Le rapport révèle une baisse du volume total des vulnérabilités, mais une flambée du risque critique.
Les vulnérabilités critiques ont doublé d’une année sur l’autre, signalant une augmentation de la gravité du risque alors que la découverte assistée par l’IA et l’expansion des surfaces d’attaque redéfinissent le paysage de la sécurité Microsoft. Les vulnérabilités d’élévation de privilèges représentent 40 % de l’ensemble des failles, continuant de dominer les vecteurs d’attaque et confirmant que l’identité reste le principal vecteur exploité. Azure et Dynamics 365 ont connu une multiplication par 9 des vulnérabilités critiques.
Atlanta, GA — avril 2026 — BeyondTrust, leader mondial de la sécurité des identités axée sur les privilèges protégeant les Path to Privileges™ (accès aux privilèges), publie la 13e édition de son rapport annuel sur les Vulnérabilités Microsoft, révélant un changement critique dans le paysage des vulnérabilités. Tandis que le volