ac-861043930eda</guid><link>https://www.ivanti.com/fr/blog/may-2026-patch-tuesday</link><atom:author><atom:name>Chris Goettl</atom:name><atom:uri>https://www.ivanti.com/fr/blog/authors/chris-goettl</atom:uri></atom:author><category>Patch Tuesday</category><category>Sécurité</category><title>Patch Tuesday de mai 2026</title><description>&lt;p&gt;Dans la continuité de &lt;a href="https://www.ivanti.com/fr/resources/whitepapers/the-patch-apocalypse"&gt;Patch Apocalypse&lt;/a&gt;, nous observons déjà ce mois-ci des évolutions plus marquées dans les mises à jour de nombreux éditeurs.&lt;/p&gt;

&lt;p&gt;&lt;a href="https://blogs.oracle.com/security/accelerating-vulnerability-detection-and-response-at-oracle" rel="noopener" target="_blank"&gt;Oracle a annoncé une nouvelle cadence de publication à partir de mai 2026&lt;/a&gt; afin de répondre à l’accélération de la détection des vulnérabilités introduite par Mythos et d’autres modèles de sécurité fondés sur l’IA. Les mises à jour mensuelles Critical Security Patch Update (CSPU) viendront combler l’intervalle de deux mois entre les mises à jour trimestrielles Critical Patch Update (CPU).&lt;/p&gt;

&lt;p&gt;&lt;a href="https://blog.mozilla.org/en/privacy-security/ai-security-zero-day-vulnerabilities/" rel="noopener" target="_blank"&gt;Mozilla travaillait déjà avec des modèles d’IA avant Mythos&lt;/a&gt; ce qui a conduit à la résolution de 22 bugs ayant un impact sur la sécurité dans Firefox 148. Mozilla a annoncé poursuivre sa collaboration avec Anthropic afin d’appliquer une version préliminaire de Mythos à Firefox, et a publié Firefox 150, qui corrige 271 vulnérabilités identifiées lors de l’évaluation. Depuis la publication de &lt;a href="https://www.mozilla.org/en-US/security/advisories/mfsa2026-30/" rel="noopener" target="_blank"&gt;Firefox 150.0.0&lt;/a&gt;, Mozilla a adopté une cadence hebdomadaire plus soutenue pour les mises à jour de sécurité, avec notamment la publication de Firefox 150.0.3 lors du Patch Tuesday de mai, corrigeant entre trois et cinq CVE dans chaque version.&lt;/p&gt;

&lt;p&gt;Apple est un autre participant précoce au Project Glasswing et a récemment observé une hausse du nombre d’expositions corrigées. L’entreprise corrige généralement environ 20 CVE par mise à jour de sécurité iOS. Pour sa dernière mise à jour du 11 mai, le volume dépasse 70 CVE corrigées sur l’ensemble des 11 mises à jour Apple. Même si aucune vulnérabilité n’est activement exploitée, le nombre de mises à jour à gérer est important.&lt;/p&gt;

&lt;p&gt;Microsoft a corrigé 118 CVE dans la mise à jour du Patch Tuesday du 12 mai 2026. Aucune vulnérabilité exploitée ou divulguée publiquement n’est signalée ce mois-ci, mais les mises à jour corrigent 16 CVE critiques, 105 importantes, 5 modérées et 1 faible. Office représente probablement le risque le plus élevé ce mois-ci, avec quatre vulnérabilités RCE critiques corrigées dans cette mise à jour, mais le système d’exploitation, comme d’habitude, compte également de nombreuses CVE corrigées.&lt;/p&gt;

&lt;h2&gt;Vulnérabilités tierces (jusqu’au Patch Tuesday inclus)&lt;/h2&gt;

&lt;p&gt;Adobe a corrigé 52 CVE dans sa mise à jour du Patch Tuesday, qui comprenait 10 bulletins. Adobe Commerce est clairement la priorité : il s’agit de la seule mise à jour de priorité deux ce mois-ci, avec 10 CVE critiques, dont deux avec un score CVSS de 8,7, ainsi que plusieurs vulnérabilités DoS ne nécessitant aucun privilège d’administration pour être exploitées.&lt;/p&gt;

&lt;p&gt;Apple a publié le 11 mai des mises à jour pour ses plateformes, corrigeant entre 25 et 52 CVE selon la plateforme. Cette publication ne comprenait aucune vulnérabilité exploitée ou divulguée publiquement, mais son volume est nettement supérieur à la moyenne.&lt;/p&gt;

&lt;p&gt;Google a publié Chrome 148 le 5 mai, corrigeant 127 CVE, dont trois classées critiques. Google suit depuis quelque temps une cadence hebdomadaire pour les mises à jour de Chrome, mais la mise à jour du 5 mai est bien plus importante que la moyenne pour Chrome (il s’agit peut-être du plus grand nombre de CVE corrigées dans une seule mise à jour). Une autre version de Chrome est attendue au moment du Patch Tuesday ou peu après.&lt;/p&gt;

&lt;p&gt;Depuis la publication de Firefox 150, Mozilla suit un calendrier hebdomadaire régulier de publication pour Firefox. Mozilla a fait parler de lui avec les 271 CVE corrigées dans Firefox 150.0.0 et corrige depuis en moyenne trois à cinq CVE chaque semaine. La publication de Firefox 150.0.3 lors du Patch Tuesday est la dernière version en date ; elle corrige cinq CVE, toutes classées élevées.&lt;/p&gt;

&lt;h2&gt;Avis de sécurité Ivanti&lt;/h2&gt;

&lt;p&gt;Ivanti a publié quatre mises à jour de sécurité pour le Patch Tuesday de mai. Ces mises à jour concernent Ivanti Secure Access Client, Ivanti Xtraction, Ivanti Virtual Traffic Manager et Ivanti Endpoint Manager, et corrigent sept CVE. Vous trouverez davantage de détails et d’informations sur les mesures d’atténuation dans l’&lt;a href="https://www.ivanti.com/blog/may-2026-security-update" rel="noopener" target="_blank"&gt;Avis de sécurité de mai&lt;/a&gt;.&lt;/p&gt;

&lt;p&gt;Par ailleurs, Ivanti a publié le 7 mai une mise à jour de sécurité pour Ivanti Endpoint Manager Mobile (EPMM), qui corrige cinq CVE, dont CVE-2025-6973. Au moment de la divulgation, Ivanti avait connaissance d’une exploitation très limitée de CVE-2026-6973, qui nécessite une authentification administrateur pour réussir. Vous trouverez davantage de détails et d’informations sur les mesures d’atténuation dans l’&lt;a href="https://www.ivanti.com/blog/may-2026-epmm-security-update" rel="noopener" target="_blank"&gt;Avis de mise à jour de sécurité EPMM de mai 2026&lt;/a&gt;.&lt;/p&gt;

&lt;h2&gt;Actions à mener pour les mises à jour de mai&lt;/h2&gt;

&lt;ul&gt;
	&lt;li&gt;La cadence des mises à jour tierces s’accélère. Veillez à prioriser des calendriers de mise à jour plus fréquents pour les applications critiques, telles que les navigateurs, les applications de productivité et les applications de télécommunications.&lt;/li&gt;
	&lt;li&gt;Microsoft et Apple ont tous deux publié des mises à jour pour pratiquement toutes les plateformes. Aucun exploit n’est signalé, mais de nombreuses vulnérabilités doivent être corrigées.&lt;/li&gt;
&lt;/ul&gt;
</description><pubDate>Tue, 12 May 2026 21:52:21 Z</pubDate></item><item><guid isPermaLink="false">06cf1530-8135-42ad-a6c1-eaae3e34b25c</guid><link>https://www.ivanti.com/fr/blog/patch-apocalypse</link><atom:author><atom:name>Chris Goettl</atom:name><atom:uri>https://www.ivanti.com/fr/blog/authors/chris-goettl</atom:uri></atom:author><category>Sécurité</category><title>Nous sommes entrés dans l’apocalypse des correctifs. Ces trois excuses IT ne tiennent plus.</title><description>&lt;p&gt;Le 7 avril, Anthropic a annoncé que son modèle Claude Mythos Preview avait identifié de manière autonome des milliers de vulnérabilités zero-day de gravité élevée et critique dans tous les principaux systèmes d’exploitation et navigateurs Web. Plus de 99 % d’entre elles n’étaient pas corrigées le jour de leur divulgation.&lt;/p&gt;&lt;p&gt;Deux semaines plus tard, le 21 avril, Mozilla a déclaré avoir utilisé le même modèle pour trouver et corriger 271 vulnérabilités dans la dernière version de Firefox. Selon la propre évaluation de Mozilla : « Jusqu’à présent, nous n’avons trouvé aucune catégorie ni complexité de vulnérabilité que des humains peuvent trouver et que ce modèle ne peut pas trouver. »&lt;/p&gt;&lt;p&gt;Ces 271 vulnérabilités ne sont qu’une première vague. Chrome, Edge, Windows, macOS, Linux, FreeBSD : la faille d’exécution de code à distance vieille de 17 ans dans FreeBSD, divulguée par la red team d’Anthropic (CVE-2026-4747), donne un premier aperçu de ce qui nous attend. Tous les éditeurs relevant du projet Glasswing d’Anthropic sont en mesure de publier des correctifs à un rythme encore jamais vu dans le secteur. Tous ces correctifs deviennent des CVE publiques avec des correctifs disponibles, et finissent tous au même endroit : votre environnement.&lt;/p&gt;&lt;p&gt;Le récit autour du confinement présente également une faille. Le 21 avril, &lt;a href="https://www.bloomberg.com/news/articles/2026-04-21/anthropic-s-mythos-model-is-being-accessed-by-unauthorized-users" rel="noopener" target="_blank"&gt;Bloomberg a rapporté&lt;/a&gt; qu’un groupe lié à Discord avait obtenu un accès non autorisé à Mythos via l’environnement d’un fournisseur tiers. Anthropic affirme que l’activité n’a pas dépassé le périmètre de ce fournisseur. Que des capacités similaires soient déjà ou non entre les mains d’attaquants, le délai dont disposent les défenseurs est plus court que ne le laissait entendre l’annonce du 7 avril.&lt;/p&gt;&lt;p&gt;Mythos est arrivé dans un monde qui évoluait déjà dans cette direction. &lt;a href="https://www.crowdstrike.com/en-us/global-threat-report/" rel="noopener" target="_blank"&gt;Le rapport Global Threat Report 2026 de CrowdStrike&lt;/a&gt; a documenté une hausse de 89 % sur un an des attaques assistées par l’IA en 2025. Cette tendance existait déjà avant Mythos.&lt;/p&gt;&lt;p&gt;&lt;strong&gt;Appelons cela une apocalypse des correctifs&lt;/strong&gt;. Une apocalypse opérationnelle très concrète, où le volume et la cadence des CVE publiques assorties de correctifs disponibles sont sur le point de dépasser la façon dont travaillent aujourd’hui la plupart des équipes IT et sécurité.&lt;/p&gt;&lt;p&gt;Le NIST ressent déjà les effets de l’apocalypse des correctifs. En avril, l’agence a annoncé une évolution majeure des opérations de la National Vulnerability Database (NVD) en réponse à une augmentation de 263 % des soumissions. Le NIST ne fournira plus d’enrichissement détaillé pour toutes les vulnérabilités soumises et réservera désormais ce travail aux vulnérabilités répondant à des critères de risque élevé, comme celles figurant dans le catalogue Known Exploited Vulnerabilities de la CISA ou celles affectant des logiciels gouvernementaux critiques. Le NIST s’appuiera sur les CVE Numbering Authorities (CNA), comme Ivanti, plutôt que de réaliser sa propre évaluation indépendante.&lt;/p&gt;&lt;p&gt;Depuis l’annonce, j’entends trois variantes de la même réponse chez les clients et mes pairs. Toutes trois sont les déclinaisons d’un programme conçu pour un monde plus lent.&lt;/p&gt;&lt;h2 id="toc_1"&gt;« Nous avons un scanner de vulnérabilités »&lt;/h2&gt;&lt;p&gt;Qualys, Rapid7 et Tenable font très bien la découverte de vulnérabilités. Les scanners détectent, signalent, évaluent et listent. Le déploiement, la vérification, la gestion des redémarrages et le retour arrière ne relèvent pas de leur périmètre. Ce travail doit tout de même être réalisé quelque part. Dans la plupart des programmes, il se fait dans un outil distinct, avec une équipe distincte, selon une cadence distincte.&lt;/p&gt;&lt;p&gt;Alors que la fenêtre d’exploitation se compte désormais en heures et que la file d’attente Glasswing s’apprête à doubler le backlog, un scanner qui produit 587 vulnérabilités critiques et transmet la liste à une équipe humaine devient un facteur de risque. L’approche pragmatique consiste à connecter le scanner que vous possédez déjà à un moteur de remédiation capable d’agir automatiquement sur ses résultats. Une plateforme de &lt;a href="https://www.ivanti.com/fr/autonomous-endpoint-management"&gt;gestion autonome des terminaux&lt;/a&gt; (AEM), avec déploiement par anneaux et retour arrière, ainsi qu’une veille sur les vulnérabilités pour fournir un contexte fondé sur le risque aux décisions de remédiation efficaces, afin que la liste se réduise sans qu’un humain ait à prendre chaque décision.&lt;/p&gt;&lt;h2 id="toc_2"&gt;« Nous faisons passer les approbations par notre système de tickets »&lt;/h2&gt;&lt;p&gt;Puisque nous parlons de décisions humaines… Les longs processus d’approbation linéaires vont fortement ralentir la remédiation. Quand avez-vous dû décider pour la dernière fois si vous alliez déployer la dernière mise à jour d’un système d’exploitation ou d’un navigateur ?&lt;/p&gt;&lt;p&gt;Les organisations savent déjà qu’elles vont déployer ces mises à jour. Le processus d’approbation est souvent dû à des politiques internes complexes et à un manque d’alignement sur les résultats attendus en matière de sécurité. Résultat ? Un processus très linéaire qui implique le scanner de vulnérabilités mentionné plus haut, un analyste qui approuve ce que vous savez déjà devoir faire, des tickets envoyés aux responsables métier pour approbation et qui restent dans les boîtes de réception en attendant une réponse, et au final un temps précieux perdu sur une décision qui était, en substance, déjà bien comprise et n’avait pas besoin d’être prise.&lt;/p&gt;&lt;p&gt;L’évolution du marché vers la &lt;a href="https://www.ivanti.com/fr/exposure-management"&gt;gestion de l’exposition&lt;/a&gt; aborde ce processus de manière très différente, en se concentrant sur la définition de l’appétence au risque de l’organisation et sur la surveillance de sa posture de risque. La prochaine fois qu’une mise à jour de l’OS Windows sera publiée, vous saurez déjà que vous allez la déployer, selon quel calendrier, et avec quels SLA et indicateurs de conformité vous mesurerez la réussite. Ce que vous voulez vraiment savoir, c’est :&lt;/p&gt;&lt;p&gt;1. Dois-je aller plus vite parce que la mise à jour inclut des vulnérabilités connues exploitées ?&lt;/p&gt;&lt;p&gt;Ou&lt;/p&gt;&lt;p&gt;2. La mise à jour a-t-elle un impact sur les opérations, ce qui nous oblige à ralentir (heureusement, la plateforme de gestion autonome des terminaux inclut le déploiement par anneaux avec retour arrière) ?&lt;/p&gt;&lt;h2 id="toc_3"&gt;« Nous avons Intune »&lt;/h2&gt;&lt;p&gt;Microsoft Intune présente ici deux limites de périmètre importantes.&lt;/p&gt;&lt;p&gt;Premièrement, il ne gère que les appareils qui y sont inscrits. Les endpoints non inscrits et non gérés — serveurs, ordinateurs portables de prestataires, shadow IT, appareils en périphérie négligés — échappent totalement à sa visibilité. En période d’augmentation du volume de vulnérabilités, ces angles morts se multiplient plus vite que les équipes ne peuvent les traiter manuellement.&lt;/p&gt;&lt;p&gt;Deuxièmement, si Intune simplifie le déploiement et la mise à jour des applications, sa couverture des applications tierces et la profondeur de sa priorisation sont plus limitées que ne l’imaginent la plupart des administrateurs. Intune peut vous indiquer &lt;em&gt;ce qui n’est plus à jour&lt;/em&gt;, mais pas &lt;em&gt;ce qui augmente réellement votre exposition&lt;/em&gt; — ce qui oblige les équipes à tout corriger de manière réactive, ou à se fier à des suppositions lorsque le temps manque.&lt;/p&gt;&lt;p&gt;La plupart des environnements d’entreprise ne sont pas exclusivement Windows, entièrement inscrits, ni limités à une petite pile applicative homogène. Lorsque les divulgations de vulnérabilités explosent, le routage des correctifs laisse des failles et se transforme en risque systémique.&lt;/p&gt;&lt;p&gt;Conservez Intune. Associez-le à une couche de découverte et de remédiation qui trouve les actifs qu’Intune ne voit pas, priorise les vulnérabilités les plus importantes et applique les correctifs en toute confiance sur les applications qu’Intune ne couvre pas.&lt;/p&gt;&lt;h2 id="toc_4"&gt;Que faire face à cette situation&lt;/h2&gt;&lt;p&gt;L’automatisation est le modèle opérationnel. Elle doit être intégrée au workflow.&lt;/p&gt;&lt;p&gt;Les praticiens connaissent ce principe depuis quelque temps. Il se manifeste à trois niveaux :&lt;/p&gt;&lt;ul&gt;&lt;li&gt;&lt;strong&gt;Triage continu.&lt;/strong&gt; Les vulnérabilités connues exploitées peuvent suivre un parcours de réponse zero-day, en particulier dans les parties moins sécurisées de l’organisation, comme les systèmes des utilisateurs finaux. Au-delà, définissez des applications spécifiques, comme les navigateurs et les applications de télécommunication, à mettre à jour selon un parcours prioritaire contrôlé chaque semaine, voire chaque jour. Tout le reste peut attendre la prochaine fenêtre de maintenance régulière.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Déploiement par anneaux avec retour arrière automatisé.&lt;/strong&gt; Anneau de test, anneau d’adopteurs précoces, production étendue, environnements critiques. La séquence est classique, et elle fonctionne pour la plupart des opérations de maintenance. Ce qui a changé, c’est que certaines mises à jour devront être accélérées pour s’inscrire dans la fenêtre d’exploitation, au lieu d’attendre votre maintenance mensuelle. L’anneau de test doit être automatisé et instrumenté : une checklist humaine ne peut pas aller aussi vite.&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Vérification en boucle fermée.&lt;/strong&gt; Le correctif n’est pas considéré comme déployé tant que son installation sur l’endpoint n’a pas été vérifiée, et la CVE n’est pas clôturée tant qu’une nouvelle analyse ne l’a pas confirmé. La plupart des équipes sautent cette étape, ce qui explique pourquoi les preuves de conformité deviennent une urgence la semaine précédant l’audit. C’est pourquoi nous avons lancé cette semaine la conformité continue dans notre plateforme : afin que les preuves de conformité soient produites en continu et automatiquement au fur et à mesure du déploiement des correctifs, l’automatisation prenant en charge les décisions de priorisation pour lesquelles la plupart des équipes n’ont pas de capacité disponible.&lt;/li&gt;&lt;/ul&gt;&lt;p&gt;Les 271 vulnérabilités Firefox de Mozilla ne sont qu’un aperçu. Tous les grands éditeurs logiciels relevant de Glasswing sont sur le point de commencer à corriger davantage de vulnérabilités, à un rythme accéléré, tandis que les attaquants disposant de capacités du même ordre chercheront précisément ces ouvertures dès qu’ils auront accès à un modèle similaire. La course à l’armement qui en résultera autour de l’IA aura un effet direct sur le nombre et la fréquence des mises à jour que les organisations devront remédier, là encore à un rythme accéléré. C’est l’automatisation qui permet à un programme de tenir dans la durée. Les équipes qui s’en tiennent encore à une gestion des correctifs uniquement mensuelle s’exposent à une période difficile.&lt;/p&gt;&lt;p&gt;Si vous pilotez un programme IT ou sécurité, l’auto-évaluation mérite d’être faite dès maintenant. Prenez le dernier correctif critique que vous avez déployé. Mieux encore : si une zero-day était publiée un vendredi, seriez-vous capable d’y remédier avant lundi ? Mesurez le délai entre la publication de la CVE et l’installation vérifiée sur le dernier endpoint. Si ce délai se compte en semaines, l’apocalypse des correctifs vous rattrapera.&lt;/p&gt;</description><pubDate>Wed, 29 Apr 2026 14:00:07 Z</pubDate></item><item><guid isPermaLink="false">523f95ca-e404-491b-ade3-504d0192d81a</guid><link>https://www.ivanti.com/fr/blog/april-2026-patch-tuesday</link><atom:author><atom:name>Chris Goettl</atom:name><atom:uri>https://www.ivanti.com/fr/blog/authors/chris-goettl</atom:uri></atom:author><category>Patch Tuesday</category><category>Sécurité</category><title>Patch Tuesday d’avril 2026</title><description>&lt;p&gt;La période précédant le Patch Tuesday a été riche en événements. Une vulnérabilité zero-day dans Google Chrome (CVE-2026-5281) a été corrigée le 1er avril, une vulnérabilité zero-day dans Adobe Acrobat Reader (&lt;a href="https://helpx.adobe.com/security/products/acrobat/apsb26-43.html" rel="noopener" target="_blank"&gt;CVE-2026-34621&lt;/a&gt;) en fin de journée le vendredi 10 avril, et plusieurs CVE plus anciennes ont été ajoutées hier à la liste KEV de la CISA (&lt;a href="https://www.cisa.gov/news-events/alerts/2026/04/13/cisa-adds-seven-known-exploited-vulnerabilities-catalog" rel="noopener" target="_blank"&gt;13 avril&lt;/a&gt;). Le tout dans un contexte où le secteur parle beaucoup d’Anthropic Mythos et du &lt;a href="https://www.anthropic.com/glasswing" rel="noopener" target="_blank"&gt;Project Glasswing&lt;/a&gt;.&lt;/p&gt;

&lt;p&gt;Quel est le lien entre ces événements et Project Glasswing ? La plupart des discussions autour de Mythos se sont concentrées sur ses cas d’utilisation et leurs répercussions.&lt;/p&gt;

&lt;p&gt;La détection de failles exploitables dans le code peut être un outil très utile lorsqu’elle est effectuée par l’éditeur qui écrit ce code avant sa publication. Toutefois, elle sera également utilisée par des chercheurs et des acteurs malveillants pour trouver des failles dans du code déjà publié, et c’est sur ce point que porte ma réflexion.&lt;/p&gt;

&lt;p&gt;Considérez les effets en cascade d’un modèle de grande envergure comme Mythos et ce qu’il impliquera à court et à plus long terme pour les logiciels utilisés par les entreprises. À court terme, les grands acteurs utiliseront ce type de solution pour publier du code plus sécurisé. À mesure que les chercheurs et les acteurs malveillants adopteront des modèles d’IA plus robustes pour identifier des failles exploitables, cela se traduira par davantage de divulgations coordonnées (positif), d’exploits zero-day (négatif) et d’exploits n-day (négatif). Tout cela entraînera des mises à jour logicielles plus fréquentes et, surtout, plus urgentes.&lt;/p&gt;

&lt;p&gt;De nombreuses organisations peinent actuellement à suivre le rythme des mises à jour prioritaires qui corrigent des vulnérabilités exploitées lorsqu’elles surviennent en dehors de leur maintenance mensuelle habituelle. Je pense que la plupart des organisations n’ont pas eu connaissance de l’exploit zero-day d’Adobe Acrobat avant la mise à jour KEV de la CISA hier. Cela signifie que les acteurs malveillants ont bénéficié de 2 à 3 jours supplémentaires pour exploiter CVE-2026-34621 avant que la plupart des organisations n’en soient informées, et beaucoup d’entre elles traiteront probablement cette mise à jour dans le cadre de leur maintenance régulière, qui commence aujourd’hui avec le Patch Tuesday.&lt;/p&gt;

&lt;p&gt;Les mises à jour de sécurité des navigateurs sont hebdomadaires. De nombreuses autres applications que les utilisateurs emploient régulièrement publient des mises à jour selon un calendrier continu, et non à une date mensuelle fixe. Cela signifie que nombre des exploits ciblant les utilisateurs se produiront dans des logiciels publiés en dehors des calendriers de maintenance de la plupart des organisations, et cette fréquence est sur le point d’augmenter. Il est difficile de dire si cette hausse sera de 1,5 fois ou de 5 fois, mais soyez assurés qu’elle sera perceptible et aggravera un défi auquel la plupart des organisations sont déjà confrontées : la gestion rapide des correctifs.&lt;/p&gt;

&lt;p&gt;C’est là qu’intervient la gestion de l’exposition. Il s’agit autant d’un changement d’état d’esprit et de maturité que d’une évolution technologique. Ce changement d’état d’esprit nous oblige à envisager un monde dans lequel nous devons prendre les décisions en amont et les surveiller. C’est ce que l’on appelle définir son appétence au risque et surveiller sa posture de risque. Effectuée efficacement, cette démarche fait gagner en maturité la réponse des organisations face aux risques et rend les activités de remédiation beaucoup plus claires.&lt;/p&gt;

&lt;p&gt;L’évolution technologique exige que les technologies traditionnelles d’évaluation des vulnérabilités s’intègrent dans un écosystème plus large, où la visibilité des actifs ou le système de référence se combine avec des solutions d’évaluation des vulnérabilités et de renseignement sur les vulnérabilités afin d’affiner les décisions : agir plus immédiatement face à certains risques ou attendre les opérations de maintenance régulières. Le plus important est que cette pile technologique soit intégrée à votre plateforme AEM (Autonomous Endpoint Management), car c’est là que la remédiation s’effectue principalement et automatiquement.&lt;/p&gt;

&lt;p&gt;Revenons maintenant à notre point Patch Tuesday habituel. Microsoft a corrigé 169 CVE ce mois-ci, ce qui constitue un ensemble de correctifs très important pour un Patch Tuesday. Le Patch Tuesday d’avril est le deuxième plus important jamais enregistré, derrière celui d’octobre 2025, qui avait corrigé 175 CVE. Il comprend un exploit zero-day (CVE-2026-3220) et une divulgation publique (CVE-2026-33825), répartis entre 8 vulnérabilités critiques, 156 importantes, 3 modérées et 1 faible.&lt;/p&gt;

&lt;p&gt;La CVE zero-day se trouve dans Microsoft SharePoint et la divulgation publique concerne Microsoft Defender, ce qui fait de ces deux mises à jour les plus urgentes du mois, en plus des mises à jour Adobe Acrobat et Google Chrome publiées avant le Patch Tuesday.&lt;/p&gt;

&lt;h2&gt;Vulnérabilités Microsoft exploitées connues&lt;/h2&gt;

&lt;p&gt;Microsoft a corrigé une vulnérabilité d’usurpation de serveur dans Microsoft SharePoint (&lt;a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32201" rel="noopener" target="_blank"&gt;CVE-2026-32201&lt;/a&gt;). La vulnérabilité est classée Important par Microsoft et présente un score CVSS v3.1 de 6,5, mais son exploitation active a été confirmée. Un attaquant qui parvient à exploiter cette vulnérabilité peut consulter des informations sensibles et modifier les informations divulguées. La vulnérabilité affecte SharePoint Server Subscription Edition, SharePoint Server 2019 et SharePoint Server 2016. Une méthodologie de priorisation fondée sur les risques justifie de traiter cette vulnérabilité comme plus sévère que ne l’indiquent la classification de l’éditeur ou le score CVSS attribué.&lt;/p&gt;

&lt;h2&gt;Vulnérabilités Microsoft divulguées publiquement&lt;/h2&gt;

&lt;p&gt;Microsoft a corrigé une vulnérabilité d’élévation de privilèges dans Microsoft Defender (&lt;a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33825" rel="noopener" target="_blank"&gt;CVE-2026-33825&lt;/a&gt;). La vulnérabilité est classée Important par Microsoft et présente un score CVSS v3.1 de 7,8, mais elle a été divulguée publiquement. La CVE indique que la maturité du code d’exploitation est de type preuve de concept, ce qui accroît son risque d’exploitation. Un attaquant pourrait utiliser cette vulnérabilité pour permettre à un attaquant autorisé d’élever ses privilèges au niveau SYSTEM sur la machine locale.&lt;/p&gt;

&lt;h2&gt;Avis de sécurité Ivanti&lt;/h2&gt;

&lt;p&gt;Ivanti a publié une mise à jour de sécurité pour avril. Cette mise à jour concerne Ivanti Neurons for ITSM et corrige deux CVE. Vous trouverez plus de détails et d’informations sur les mesures d’atténuation dans l’&lt;a href="https://www.ivanti.com/blog/april-2026-security-update" rel="noopener" target="_blank"&gt;avis de sécurité d’avril&lt;/a&gt;.&amp;nbsp;&lt;/p&gt;

&lt;h2&gt;Vulnérabilités tierces&lt;/h2&gt;

&lt;p&gt;Adobe a publié douze mises à jour ce mois-ci, dont onze lors du Patch Tuesday, ainsi que la mise à jour zero-day pour Acrobat publiée le vendredi 10 avril. 54 CVE ont été corrigées, réparties entre 39 critiques, 13 importantes et 2 modérées. APSB26-43 a corrigé l’exploit zero-day (&lt;a href="https://helpx.adobe.com/security/products/acrobat/apsb26-43.html" rel="noopener" target="_blank"&gt;CVE-2026-34621&lt;/a&gt;).&lt;/p&gt;

&lt;h2&gt;Liste des tâches pour les mises à jour d’avril&lt;/h2&gt;

&lt;ul&gt;
	&lt;li&gt;Adobe Acrobat (&lt;a href="https://helpx.adobe.com/security/products/acrobat/apsb26-43.html" rel="noopener" target="_blank"&gt;CVE-2026-34621&lt;/a&gt;) et Google Chrome (CVE-2026-5281) ont tous deux fait l’objet d’exploits zero-day avant le Patch Tuesday. Veillez à prioriser la remédiation de ces deux produits vers leur dernière version.&lt;/li&gt;
	&lt;li&gt;Microsoft SharePoint comprend un exploit zero-day (&lt;a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-32201" rel="noopener" target="_blank"&gt;CVE-2026-32201&lt;/a&gt;) et doit être examiné en priorité, en particulier si vous rencontrez des difficultés connues de mise à jour dans vos environnements SharePoint.&lt;/li&gt;
	&lt;li&gt;La mise à jour du système d’exploitation Microsoft Windows de ce mois-ci corrige 133 CVE (selon l’édition) et inclut 4 CVE critiques. Cette mise à jour corrigera un nombre important de constats dans votre environnement.&lt;/li&gt;
&lt;/ul&gt;
</description><pubDate>Tue, 14 Apr 2026 22:51:36 Z</pubDate></item><item><guid isPermaLink="false">e38d85e0-7644-4251-bd83-59615ad9d09e</guid><link>https://www.ivanti.com/fr/blog/march-2026-patch-tuesday</link><atom:author><atom:name>Chris Goettl</atom:name><atom:uri>https://www.ivanti.com/fr/blog/authors/chris-goettl</atom:uri></atom:author><category>Patch Tuesday</category><category>Sécurité</category><title>Patch Tuesday de mars 2026</title><description>&lt;p&gt;Le Patch Tuesday de mars corrige 79 CVE, dont trois critiques et 76 importantes. Deux CVE ont été divulguées publiquement ce mois-ci, mais aucune n’est exploitée. Microsoft a également publié une mise à jour d’Edge corrigeant neuf CVE de Chrome. Les divulgations publiques comprennent une vulnérabilité de déni de service dans .NET et une vulnérabilité d’élévation de privilèges dans SQL Server. Dans les deux cas, la maturité du code d’exploitation est indiquée comme non prouvée, ce qui signifie que les divulgations ne comprenaient aucun exemple de code.&lt;/p&gt;

&lt;p&gt;Adobe et Mozilla ont publié des mises à jour dans le cadre du Patch Tuesday de mars, notamment huit mises à jour d’Adobe corrigeant au total 80 CVE, dont 21 sont classées critiques. Mozilla Firefox 148.0.2 a été publié afin de corriger trois CVE de gravité élevée.&lt;/p&gt;

&lt;h2&gt;Vulnérabilité Microsoft divulguée publiquement&lt;/h2&gt;

&lt;p&gt;Microsoft a corrigé une vulnérabilité d’élévation de privilèges dans SQL Server (CVE-2026-21262). Cette vulnérabilité est classée importante par Microsoft et présente un score CVSS v3.1 de 8,8, mais elle a été divulguée publiquement. Un attaquant exploitant avec succès cette vulnérabilité pourrait obtenir des privilèges d’administrateur système SAL. La vulnérabilité affecte SQL Server 2016 et les éditions ultérieures.&lt;/p&gt;

&lt;p&gt;Microsoft a corrigé une vulnérabilité de déni de service dans .NET (CVE-2026-26127). Cette vulnérabilité est classée importante par Microsoft et présente un score CVSS v3.1 de 7,5, mais elle a été divulguée publiquement. Un attaquant pourrait provoquer une lecture hors limites dans .NET, permettant à un attaquant non autorisé de provoquer un déni de service via un réseau. La vulnérabilité affecte .NET 9 et 10 sur Windows, Mac OS et Linux, ainsi que les packages NuGet 9 et 10.&lt;/p&gt;

&lt;h2&gt;Vulnérabilités de tiers&lt;/h2&gt;

&lt;p&gt;Adobe a publié huit mises à jour ce mois-ci, corrigeant au total 80 CVE, dont 21 sont classées critiques. Adobe Commerce est la priorité la plus élevée ce mois-ci, avec une note de priorité 2. Les autres produits affectés incluent Adobe Illustrator, Substance 3D Painter, Acrobat et Acrobat Reader, Premier Pro, Experience Manager, Substance 3D Stager et DNG SDK.&lt;/p&gt;

&lt;p&gt;Mozilla a publié une mise à jour pour Firefox 148.0.2 corrigeant trois vulnérabilités de gravité élevée.&lt;/p&gt;

&lt;h2&gt;Liste des actions à effectuer pour les mises à jour de mars&lt;/h2&gt;

&lt;p&gt;Les mises à jour de l’OS Microsoft et d’Office permettront de corriger la majorité des CVE traitées ce mois-ci en seulement deux mises à jour.&lt;/p&gt;

&lt;p&gt;Mozilla Firefox, Microsoft Edge et Google Chrome publient tous fréquemment des versions. Priorisez les mises à jour des navigateurs chaque semaine, voire chaque jour, afin de réduire les risques en continu avec un impact minimal.&lt;/p&gt;
</description><pubDate>Tue, 10 Mar 2026 21:01:35 Z</pubDate></item><item><guid isPermaLink="false">c81d832f-fdad-4c0c-b0fe-360160ea3384</guid><link>https://www.ivanti.com/fr/blog/february-2026-patch-tuesday</link><atom:author><atom:name>Chris Goettl</atom:name><atom:uri>https://www.ivanti.com/fr/blog/authors/chris-goettl</atom:uri></atom:author><category>Patch Tuesday</category><category>Sécurité</category><title>Patch Tuesday de février 2026</title><description>&lt;p&gt;Le Patch Tuesday de février inclut des mises à jour hors cycle récentes de Microsoft, publiées entre le 17 et le 29 janvier, comprenant plusieurs corrections de bugs et un correctif pour un exploit zero-day dans Microsoft Office. En outre, Microsoft a annoncé la désactivation progressive de NTLM avant la publication du Patch Tuesday de février 2026.&lt;/p&gt;

&lt;p&gt;Pour la version du Patch Tuesday de février, Microsoft a corrigé 57 CVE uniques. Six CVE sont signalées comme exploitées, et trois d’entre elles ont également été divulguées publiquement. En ajoutant la vulnérabilité zero-day hors cycle (OOB), cela constitue un ensemble de CVE qui méritent une attention particulière.&lt;/p&gt;

&lt;h2&gt;Publications hors cycle de janvier&lt;/h2&gt;

&lt;p&gt;La première publication OOB, le 17 janvier, a corrigé un échec d’invite d’identifiants lors de tentatives de connexion à un bureau distant ou à une appliance distante. La deuxième série de mises à jour OOB a eu lieu les 24 et 26 janvier, corrigeant des plantages d’applications dans Outlook et OneDrive, ainsi que des problèmes de mise en veille prolongée et d’arrêt du système. Enfin, la troisième mise à jour OOB, le 26 janvier, concernait une vulnérabilité zero-day CVE-&lt;a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21509" rel="noopener" target="_blank"&gt;2026-21509&lt;/a&gt;, une vulnérabilité de contournement de fonctionnalité de sécurité dans Microsoft Office.&lt;/p&gt;

&lt;h2&gt;Microsoft prévoit la désactivation progressive de NTLM&lt;/h2&gt;

&lt;p&gt;Microsoft a publié son plan de &lt;a href="https://techcommunity.microsoft.com/blog/windows-itpro-blog/advancing-windows-security-disabling-ntlm-by-default/4489526" rel="noopener" target="_blank"&gt;désactivation progressive&lt;/a&gt; de New Technology LAN Manager (NTLM) dans les systèmes d’exploitation les plus récents, à partir de 2026 et au-delà. Le protocole d’authentification NTLM a été introduit en 1993 et a depuis été remplacé par les protocoles Kerberos, bien plus sécurisés. Toutefois, NTLM est resté la solution de repli lorsque Kerberos n’est pas disponible, malgré son obsolescence et la faiblesse de ses algorithmes.&lt;/p&gt;

&lt;p&gt;La première phase introduit des audits supplémentaires afin d’identifier où NTLM peut encore être utilisé et de &lt;a href="https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/active-directory-hardening-series---part-8-%E2%80%93-disabling-ntlm/4485782" rel="noopener" target="_blank"&gt;le remplacer&lt;/a&gt; lorsque cela est possible. Dès maintenant, Microsoft recommande d’utiliser &lt;a href="https://support.microsoft.com/en-us/topic/overview-of-ntlm-auditing-enhancements-in-windows-11-version-24h2-and-windows-server-2025-b7ead732-6fc5-46a3-a943-27a4571d9e7b" rel="noopener" target="_blank"&gt;l’audit NTLM avancé&lt;/a&gt; déjà disponible dans Server 2025, ainsi que dans Windows 11 24H2 et les versions ultérieures. La deuxième phase commencera avec les mises à jour majeures du système d’exploitation prévues plus tard cette année. Cette mise à jour traitera les « points de friction » ou obstacles en supprimant plusieurs scénarios de repli dans lesquels Kerberos revient à NTLM.&lt;/p&gt;

&lt;p&gt;Enfin, lors de la troisième phase, NTLM sera désactivé par défaut. Le code sera toujours présent, mais vous devrez le réactiver explicitement en cas de nécessité absolue. Cette approche en trois phases se déroulera rapidement : planifiez donc correctement le remplacement de NTLM dans votre environnement afin de franchir une étape majeure en matière de sécurité. La phase « NTLM désactivé par défaut » interviendra avec la prochaine mise à jour majeure de Server.&lt;/p&gt;

&lt;h2&gt;Vulnérabilités Microsoft exploitées&lt;/h2&gt;

&lt;p&gt;Le 29 janvier, Microsoft a corrigé une vulnérabilité de contournement de fonctionnalité de sécurité dans Microsoft Office (&lt;a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21509" rel="noopener" target="_blank"&gt;CVE-2026-21509&lt;/a&gt;). La vulnérabilité est classée Important par Microsoft et présente un score CVSS v3.1 de 7,8, mais son exploitation active a été confirmée. Un attaquant peut envoyer à un utilisateur un fichier Office malveillant et le convaincre de l’ouvrir afin d’exploiter la vulnérabilité. Une méthodologie de priorisation fondée sur les risques justifie de traiter cette vulnérabilité comme plus sévère que ne l’indiquent la classification de l’éditeur ou le score CVSS attribué.&lt;/p&gt;

&lt;p&gt;Microsoft a corrigé une vulnérabilité d’élévation de privilèges dans Remote Desktop Services (&lt;a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21533" rel="noopener" target="_blank"&gt;CVE-2026-21533&lt;/a&gt;). La vulnérabilité est classée Important par Microsoft et présente un score CVSS v3.1 de 7,8, mais son exploitation active a été confirmée. Un attaquant qui exploiterait avec succès cette vulnérabilité pourrait obtenir des privilèges SYSTEM. La vulnérabilité affecte Windows 10 et les éditions ultérieures du système d’exploitation. Une méthodologie de priorisation fondée sur les risques justifie de traiter cette vulnérabilité comme plus sévère que ne l’indiquent la classification de l’éditeur ou le score CVSS attribué.&lt;/p&gt;

&lt;p&gt;Microsoft a corrigé une vulnérabilité d’élévation de privilèges dans Desktop Window Manager (&lt;a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21519" rel="noopener" target="_blank"&gt;CVE-2026-21519&lt;/a&gt;). La vulnérabilité est classée Important par Microsoft et présente un score CVSS v3.1 de 7,8, mais son exploitation active a été confirmée. Un attaquant qui exploiterait avec succès cette vulnérabilité pourrait obtenir des privilèges SYSTEM. La vulnérabilité affecte toutes les versions actuellement prises en charge et prises en charge via ESU du système d’exploitation Windows. Une méthodologie de priorisation fondée sur les risques justifie de traiter cette vulnérabilité comme plus sévère que ne l’indiquent la classification de l’éditeur ou le score CVSS attribué.&lt;/p&gt;

&lt;p&gt;Microsoft a corrigé une vulnérabilité de contournement de fonctionnalité de sécurité dans MSHTML Framework (&lt;a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21513" rel="noopener" target="_blank"&gt;CVE-2026-21513&lt;/a&gt;). La vulnérabilité est classée Important par Microsoft et présente un score CVSS v3.1 de 8,8, mais son exploitation active a été confirmée. Un attaquant qui exploiterait avec succès cette vulnérabilité pourrait contourner une fonctionnalité de sécurité via un réseau. La vulnérabilité affecte Windows 10 et les éditions ultérieures du système d’exploitation. Une méthodologie de priorisation fondée sur les risques justifie de traiter cette vulnérabilité comme plus sévère que ne l’indiquent la classification de l’éditeur ou le score CVSS attribué.&lt;/p&gt;

&lt;p&gt;Microsoft a corrigé une vulnérabilité de contournement de fonctionnalité de sécurité dans Windows Shell (&lt;a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21510" rel="noopener" target="_blank"&gt;CVE-2026-21510&lt;/a&gt;). La vulnérabilité est classée Important par Microsoft et présente un score CVSS v3.1 de 8,8, mais son exploitation active a été confirmée. Un attaquant qui exploiterait avec succès cette vulnérabilité pourrait contourner une fonctionnalité de sécurité via un réseau. La vulnérabilité affecte toutes les versions actuellement prises en charge et prises en charge via ESU du système d’exploitation Windows. Une méthodologie de priorisation fondée sur les risques justifie de traiter cette vulnérabilité comme plus sévère que ne l’indiquent la classification de l’éditeur ou le score CVSS attribué.&lt;/p&gt;

&lt;p&gt;Microsoft a corrigé une vulnérabilité de contournement de fonctionnalité de sécurité dans Microsoft Word (&lt;a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21514" rel="noopener" target="_blank"&gt;CVE-2026-21514&lt;/a&gt;). La vulnérabilité est classée Important par Microsoft et présente un score CVSS v3.1 de 7,8, mais son exploitation active a été confirmée. Un attaquant peut contourner localement une fonctionnalité de sécurité en raison d’une dépendance à des entrées non fiables. Une méthodologie de priorisation fondée sur les risques justifie de traiter cette vulnérabilité comme plus sévère que ne l’indiquent la classification de l’éditeur ou le score CVSS attribué.&lt;/p&gt;

&lt;p&gt;Microsoft a corrigé une vulnérabilité de déni de service dans Windows Remote Access Connection Manager (CVE-2026-21525). La vulnérabilité est classée Modéré par Microsoft et présente un score CVSS v3.1 de 6,2, mais son exploitation active a été confirmée. Un déréférencement de pointeur nul dans Windows Remote Access Connection Manager permet à un attaquant non autorisé de provoquer un déni de service localement. La vulnérabilité affecte toutes les versions actuellement prises en charge et prises en charge via ESU du système d’exploitation Windows. Une méthodologie de priorisation fondée sur les risques justifie de traiter cette vulnérabilité comme plus sévère que ne l’indiquent la classification de l’éditeur ou le score CVSS attribué.&lt;/p&gt;

&lt;h2&gt;Avis de sécurité Ivanti&lt;/h2&gt;

&lt;p&gt;Ivanti a publié une mise à jour de sécurité pour février. Cette mise à jour concerne Ivanti Endpoint Manager et corrige deux nouvelles CVE ainsi que 11 CVE de gravité moyenne qui avaient été divulguées fin 2025. Des informations plus détaillées sur les mesures d’atténuation sont disponibles dans l’&lt;a href="https://www.ivanti.com/blog/february-2026-security-update" rel="noopener" target="_blank"&gt;avis de sécurité de février&lt;/a&gt;.&lt;/p&gt;

&lt;p&gt;En outre, un avis de sécurité a été publié le 29 janvier pour Ivanti Endpoint Manager Mobile (EPMM), concernant un nombre limité de clients au moment de la divulgation. Ivanti invite vivement tous les clients utilisant le produit EPMM sur site à installer rapidement la mise à jour de sécurité. L’avis de sécurité, une analyse technique complémentaire et un script de détection d’exploitation codéveloppé avec le NCSC-NL sont disponibles dans l’&lt;a href="https://www.ivanti.com/blog/january-2026-epmm-security-update" rel="noopener" target="_blank"&gt;avis de sécurité de janvier&lt;/a&gt;.&lt;/p&gt;

&lt;h2&gt;Vulnérabilités tierces&lt;/h2&gt;

&lt;p&gt;Adobe a publié neuf mises à jour ce mois-ci, corrigeant 43 CVE, dont 27 critiques. Les neuf mises à jour sont classées priorité 3 par Adobe.&lt;/p&gt;

&lt;h2&gt;Liste des tâches pour les mises à jour de février&lt;/h2&gt;

&lt;p&gt;Les mises à jour du système d’exploitation Windows et de Microsoft Office sont prioritaires ce mois-ci, car elles corrigent six nouveaux exploits zero-day et un exploit zero-day OOB.&lt;/p&gt;

&lt;p&gt;Consultez l’annonce et la documentation de Microsoft sur la &lt;a href="https://techcommunity.microsoft.com/blog/windows-itpro-blog/advancing-windows-security-disabling-ntlm-by-default/4489526" rel="noopener" target="_blank"&gt;désactivation progressive&lt;/a&gt; de NTLM afin de commencer à planifier l’obsolescence et la désactivation de NTLM.&lt;/p&gt;
</description><pubDate>Tue, 10 Feb 2026 21:58:44 Z</pubDate></item><item><guid isPermaLink="false">aca0bf27-9f6a-48ec-b34e-77e6054148d1</guid><link>https://www.ivanti.com/fr/blog/january-2026-patch-tuesday</link><atom:author><atom:name>Chris Goettl</atom:name><atom:uri>https://www.ivanti.com/fr/blog/authors/chris-goettl</atom:uri></atom:author><category>Patch Tuesday</category><category>Sécurité</category><title>Patch Tuesday de janvier 2026</title><description>&lt;p&gt;Nouvelle année, nouvelles mises à jour ! Nous vous retrouvons sur le blog Ivanti Patch Tuesday, où nous vous fournissons des informations essentielles pour optimiser vos activités de gestion de l’exposition.  &lt;/p&gt;&lt;p&gt;Ce mois-ci, deux CVE Mozilla sont soupçonnées d’être exploitées et une CVE Microsoft a été exploitée.  &lt;/p&gt;&lt;p&gt;Par ailleurs, Microsoft présente deux vulnérabilités divulguées publiquement qui devront être examinées afin de déterminer si votre organisation pourrait être affectée par les changements apportés par Microsoft.  &lt;/p&gt;&lt;p&gt;Des mises à jour tierces supplémentaires d’Adobe sont également disponibles, et d’autres sont à prévoir de la part de Google et d’Oracle dans les prochains jours et jusqu’à la semaine prochaine ; elles devront être incluses dans votre maintenance mensuelle.  &lt;/p&gt;&lt;p&gt;Autre bonne nouvelle : Microsoft a séparé la mise à jour Server 2025 dans une KB distincte ; sa taille n’est donc que de 1,9 Go, contre plus de 4 Go pour la mise à jour cumulative Windows 11 de ce mois-ci.  &lt;/p&gt;&lt;h2&gt;Vulnérabilité exploitée de Microsoft &lt;/h2&gt;&lt;p&gt;Microsoft a corrigé une vulnérabilité de divulgation d’informations dans Desktop Window Manager (&lt;a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20805" rel="noopener" target="_blank"&gt;CVE-2026-20805&lt;/a&gt;). Microsoft classe cette vulnérabilité comme Important et lui attribue un score CVSS v3.1 de 5,5, mais son exploitation dans des conditions réelles a été confirmée. Cette exposition pourrait permettre de divulguer une adresse de section depuis un port ALPC distant correspondant à de la mémoire en mode utilisateur. La vulnérabilité affecte toutes les versions du système d’exploitation Windows actuellement prises en charge, y compris celles couvertes par les mises à jour de sécurité étendues. Une méthodologie de priorisation fondée sur les risques justifie de traiter cette vulnérabilité avec un niveau de gravité supérieur à la classification du fournisseur ou au score CVSS attribué.  &lt;/p&gt;&lt;h2&gt;Vulnérabilités divulguées publiquement par Microsoft &lt;/h2&gt;&lt;p&gt;Microsoft a corrigé une vulnérabilité de contournement de fonctionnalité de sécurité liée à l’expiration de la certification Secure Boot (&lt;a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21265" rel="noopener" target="_blank"&gt;CVE-2026-21265&lt;/a&gt;). Microsoft classe cette vulnérabilité comme Important et lui attribue un score CVSS v3.1 de 6,4, mais elle a été divulguée publiquement. En plus de la mise à jour, le correctif fournit un avertissement concernant les certificats qui expireront en 2026, ainsi que des précisions sur les actions requises pour renouveler les certificats avant leur expiration. Il est recommandé de commencer à examiner les actions que votre organisation pourrait devoir entreprendre pour prévenir d’éventuels problèmes de maintenabilité et de sécurité à l’expiration des certificats. &lt;/p&gt;&lt;p&gt;Microsoft traite une vulnérabilité d’élévation de privilèges dans le pilote Windows Agere Soft Modem (&lt;a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-31096" rel="noopener" target="_blank"&gt;CVE-2023-31096&lt;/a&gt;). L’identifiant CVE de la vulnérabilité a été attribué par MITRE en 2023. Elle est classée Important et présente un score CVSS v3.1 de 7,8. La CVE a été divulguée publiquement. La résolution de Microsoft consiste à supprimer les pilotes concernés du système d’exploitation Windows à partir de la mise à jour cumulative de janvier 2026. Microsoft recommande de supprimer toute dépendance existante à ce matériel.   &lt;/p&gt;&lt;h2&gt;Avis de sécurité Ivanti &lt;/h2&gt;&lt;p&gt;Ivanti n’a publié aucun avis de sécurité ce mois-ci.  &lt;/p&gt;&lt;h2&gt;Vulnérabilités tierces &lt;/h2&gt;&lt;ul&gt;&lt;li&gt;&lt;a href="https://www.mozilla.org/en-US/security/advisories/" rel="noopener" target="_blank"&gt;Mozilla a publié des mises à jour pour Firefox et Firefox ESR, corrigeant un total de 34 CVE&lt;/a&gt;. Les trois mises à jour ont un niveau d’impact Élevé. Deux CVE sont soupçonnées d’être exploitées (CVE-2026-0891 et CVE-2026-0892). Les deux sont corrigées dans Firefox 147 (&lt;a href="https://www.mozilla.org/en-US/security/advisories/mfsa2026-01/" rel="noopener" target="_blank"&gt;MFSA2026-01&lt;/a&gt;), et la CVE-2026-0891 est corrigée dans Firefox ESR 140.7 (&lt;a href="https://www.mozilla.org/en-US/security/advisories/mfsa2026-03/" rel="noopener" target="_blank"&gt;MFSA2026-03&lt;/a&gt;).  &lt;/li&gt;&lt;li&gt;Des mises à jour de Google Chrome et de Microsoft Edge sont à prévoir cette semaine, en plus d’une vulnérabilité de gravité élevée dans Chrome WebView qui a été corrigée dans la mise à jour Chrome du 6 janvier (CVE-2026-0628).  &lt;/li&gt;&lt;li&gt;Adobe a publié 11 mises à jour ce mois-ci, concernant DreamWeaver, InDesign, Illustrator, InCopy, Bridge, Substance 3D Modeler, Stager, Painter, Sampler et Designer, ainsi que ColdFusion. ColdFusion est en priorité 1. Toutes les autres sont en priorité 3, mais la plupart des mises à jour incluent des CVE critiques.  &lt;/li&gt;&lt;li&gt;La publication du CPU trimestriel d’Oracle est prévue le 20 janvier ; préparez-vous donc à des mises à jour pour les solutions Oracle, notamment Java. Une fois la version Java publiée, attendez-vous à ce que tous les frameworks basés sur Java soient mis à jour au cours des prochaines semaines. &lt;/li&gt;&lt;/ul&gt;&lt;h2&gt;Liste des tâches pour les mises à jour de janvier &lt;/h2&gt;&lt;ul&gt;&lt;li&gt;Les mises à jour des navigateurs sont prioritaires ce mois-ci. Mozilla a corrigé deux vulnérabilités zero-day soupçonnées d’être exploitées (CVE-2026-0891 et CVE-2026-0892), et Chrome a corrigé une CVE de gravité élevée (CVE-2026-0628).  &lt;/li&gt;&lt;li&gt;La mise à jour du système d’exploitation Windows corrige ce mois-ci une vulnérabilité exploitée et deux vulnérabilités divulguées publiquement, faisant de la mise à jour du système d’exploitation Windows une priorité absolue ce mois-ci, au même titre que les mises à jour des navigateurs.  &lt;/li&gt;&lt;li&gt;Examinez les échéances des certificats Secure Boot et l’utilisation des pilotes Agere Soft Modem afin d’éviter des problèmes de maintenabilité et de sécurité.  &lt;/li&gt;&lt;/ul&gt;</description><pubDate>Tue, 13 Jan 2026 21:52:53 Z</pubDate></item><item><guid isPermaLink="false">5b934c4c-fc91-4e0a-b82a-1181fa7d231c</guid><link>https://www.ivanti.com/fr/blog/attack-surface-discovery</link><atom:author><atom:name>Chris Goettl</atom:name><atom:uri>https://www.ivanti.com/fr/blog/authors/chris-goettl</atom:uri></atom:author><category>Sécurité</category><title>Découverte de la surface d'attaque : Comment identifier la surface d'attaque de votre entreprise</title><description>&lt;p&gt;Contrôler sa&amp;nbsp;&lt;a href="https://www.ivanti.com/fr/glossary/attack-surface"&gt;surface d'attaque&lt;/a&gt;, c'est comme entretenir son gazon. Si on ne tond pas après la pluie, il grandit rapidement. Avec une surface d'attaque, la situation devient vite incontrôlable, avec une augmentation des cyber-risques. Même s’il est illusoire d’éradiquer totalement le risque — l’environnement de threat intelligence ne cessant d’évoluer — il est possible, et surtout impératif, de garder le risque à un niveau maîtrisé, en ligne avec l'&lt;a href="https://www.ivanti.com/fr/blog/risk-appetite"&gt;appétence au risque&lt;/a&gt;&amp;nbsp;de votre entreprise.&lt;/p&gt;

&lt;h2&gt;Pourquoi la découverte de la surface d'attaque est-elle si importante&amp;nbsp;?&lt;/h2&gt;

&lt;p&gt;Pour gérer les cyber-risques, il faut avant tout savoir où l’on va : cela passe par une identification précise de sa surface d’attaque. Cela implique de recenser ce qui peut servir de porte d’entrée ou d’attaque — qu’il s’agisse de postes client, de vulnérabilités et d'autres&amp;nbsp;vecteurs d'attaque.&lt;/p&gt;

&lt;p&gt;Les grandes références du secteur abondent en ce sens : la première fonction du&amp;nbsp;&lt;a href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf" rel="noopener" target="_blank"&gt;NIST&amp;nbsp;CSF (National Institute of Standards and Technology Cybersecurity Framework) version&amp;nbsp;1.1&lt;/a&gt; est l'identification. Selon le NIST, les « activités liées à l'identification constituent les bases d'une utilisation efficace de ce cadre&amp;nbsp;». Même logique pour la liste &lt;a href="https://learn.cisecurity.org/cis-controls-download" rel="noopener" target="_blank"&gt;Contrôles&amp;nbsp;CIS&amp;nbsp;v8&lt;/a&gt;, qui inclut les contrôles suivants&amp;nbsp;:&lt;/p&gt;

&lt;ul&gt;
	&lt;li&gt;Contrôle&amp;nbsp;1 — Inventaire et contrôle des actifs de l'entreprise&amp;nbsp;&lt;/li&gt;
	&lt;li&gt;Contrôle&amp;nbsp;2— Inventaire et contrôle des actifs logiciels&amp;nbsp;&lt;/li&gt;
	&lt;li&gt;Contrôle&amp;nbsp;7— Gestion continue des vulnérabilités&lt;/li&gt;
&lt;/ul&gt;

&lt;p&gt;En clair : on ne protège bien que ce que l’on connaît. Mais comment faire l’inventaire de tous nos actifs ?&lt;/p&gt;

&lt;h2&gt;Comment démarrer la découverte de ma surface d'attaque&amp;nbsp;?&lt;/h2&gt;

&lt;p&gt;Il s’agit d’adopter l’œil du hacker : quelles ressources seraient facilement exploitables ?&amp;nbsp;&lt;/p&gt;

&lt;p&gt;La surface d'attaque se décline en trois volets : la surface d'attaque numérique, la surface d'attaque physique et la surface d'attaque humaine. Ce blog se concentre sur le volet numérique, même s'il aborde aussi brièvement les deux autres volets.&lt;/p&gt;

&lt;p&gt;Votre surface d'attaque numérique couvre l'ensemble des actifs&amp;nbsp;IT traditionnels, à savoir le matériel (postes clients et serveurs, notamment) et les applications logicielles, ainsi que les actifs tournés vers&amp;nbsp;Internet, comme les applications&amp;nbsp;Web, les adresses&amp;nbsp;IP, les noms de domaine, les certificats&amp;nbsp;SSL et les services&amp;nbsp;Cloud.&lt;/p&gt;

&lt;p&gt;La première étape consiste à dresser l'inventaire des éléments de votre surface d'attaque numérique et à identifier les problèmes de visibilité. Une classification peut être établie comme suit&amp;nbsp;:&lt;/p&gt;

&lt;ul&gt;
	&lt;li&gt;&lt;strong&gt;Connus connus :&amp;nbsp;&lt;/strong&gt;les cyberactifs identifiés comme faisant partie de votre surface d’attaque.&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;Les inconnus connus&amp;nbsp;:&lt;/strong&gt; les cyberactifs identifiés comme appartenant à votre surface d’attaque,&amp;nbsp;mais sur lesquels vous manquez de visibilité et/ou de contrôle.&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;Les inconnus non connus&amp;nbsp;:&lt;/strong&gt; les cyberactifs dont vous ne savez pas s’ils font ou non partie&amp;nbsp;de votre surface d’attaque.&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;N/A&amp;nbsp;:&lt;/strong&gt; les cyberactifs pour lesquels vous êtes certain à 100 % qu’ils ne font pas partie de votre surface d'attaque.&lt;/li&gt;
&lt;/ul&gt;

&lt;p&gt;Pour ne rien oublier, utilisez notre &lt;a href="/fr/resources/v/doc/ivi/2870/270718449ecb" target="_blank"&gt;Checklist Surface d'attaque&lt;/a&gt;&amp;nbsp;personnalisable.&lt;/p&gt;

&lt;h2&gt;Outils et approches pour découvrir et gérer votre surface d'attaque&lt;/h2&gt;

&lt;p&gt;Une fois la classification effectuée, l’étape suivante consiste à choisir des outils adaptés afin d’affiner votre visibilité et de lever les angles morts. L’objectif : transformer les inconnus (connus ou non) en actifs maîtrisés.&lt;/p&gt;

&lt;p&gt;La «&amp;nbsp;gestion de la surface d'attaque&amp;nbsp;» inclut des solutions plus spécifiques&amp;nbsp;: CAASM (Gestion de la surface d'attaque des cyberactifs), &lt;a href="https://www.ivanti.com/fr/products/external-attack-surface-management"&gt;EASM (Gestion de la surface d'attaque externe)&lt;/a&gt; et DRPS (Services de protection contre les risques numériques). À partir des résultats de ces outils, vous pouvez identifier plus facilement les vulnérabilités. Certains proposent même des fonctions de priorisation et de remédiation, ce qui permet de réagir rapidement en cas de menace et de limiter les risques.&lt;/p&gt;

&lt;p&gt;Cependant, les organisations ont eu besoin de découvrir et de gérer leur surface d’attaque numérique bien avant l’apparition des solutions ASM. À défaut de solutions ASM, de nombreuses entreprises ont adopté — et continuent d’utiliser — d’autres méthodes pour répondre à ce besoin.&lt;/p&gt;

&lt;table&gt;
	&lt;thead&gt;
		&lt;tr valign="top"&gt;
			&lt;th scope="col"&gt;Approche&lt;/th&gt;
			&lt;th scope="col"&gt;Description&lt;/th&gt;
			&lt;th scope="col"&gt;Atouts&lt;/th&gt;
			&lt;th scope="col"&gt;Limites&lt;/th&gt;
		&lt;/tr&gt;
	&lt;/thead&gt;
	&lt;tbody&gt;
		&lt;tr valign="top"&gt;
			&lt;td&gt;
			&lt;p&gt;Outils de découverte des actifs&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Inventaire des actifs matériels et logiciels qui se connectent à votre réseau.&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Largements déployés dans la plupart des entreprises. Mieux que les feuilles de calcul.&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Comportent souvent des angles morts, comme le Shadow&amp;nbsp;IT, les systèmes tiers et les applications métier.&lt;/p&gt;
			&lt;/td&gt;
		&lt;/tr&gt;
		&lt;tr valign="top"&gt;
			&lt;td&gt;
			&lt;p&gt;BAS (Simulation de fuites de données et d'attaques)&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Tests automatisés des vecteurs de menaces pour comprendre les vulnérabilités de sécurité et valider les contrôles de sécurité.&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Génération de rapports sur les faiblesses de sécurité et priorisation de la remédiation basée sur les risques.&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Traitent uniquement les attaques connues. Pas de remédiation.&lt;/p&gt;
			&lt;/td&gt;
		&lt;/tr&gt;
		&lt;tr valign="top"&gt;
			&lt;td&gt;
			&lt;p&gt;CSPM (Gestion du niveau de sécurité du&amp;nbsp;Cloud)&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Suivi des changements de configurations&amp;nbsp;Cloud.&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Visibilité en temps réel sur les configurations&amp;nbsp;Cloud.&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Ne signalent pas quand les configurations cessent d'être conformes ni l'impact potentiel des menaces émergentes.&lt;/p&gt;
			&lt;/td&gt;
		&lt;/tr&gt;
		&lt;tr valign="top"&gt;
			&lt;td&gt;
			&lt;p&gt;CMDB (Base de données de gestion des configurations)&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Suivi des changements apportés aux systèmes.&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Largement déployés dans les entreprises.&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Ne signalent pas quand les configurations cessent d'être conformes ni l'impact potentiel des menaces émergentes.&lt;/p&gt;
			&lt;/td&gt;
		&lt;/tr&gt;
		&lt;tr valign="top"&gt;
			&lt;td&gt;
			&lt;p&gt;Approche locale (manuelle)&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Feuilles de calcul, scripts et processus manuels pour gérer la surface d'attaque.&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Peu onéreux, voire gratuits (si l'on ne prend pas en compte les heures de travail des ingénieurs IT).&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Chronophages et sujets aux erreurs. Ni évolutifs ni en temps réel.&lt;/p&gt;
			&lt;/td&gt;
		&lt;/tr&gt;
		&lt;tr valign="top"&gt;
			&lt;td&gt;
			&lt;p&gt;ITAM (Gestion des actifs&amp;nbsp;IT)&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Suivi et surveillance du cycle de vie des actifs.&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Largement déployés dans la plupart des entreprises. Mieux que les feuilles de calcul.&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Traitent uniquement les actifs connus et gérés, en ignorant les actifs inconnus ou non gérés.&lt;/p&gt;
			&lt;/td&gt;
		&lt;/tr&gt;
		&lt;tr valign="top"&gt;
			&lt;td&gt;
			&lt;p&gt;Tests d'intrusion (comme les outils de tests d'intrusion automatisés ou les tests d'intrusion en SaaS)&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Simulation d'une cyberattaque en identifiant les vulnérabilités de votre réseau et de vos applications.&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Exemples de postures de sécurité avec les priorités budgétaires associées.&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Traitent uniquement la première phase de la chaîne de cyberdestruction&amp;nbsp;: la reconnaissance. Des résultats ponctuels dont la qualité dépend de la compétence des testeurs qui réalisent la simulation.&lt;/p&gt;
			&lt;/td&gt;
		&lt;/tr&gt;
		&lt;tr valign="top"&gt;
			&lt;td&gt;
			&lt;p&gt;Red Teaming&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Image complète de la posture de cybersécurité de l'entreprise en mettant en scène une simulation de cyberattaque visant les réseaux, les applications, les protections physiques et les collaborateurs.&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Va plus loin que les tests d'intrusion, en se concentrant sur les autres phases de la chaîne de cyberdestruction. Va aussi au-delà de la surface d'attaque numérique, en examinant les surfaces d'attaque physique et humaine.&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Des résultats ponctuels dont la qualité dépend de la compétence des testeurs qui réalisent la simulation.&lt;/p&gt;
			&lt;/td&gt;
		&lt;/tr&gt;
		&lt;tr valign="top"&gt;
			&lt;td&gt;
			&lt;p&gt;Intelligence des menaces (Threat Intelligence)&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Informations sur les menaces et autres problèmes de cybersécurité.&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Informations sur les menaces et les vulnérabilités.&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;S'adressent aux entreprises dont le niveau de maturité en sécurité est élevé, et ayant du personnel qualifié et d'importantes ressources.&lt;/p&gt;
			&lt;/td&gt;
		&lt;/tr&gt;
		&lt;tr valign="top"&gt;
			&lt;td&gt;
			&lt;p&gt;Outils de gestion des vulnérabilités (comme les scanners)&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Identification et gestion des vulnérabilités de votre infrastructure et de vos applications.&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Déjà déployés dans la plupart des entreprises.&lt;/p&gt;
			&lt;/td&gt;
			&lt;td&gt;
			&lt;p&gt;Aucune visibilité des actifs inconnus. Énormes quantités de données.&lt;/p&gt;
			&lt;/td&gt;
		&lt;/tr&gt;
	&lt;/tbody&gt;
&lt;/table&gt;

&lt;p&gt;Même si ces outils&amp;nbsp;ne disposent&amp;nbsp;pas de toutes les fonctions et de tous les&amp;nbsp;avantages d'une solution ASM dédiée, ils ont quand même leur place dans les pratiques&amp;nbsp;IT et de sécurité d'une entreprise.&lt;/p&gt;

&lt;p&gt;En fait, les outils&amp;nbsp;CAASM ne fonctionnent pas sans les données des outils de découverte des actifs, d'ITAM, de gestion des vulnérabilités et/ou de gestion des correctifs. De même, l'EASM complète les services d'intelligence des menaces et de tests de sécurité répertoriés ci-dessus.&lt;/p&gt;

&lt;h2&gt;Comment identifier la surface d'attaque physique de mon entreprise&amp;nbsp;?&lt;/h2&gt;

&lt;p&gt;Le premier élément important de la surface d’attaque physique d’une organisation recoupe en partie la surface d’attaque numérique. Il s’agit de la surface d’attaque des postes client, qui regroupe tous les équipements connectés au réseau&amp;nbsp;: ordinateurs de bureau, ordinateurs portables, périphériques mobiles et périphériques&amp;nbsp;IoT. Les outils et les techniques servant à découvrir la surface d'attaque numérique sont également pertinents pour cette catégorie.&lt;/p&gt;

&lt;p&gt;Le second élément majeur concerne les bureaux, les centres de données et les autres locaux de l’entreprise. Là encore, certaines techniques utilisées pour la surface d’attaque numérique sont applicables, notamment dans le cadre des tests d’intrusion physique réalisés lors des exercices de red teaming.&lt;/p&gt;

&lt;h2&gt;Comment identifier la surface d'attaque humaine de mon entreprise&amp;nbsp;?&lt;/h2&gt;

&lt;p&gt;L'identification de votre surface d'attaque humaine commence par l'examen de votre organigramme. Toute personne associée à votre entreprise et ayant accès à ses informations sensibles (ou étant en capacité d'empêcher d'autres personnes d'accéder à ces informations) fait partie de votre surface d'attaque humaine. Cela inclut vos collaborateurs (à plein temps et à temps partiel), les membres du conseil d'administration, les sous-traitants, les partenaires, les fournisseurs, les prestataires et éditeurs de logiciels, les intérimaires, etc.&lt;/p&gt;

&lt;p&gt;Le Red&amp;nbsp;Teaming, pratique visant à identifier les éléments des surfaces d'attaque numérique et physique, peut aussi servir à identifier un composant majeur de la surface d'attaque humaine&amp;nbsp;: la sensibilité des collaborateurs à l'ingénierie sociale.&lt;/p&gt;

&lt;p&gt;En parallèle, l’analyse des affectations de droits et des accès réels reste indispensable pour ne pas se laisser surprendre par des privilèges mal accordés ou des comptes dormants.&lt;/p&gt;

&lt;h2&gt;J'ai identifié la surface d'attaque de mon entreprise. Et maintenant&amp;nbsp;?&lt;/h2&gt;

&lt;p&gt;La découverte de votre surface d'attaque n'est que la première étape vers votre objectif final&amp;nbsp;: la remédiation des vulnérabilités qui présentent le plus de risque pour votre entreprise. Ce processus s'inscrit dans la&amp;nbsp;&lt;a href="https://www.ivanti.com/fr/resources/exposure-management-strategy-guide"&gt;gestion de l'exposition&lt;/a&gt;.&lt;/p&gt;

&lt;p&gt;Comme nous l'avons dit, la découverte de la surface d'attaque est l'une des bases de votre stratégie de sécurité&amp;nbsp;: vous ne pouvez pas protéger ce dont vous ignorez l'existence. La gestion de l'exposition intègre un autre pilier essentiel&amp;nbsp;: la détermination de votre appétence au risque. Elle définit le niveau de risque que votre entreprise est prête à accepter pour atteindre ses objectifs. (Vous pouvez vous inspirer de ce &lt;a href="https://www.ivanti.com/fr/ty/security/downloads/risk-appetite-statement"&gt;modèle personnalisable&lt;/a&gt;.)&lt;/p&gt;

&lt;p&gt;Maintenant que vous avez géré ces deux aspects fondamentaux, vous pouvez évaluer les vulnérabilités détectées dans votre surface d'attaque. Vous déterminez ainsi l'importance du danger qu'elles représentent pour votre entreprise, et si cela entre dans les limites de votre appétence au risque (ce processus est traité en détail dans notre guide&amp;nbsp;&lt;a href="/fr/resources/v/doc/ivi/2873/322536b23d2f" target="_blank"&gt;Évaluer objectivement le cyber-risque&lt;/a&gt;).&lt;/p&gt;

&lt;p&gt;Les vulnérabilités hors du champ de votre appétence au risque doivent être remédiées en priorité,&amp;nbsp;ce qui vous permet de concentrer vos efforts de remédiation là où ils auront le plus d’impact.&lt;/p&gt;
</description><pubDate>Mon, 18 Aug 2025 09:54:55 Z</pubDate></item><item><guid isPermaLink="false">8c8ff259-3f44-433b-bd7d-104d65af42a7</guid><link>https://www.ivanti.com/fr/blog/april-patch-tuesday-2021</link><atom:author><atom:name>Chris Goettl</atom:name><atom:uri>https://www.ivanti.com/fr/blog/authors/chris-goettl</atom:uri></atom:author><category>Patch Tuesday</category><category>Sécurité</category><title>Commentaire du Patch Tuesday d'avril</title><description>&lt;p&gt;Microsoft publie des mises à jour pour l'OS&amp;nbsp;Windows, Office et&amp;nbsp;O365, Exchange Server, Edge (Chromium), Visual Studio, Azure DevOps, Azure AD Web Sign-in, Azure Sphere, ainsi que de nombreux autres composants. Un total de 110&amp;nbsp;vulnérabilités uniques sont résolues ce mois-ci, notamment une vulnérabilité Zero&amp;nbsp;Day (CVE-2021-28310) et quatre vulnérabilités divulguées publiquement (CVE-2021-28458, CVE-2021-28437, CVE-2021-28312, CVE-2021-27091). 19&amp;nbsp;de ces&amp;nbsp;CVE sont classées «&amp;nbsp;Critique&amp;nbsp;», mais cela n'inclut pas la vulnérabilité Zero&amp;nbsp;Day Win32k.&lt;/p&gt;

&lt;h2&gt;Publications Microsoft&lt;/h2&gt;

&lt;p&gt;Zero Day&amp;nbsp;: Microsoft résout une vulnérabilité Win32k classée Important, qui peut permettre l'élévation de privilèges sur les systèmes Windows&amp;nbsp;10 (&lt;a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28310" target="_blank" rel="noopener"&gt;CVE-2021-28310&lt;/a&gt;). Même si elle est seulement de niveau «&amp;nbsp;Important&amp;nbsp;», cette vulnérabilité a été détectée lors d'attaques en environnement réel. Le &lt;a href="https://attackerkb.com/topics/pKKVzHnVRA/cve-2021-28310" target="_blank" rel="noopener"&gt;site de détails des exploitations Open Source attackerkb.com&lt;/a&gt; montre cette&amp;nbsp;CVE comme réservée et mise à jour pour la dernière fois le 12&amp;nbsp;mars&amp;nbsp;2021. Elle pourrait donc avoir été exploitée par des pirates depuis un mois, à ce jour. Cela montre à quel point il est important d'adopter une approche qui définit des priorités sur la base des risques. Si vous établissez votre ordre de priorité sur le niveau de gravité attribué par le fournisseur et que vous ne tenez compte que des&amp;nbsp;CVE marquées «&amp;nbsp;Critique&amp;nbsp;», vous risquez de manquer celle-ci. Heureusement pour les entreprises concernées, cette&amp;nbsp;CVE est incluse dans la mise à jour cumulative Windows&amp;nbsp;10 ce mois-ci (aux côtés de&amp;nbsp;CVE critiques). L'élargissement de vos mesures de définition des priorités pour inclure des métadonnées de risques (comme le nombre d'exploitations, de divulgations publiques et autres indicateurs) garantit que vous donnez la priorité aux meilleures mises à jour pour les corriger rapidement.&lt;/p&gt;

&lt;p&gt;Divulgations publiques&amp;nbsp;: Il existe une vulnérabilité dans Windows&amp;nbsp;Installer, susceptible de mener à la divulgation d'informations&amp;nbsp;: &lt;a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28437" target="_blank" rel="noopener"&gt;CVE-2021-28437&lt;/a&gt;. Cette vulnérabilité a été divulguée publiquement, ce qui signifie que suffisamment d'informations ont été communiquées au public pour donner aux pirates le temps de développer un code d'exploitation fonctionnel. Cette&amp;nbsp;CVE affecte tous les systèmes d'exploitation&amp;nbsp;Windows, en remontant jusqu'à Windows&amp;nbsp;7 et Server&amp;nbsp;2008. Les vulnérabilités de divulgation d'informations Windows&amp;nbsp;Installer permettent souvent à un pirate d'obtenir un accès à des informations supplémentaires, qui risquent de compromettre encore davantage le système. Il s'agit d'une&amp;nbsp;CVE de catégorie «&amp;nbsp;Important&amp;nbsp;». Le code d'exploitation était marqué non prouvé lors de la publication.&lt;/p&gt;

&lt;p&gt;Divulgations publiques&amp;nbsp;: Il existe dans le service de mappage de poste client&amp;nbsp;RPC une vulnérabilité susceptible de permettre à un pirate d'élever ses privilèges (&lt;a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27091" target="_blank" rel="noopener"&gt;CVE-2021-27091&lt;/a&gt;). Cette vulnérabilité a été divulguée publiquement, ce qui signifie que suffisamment d'informations ont été communiquées au public pour donner aux pirates le temps de développer un code d'exploitation fonctionnel. Cette&amp;nbsp;CVE affecte les systèmes Windows&amp;nbsp;7, Server 2008&amp;nbsp;R2 et Server&amp;nbsp;2012 les plus anciens. Cette&amp;nbsp;CVE est classée «&amp;nbsp;Important&amp;nbsp;», mais l'on dispose d'un code&amp;nbsp;POC (Proof of Concept - Validation de principe) qui pourrait permettre à un pirate de développer rapidement une exploitation fonctionnelle.&lt;/p&gt;

&lt;p&gt;Divulgations publiques&amp;nbsp;: Une vulnérabilité d'élévation des privilèges a été identifiée dans la bibliothèque Azure ms-rest-nodeauth (&lt;a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28458" target="_blank" rel="noopener"&gt;CVE-2021-28458&lt;/a&gt;). Cette vulnérabilité a été divulguée publiquement, ce qui signifie que suffisamment d'informations ont été communiquées au public pour donner aux pirates le temps de développer un code d'exploitation fonctionnel. Cette vulnérabilité a été classée «&amp;nbsp;Important&amp;nbsp;». Au moment où nous écrivons, aucun autre article ou note de publication n'est lié à cette&amp;nbsp;CVE.&lt;/p&gt;

&lt;p&gt;Divulgations publiques&amp;nbsp;: Il existe une vulnérabilité dans Windows&amp;nbsp;NTFS, susceptible de permettre une attaque par déni de service &lt;a href="https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28312" target="_blank" rel="noopener"&gt;CVE-2021-28312&lt;/a&gt;. Cette vulnérabilité a été divulguée publiquement, ce qui signifie que suffisamment d'informations ont été communiquées au public pour donner aux pirates le temps de développer un code d'exploitation fonctionnel. Cette&amp;nbsp;CVE affecte Windows&amp;nbsp;10 1809, et Server&amp;nbsp;2019 et supérieur. Cette&amp;nbsp;CVE est seulement considérée comme modérée, mais un code d'exploitation entièrement fonctionnel est disponible. Vous devez traiter cette&amp;nbsp;CVE comme représentant davantage de risques que ne l'implique son niveau de gravité.&lt;/p&gt;

&lt;p&gt;Exchange Server&amp;nbsp;: Microsoft Exchange&amp;nbsp;Server bénéficie d'une autre mise à jour ce mois-ci et, d'après les résultats&amp;nbsp;Pwn2Own, il y en aura sans doute d'autres. Les quatre&amp;nbsp;CVE résolues ce mois-ci ont toutes été découvertes par la&amp;nbsp;NSA. Ces quatre&amp;nbsp;CVE sont toutes de niveau «&amp;nbsp;Critique&amp;nbsp;». À ce jour, aucune n'a fait l'objet d'une exploitation prouvée, mais, après un regain d'activité des exploitations graves visant Microsoft&amp;nbsp;Exchange, l'on peut s'attendre à ce que, si les analystes de sécurité de la&amp;nbsp;NSA trouvent de nouvelles vulnérabilités et que les chercheurs prouvent l'existence de nouvelles exploitations dans le secteur&amp;nbsp;Pwn2Own, les pirates vont aussi tourner autour de Microsoft&amp;nbsp;Exchange pour trouver des failles à exploiter.&lt;/p&gt;

&lt;h2&gt;Peu d'activité ce mois-ci concernant les mises à jour tierces&lt;/h2&gt;

&lt;p&gt;Ce mois-ci, Adobe publie quatre mises à jour pour Photoshop, Digital Editions, Bridge et Robohelp, toutes classées Priorité&amp;nbsp;3. Ces quatre mises à jour résolvent un total de 10&amp;nbsp;CVE. Toutes, sauf la mise à jour&amp;nbsp;RoboHelp, incluent des&amp;nbsp;CVE critiques.&lt;/p&gt;

&lt;p&gt;Le raisonnement sous-jacent pour la définition des priorités&amp;nbsp;Adobe est le suivant&amp;nbsp;: cette mise à jour résout des vulnérabilités dans un produit qui n'a jamais été une cible pour les pirates dans le passé. Adobe recommande aux administrateurs d'installer cette mise à jour, à leur seule discrétion.&lt;/p&gt;

&lt;p&gt;C'est l'une des difficultés des scores de gravité attribués par les fournisseurs&amp;nbsp;: comme ces applications sont moins susceptibles d'être ciblées par les pirates, Adobe attribue à leurs vulnérabilités un niveau de priorité plus faible, quels que soient le nombre de vulnérabilités résolues et le danger que représentent ces vulnérabilités. Même si l'histoire justifie l'approche d'Adobe, cela n'exclut pas les risques. Au fil des années, jusqu'à neuf&amp;nbsp;CVE Photoshop ont été exploitées. Les plus récentes sont les&amp;nbsp;CVE de&amp;nbsp;2015. Parmi ces quatre mises à jour, Photoshop présente le plus de risques. Mais elles ont toutes un niveau de risque faible et peuvent être appliquées au cours des sessions de maintenance régulières.&lt;/p&gt;

&lt;p&gt;&lt;strong&gt;Priorités ce mois-ci&amp;nbsp;: &lt;/strong&gt;&lt;/p&gt;

&lt;p&gt;De nombreuses vulnérabilités sont résolues ce mois-ci. La bonne nouvelle, c'est que la plupart concernent l'OS, y compris la Zero&amp;nbsp;Day et trois des quatre vulnérabilités divulguées publiquement. En traitant rapidement l'OS, vous éliminerez une bonne partie des risques du mois. Vos principales priorités ce mois-ci doivent être l'OS&amp;nbsp;Windows, Edge (Chromium) et Exchange&amp;nbsp;Server.&lt;/p&gt;

&lt;h2&gt;Restez vigilant&lt;/h2&gt;

&lt;p&gt;Le challenge Pwn2Own du projet Zero Day Initiative s'est terminé la semaine dernière. Les conséquences de cet événement devraient se produire dans les 90&amp;nbsp;jours qui suivent, car les fournisseurs disposent de ce délai pour traiter les vulnérabilités exploitées pendant l'événement avant qu'elles ne deviennent publiques. Comme cela va donner lieu à des publications dans les mois à venir, vous devez les surveiller et les résoudre le plus rapidement possible. Produits concernés&amp;nbsp;:&lt;/p&gt;

&lt;ul&gt;
	&lt;li&gt;Zoom&amp;nbsp;: Il s'agit probablement de l'exploitation la plus vicieuse signalée lors de la compétition. Il suffit pour exploiter la vulnérabilité qu'un utilisateur participe à une réunion. Aucune autre opération de la part de l'utilisateur n'est nécessaire. Zoom signale qu'il a déjà apporté des changements côté serveur pour limiter cette vulnérabilité, mais l'on s'attend à ce qu'il effectue d'autres modifications pour mieux se protéger de cette attaque.&lt;/li&gt;
	&lt;li&gt;Microsoft&amp;nbsp;Exchange a été entièrement submergé par une combinaison de contournement de l'authentification et d'escalade des privilèges locaux. Attendez-vous à un correctif pour Exchange Server et sans doute pour l'OS dans les mois à venir, pour corriger cette vulnérabilité. &lt;a href="https://www.microsoft.com/en-us/security/blog/2021/03/02/hafnium-targeting-exchange-servers/" target="_blank" rel="noopener"&gt;Avec les récentes attaques Zero&amp;nbsp;Day visant Exchange&amp;nbsp;Server&lt;/a&gt;, Microsoft va sûrement réagir très rapidement... et les pirates réagiront sans doute eux aussi pour reprendre l'avantage.&lt;/li&gt;
	&lt;li&gt;Microsoft&amp;nbsp;Teams a été visé par l'exploitation d'une paire de vulnérabilités permettant aux chercheurs d'exploiter du code dans Microsoft&amp;nbsp;Teams.&lt;/li&gt;
	&lt;li&gt;Comme toujours, les navigateurs sont des cibles de choix. Prévoyez des mises à jour de sécurité pour Chrome et Microsoft&amp;nbsp;Edge (Chromium) avec le moteur JavaScript&amp;nbsp;v8, et pour un débordement d'entier dans&amp;nbsp;Safari, qui permet une écriture hors limites en vue d'obtenir l'exécution de code de niveau noyau.&lt;/li&gt;
	&lt;li&gt;Parallels Desktop a souvent été ciblé dans la catégorie Virtualisation, et deux exploitations incluant de multiples failles ont réussi.&lt;/li&gt;
	&lt;li&gt;Concernant les systèmes d'exploitation, Windows&amp;nbsp;10 et Ubuntu ont tous deux été exploités avec succès, les deux fois pour escalader les privilèges&amp;nbsp;: d'utilisateur à Système sous Win&amp;nbsp;10 et d'Utilisateur standard à root pour Ubuntu.&lt;/li&gt;
&lt;/ul&gt;</description><pubDate>Thu, 22 Apr 2021 20:23:48 Z</pubDate></item><item><guid isPermaLink="false">414e9383-cede-45a7-b213-30ccbe3d8730</guid><link>https://www.ivanti.com/fr/blog/industry-driving-toward-14-day-sla-vulnerability-remediation</link><atom:author><atom:name>Chris Goettl</atom:name><atom:uri>https://www.ivanti.com/fr/blog/authors/chris-goettl</atom:uri></atom:author><category>Sécurité</category><title>Le secteur tend à instaurer un SLA de 14 jours pour la correction des vulnérabilités.  Qu'attendez-vous ?</title><description>&lt;p&gt;Les pirates agissent très vite. On ne connaît même pas le nombre des ennemis qui agissent dans l'ombre, guettant la prochaine vulnérabilité à exploiter. Ils trouvent parfois une vulnérabilité qui n'a pas été identifiée par les chercheurs au chapeau blanc ou par les fournisseurs, ce qui résulte en une exploitation «&amp;nbsp;Zero Day&amp;nbsp;». Cependant, le plus souvent, ils guettent les divulgations publiques et les mises à jour des fournisseurs pour identifier les changements apportés au code. C'est là que la course commence. Ils essaient de créer une exploitation fonctionnelle avant que les entreprises du monde entier n'aient corrigé les vulnérabilités.&lt;/p&gt;

&lt;p&gt;Plusieurs exemples récents montrent à quelle vitesse les pirates agissent&amp;nbsp;:&lt;/p&gt;

&lt;ul&gt;
	&lt;li&gt;&lt;strong&gt;BlueKeep&lt;/strong&gt; (&lt;a href="https://msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708" target="_blank" rel="noopener"&gt;CVE-2019-0708&lt;/a&gt;)&amp;nbsp;: Cette vulnérabilité, qui a fait tant de bruit car on voyait en elle la prochaine attaque&amp;nbsp;WannaCry potentielle, a été résolue le 14&amp;nbsp;mai&amp;nbsp;2019. En raison de sa notoriété, nous avons pu voir le développement des exploitations en action, car plusieurs équipes de recherche indépendantes ont conçu des exploitations opérationnelles en seulement 14&amp;nbsp;jours (dès le 28&amp;nbsp;mai&amp;nbsp;2019, plusieurs vidéos&amp;nbsp;POC (Proof of Concept) montraient une exploitation complète de cette vulnérabilité). Les pirates n'ont pas utilisé ces exploitations immédiatement, mais on a vu un grand nombre d'utilisations actives en minage de cryptomonnaie.&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;ZeroLogon&lt;/strong&gt; (&lt;a href="https://msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472" target="_blank" rel="noopener"&gt;CVE-2020-1472&lt;/a&gt;)&amp;nbsp;: Cette vulnérabilité de&amp;nbsp;NetLogon a été résolue par la mise à jour du 11&amp;nbsp;août&amp;nbsp;2020. Cette résolution a nécessité des changements dans le mode de fonctionnement de&amp;nbsp;NetLogon, si bien que&amp;nbsp;Microsoft a déployé la mise à jour en corrigeant la vulnérabilité mais en mettant le changement en mode Audit pour commencer. Microsoft a annoncé une application de ce changement dans les publications du Patch&amp;nbsp;Tuesday de février&amp;nbsp;2021, mais les entreprises pouvaient l'appliquer plus rapidement si elles étaient prêtes, en modifiant un paramètre de registre. Le 15&amp;nbsp;septembre&amp;nbsp;2020, des&amp;nbsp;POC ont été annoncés et, le 18&amp;nbsp;septembre, le Department of Homeland Security – la sécurité intérieure des Etats-Unis – a publié une directive d'urgence (&lt;a href="https://cyber.dhs.gov/ed/20-04/" target="_blank" rel="noopener"&gt;Emergency Directive&amp;nbsp;20-04&lt;/a&gt;) qui conseillait aux agences gouvernementales de déployer et d'appliquer la mise à jour dès le lundi suivant, le 21&amp;nbsp;septembre&amp;nbsp;2020. Il s'avère que cette urgence était justifiée, puisque les premières exploitations sur le terrain ont été détectées avant la fin du mois de septembre.&lt;/li&gt;
&lt;/ul&gt;

&lt;ul&gt;
	&lt;li&gt;&lt;strong&gt;.Net\SharePoint RCE Flaw&lt;/strong&gt; (&lt;a href="https://msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1147" target="_blank" rel="noopener"&gt;CVE-2020-1147&lt;/a&gt;)&amp;nbsp;: Initialement résolue lors du Patch&amp;nbsp;Tuesday du 14&amp;nbsp;juillet. Dès le 21&amp;nbsp;juillet, du code d'exploitation&amp;nbsp;POC circulait. Cette mise à jour a été publiée une nouvelle fois pour le Patch&amp;nbsp;Tuesday d'octobre.&lt;/li&gt;
&lt;/ul&gt;

&lt;p&gt;Dans ces trois cas, le délai entre publication et mise à disposition du code d'exploitation est compris entre&amp;nbsp;14 et 28&amp;nbsp;jours. Cela concorde avec les résultats du &lt;a href="https://www.verizon.com/business/resources/reports/DBIR_2016_Report.pdf" target="_blank" rel="noopener"&gt;2016 Data Breach Investigations Report&lt;/a&gt; de Verizon, qui montre que 50&amp;nbsp;% des exploitations se produisent dans les quatre semaines qui suivent la publication par le fournisseur. Les résultats du rapport «&amp;nbsp;Zero Days, Thousands of Nights&amp;nbsp;», publié par RAND&amp;nbsp;Corporation, montrent que le délai moyen d'exploitation d'une vulnérabilité est de 22&amp;nbsp;jours. Sur la base de ces preuves, il est recommandé de cibler un&amp;nbsp;SLA de correction des vulnérabilités de 14&amp;nbsp;jours maximum. Et cela nous amène à d'autres difficultés.&lt;/p&gt;

&lt;p&gt;&lt;strong&gt;Pourquoi un&amp;nbsp;SLA de 14&amp;nbsp;jours est-il difficile à mettre en place&amp;nbsp;? &lt;/strong&gt;&lt;/p&gt;

&lt;p&gt;Des solutions de gestion des vulnérabilités et des correctifs sont disponibles sur le marché depuis plus de dix ans, et ce sont des solutions relativement matures. Les technologies servant à identifier, préparer, traiter et signaler rapidement l'état des vulnérabilités présentent peu de difficultés.&lt;/p&gt;

&lt;p&gt;Les plus grands défis sont notamment le fait que le processus de correction des vulnérabilités implique plusieurs équipes et jeux de technologies. Ce processus est truffé d'étapes manuelles, de tests et d'impacts opérationnels, et de problèmes de communication de base qui provoquent des délais. Je peux vous citer sans trop réfléchir un grand nombre d'entreprises qui ont réussi à appliquer des&amp;nbsp;SLA de 14&amp;nbsp;jours maximum pour la correction des vulnérabilités. Certaines sont de grandes entreprises de fabrication, de vente, etc. Qu'ont-elles fait pour y parvenir, puisqu'elles utilisent les mêmes technologies que d'autres entreprises, dont le cycle est toujours de 30&amp;nbsp;jours&amp;nbsp;?&lt;/p&gt;

&lt;p&gt;&lt;strong&gt;Les 4&amp;nbsp;principaux défis de la correction des vulnérabilités&amp;nbsp;:&lt;/strong&gt;&lt;/p&gt;

&lt;ul&gt;
	&lt;li&gt;&lt;strong&gt;Combler le fossé entre sécurité et opérations&amp;nbsp;IT&lt;/strong&gt;&amp;nbsp;: Soyons honnêtes. Il n'est pas fréquent que les équipes Sécurité et Opérations «&amp;nbsp;s'entendent&amp;nbsp;» réellement. L'équipe Sécurité parle de risques et de&amp;nbsp;CVE, alors que l'équipe Opérations parle de fonctionnement et de correctifs. La résolution d'une&amp;nbsp;CVE a un impact opérationnel, parce que le correctif peut endommager quelque chose. Cela entraîne de nombreuses difficultés pour l'équipe Opérations. Lorsque les opérations quotidiennes empêchent la résolution rapide des problèmes de sécurité et qu'un incident se produit, cela provoque de nombreuses difficultés pour l'équipe Sécurité.&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;La définition de priorités en fonction des risques est essentielle pour résoudre d'abord les bonnes vulnérabilités&lt;/strong&gt;&amp;nbsp;: Très souvent, le niveau de gravité défini par le fournisseur et le score&amp;nbsp;CVSS ne reflètent pas ce qui est le plus urgent. On compte de nombreux exemples de résolution d'un «&amp;nbsp;Zero Day&amp;nbsp;», alors que la gravité fournisseur est seulement «&amp;nbsp;Important&amp;nbsp;» et que le score&amp;nbsp;CVSS est de&amp;nbsp;7,0, voire moins. Des mesures et métadonnées supplémentaires sont nécessaires pour s'assurer que les éléments les plus dangereux sont corrigés. Par exemple, quelles sont les vulnérabilités activement exploitées&amp;nbsp;?&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;Connaître la fiabilité des mises à jour&lt;/strong&gt;&amp;nbsp;: Retour au&amp;nbsp;SLA de correction des vulnérabilités et au délai d'application des correctifs. L'un des plus grands obstacles qui empêchent d'agir rapidement est l'incapacité à faire des tests efficaces. Les administrateurs ont deux options&amp;nbsp;: 1) Essayer de mettre leurs tests à l'échelle pour garantir qu'ils n'ont pas d'impact opérationnel. - ou - 2) Laisser jouer le temps dans leur processus de tests, les choses se résoudront d'elles-mêmes si l'on attend assez longtemps. Le problème, c'est que les pirates adorent ça, lorsque vous attendez. Je vous ai parlé du rapport&amp;nbsp;RAND qui a montré que la durée de vie moyenne d'une exploitation est de sept ans&amp;nbsp;? Apparemment, certains problèmes n'ont pas été résolus pendant très longtemps... autant de fruits défendus à portée de main pour les pirates.&lt;/li&gt;
	&lt;li&gt;&lt;strong&gt;Conformité des correctifs&lt;/strong&gt;&amp;nbsp;: Les rapports de conformité sont très variés, mais la plupart vérifient l'heure d'ouverture de votre fenêtre de maintenance, pas la date initiale de publication de la mise à jour. Microsoft, Adobe et&amp;nbsp;Oracle publient la plupart des mises à jour de sécurité à des dates régulières et prévisibles, mais Google, Apple, Mozilla et de nombreux autres ne le font pas. Le suivi de la conformité d'une vulnérabilité nécessite de se concentrer sur un niveau plus granulaire pour tenir compte de la nature des logiciels actuels, distribués en continu.&lt;/li&gt;
&lt;/ul&gt;

&lt;p&gt;Si la fiabilité des correctifs, la définition de priorités en fonction des risques et la conformité des correctifs sont des défis qui vous empêchent de respecter un&amp;nbsp;SLA de 14&amp;nbsp;jours pour la correction des vulnérabilités, il vous faut peut-être une expérience plus performante que votre solution actuelle de gestion des correctifs. Ivanti®&amp;nbsp;Neurons for Patch&amp;nbsp;Intelligence a été spécialement conçu pour relever ces défis. &lt;a href="https://www.ivanti.com/fr/products/ivanti-neurons-for-patch-management"&gt;Découvrez-le dès maintenant&lt;/a&gt;.&lt;/p&gt;</description><pubDate>Thu, 29 Oct 2020 17:44:29 Z</pubDate></item><item><guid isPermaLink="false">3a2c3977-746e-458d-8e57-b6de6fa99173</guid><link>https://www.ivanti.com/fr/blog/faire-evoluer-votre-strategie-de-securite-vers-l-a</link><atom:author><atom:name>Chris Goettl</atom:name><atom:uri>https://www.ivanti.com/fr/blog/authors/chris-goettl</atom:uri></atom:author><category>Sécurité</category><title>Faire évoluer votre stratégie de sécurité vers l'autosécurisation</title><description>&lt;p&gt;Les pirates agissent vite. Ils sont agiles et saisissent sans attendre les opportunités qui s'ouvrent à eux. La pandémie de&amp;nbsp;COVID a changé notre façon de travailler et de gérer nos utilisateurs et nos environnements. Les pirates aussi ont changé de méthodes et se sont très rapidement adaptés à cette nouvelle réalité. Dans &lt;a href="https://www.zscaler.com/blogs/security-research/30000-percent-increase-covid-19-themed-attacks" target="_blank" rel="noopener"&gt;un rapport publié en avril dernier&lt;/a&gt;, ZScaler révèle que les attaques sur le thème du&amp;nbsp;COVID ont augmenté de +30&amp;nbsp;000&amp;nbsp;% entre janvier et mars cette année. En seulement quelques mois, les pirates ont radicalement modifié leurs tactiques pour tirer parti de l’opportunité. Voilà une agilité que beaucoup d’entre nous ne peuvent qu'envier.&lt;/p&gt;

&lt;p&gt;Selon une étude de&amp;nbsp;RAND, les pirates sont capables d'exploiter une vulnérabilité &lt;a href="https://www.rand.org/content/dam/rand/pubs/research_reports/RR1700/RR1751/RAND_RR1751.pdf" target="_blank" rel="noopener"&gt;sous 22&amp;nbsp;jours en moyenne et la plupart des exploitations ont une durée de vie de 7&amp;nbsp;ans&lt;/a&gt;. &lt;a href="https://www.recordedfuture.com/blog/top-vulnerabilities-2019" target="_blank" rel="noopener"&gt;Un rapport annuel de Recorded Futures&lt;/a&gt;, qui répertorie les vulnérabilités les plus souvent exploitées en&amp;nbsp;2019, confirme ce phénomène. La plupart des exploitations s'appuient sur des vulnérabilités qui existent déjà depuis un moment.&amp;nbsp;&lt;/p&gt;

&lt;p&gt;Comment contrer un tel niveau d'agilité et d'adaptabilité chez les pirates&amp;nbsp;? En nous adaptant aussi. Nous devons nous orienter vers une stratégie d'autosécurisation. Certes, les pirates gagnent en sophistication. Mais, à la racine de cette sophistication, on trouve la même exécution tactique que celle déjà appliquée depuis des années&amp;nbsp;: reconnaissance, exploitation des vulnérabilités, persistance, déplacement latéral, exfiltration/cryptage des données. Les pirates agissent toujours de la même façon, mais avec plus d’automatisation et des fonctions plus riches.&lt;/p&gt;

&lt;p&gt;Qu'entendons-nous par autosécurisation&amp;nbsp;? En analysant les méthodes des pirates, et en faisant appel à l'automatisation et au machine learning, nous pouvons réagir plus rapidement aux menaces réelles. Cette approche adaptative de la sécurité comprend trois volets. Détection, définition des priorités et correction.&lt;/p&gt;

&lt;p&gt;&lt;img alt="" src="https://static.ivanti.com/sites/marketing/media/images/blog/2020/07/selfsecuring.png"&gt;&lt;/p&gt;

&lt;h2&gt;Détection&lt;/h2&gt;

&lt;p&gt;Découvrez ce que contient votre environnement. Détectez les logiciels et les configurations en cours d'exécution, et lancez des analyses des vulnérabilités. Effectuez une surveillance en continu des changements, des nouveaux périphériques qui se connectent et des changements d'état des périphériques de votre environnement.&lt;/p&gt;

&lt;h2&gt;Définition des priorités&lt;/h2&gt;

&lt;p&gt;Définissez des priorités en fonction des risques, pour identifier les éléments activement exploités et réagir rapidement au niveau de risque le plus élevé. Utilisez les algorithmes prédictifs pour anticiper les changements et les menaces, et suivez leurs conseils sur les prochaines étapes à suivre.&lt;/p&gt;

&lt;ul&gt;
	&lt;li&gt;Filtrez les informations parasites&amp;nbsp;: il y a toujours bien trop de données et bien trop de menaces pour pouvoir tout gérer, mais un tri peut être fait pour ne conserver que les opérations critiques et atténuer ainsi rapidement les risques les plus élevés.&lt;/li&gt;
&lt;/ul&gt;

&lt;h2&gt;Correction&lt;/h2&gt;

&lt;p&gt;L'aspect le plus critique de ce processus, c'est l'action. Il ne sert à rien d'identifier des milliers ou des dizaines de milliers de menaces si aucune mesure n'est prise pour les éliminer.&lt;/p&gt;

&lt;ul&gt;
	&lt;li&gt;Soyez proactif&amp;nbsp;: comme nous l'avons dit plus haut, les pirates agissent vite. Nous devons être proactifs dans nos réponses. Des risques prioritaires peuvent rapidement apparaître et devront être traités en premier. Si vous connaissez les vulnérabilités activement exploitées, vous pouvez optimiser vos efforts de correction.&lt;/li&gt;
	&lt;li&gt;Adaptez-vous&amp;nbsp;: vos fonctions de correction (et d'évaluation) doivent être capables de s'adapter à l'environnement et aux circonstances. La pandémie de&amp;nbsp;COVID nous a montré pourquoi c'était nécessaire. Avec le passage soudain au télétravail, il est indispensable que nos capacités de sécurité suivent le rythme. Qu'il s'agisse de&amp;nbsp;Clouds publics ou privés, de systèmes serveur sur site ou hors site, de périphériques d'entreprise ou en&amp;nbsp;BYOD (Bring Your Own Device), il faut nous assurer que nous pouvons gérer les menaces dans notre environnement et y réagir.&lt;/li&gt;
	&lt;li&gt;Enfin, parlons de l'automatisation. Les pirates automatisent de plus en plus leurs attaques. Ils peuvent ainsi agir vite et à grande échelle. Nous devons automatiser notre réponse. En automatisant les étapes, en réduisant le délai entre deux étapes et en supprimant l'intervention humaine chaque fois que possible, vous réduisez les délais de réponse et évitez les erreurs.&lt;/li&gt;
&lt;/ul&gt;

&lt;p&gt;Le plus important à garder à l'esprit, c'est que l'autosécurisation ne signifie pas que l'être humain est éliminé de l'équation. Il s'agit d'automatiser en priorité les activités qui peuvent l'être, de générer les données analytiques nécessaires pour prendre rapidement des décisions et de définir la priorité des actions, pour que les analystes les approuvent et réagissent vite aux menaces urgentes, qui (nous l'avons dit) peuvent être automatisées.&amp;nbsp;&lt;/p&gt;

&lt;p&gt;Pour en savoir plus sur l'autosécurisation, visitez le site &lt;a href="https://www.ivanti.com/fr/ivanti-neurons"&gt;www.ivanti.fr/neurons&lt;/a&gt;&lt;/p&gt;</description><pubDate>Wed, 29 Jul 2020 07:00:03 Z</pubDate></item></channel></rss>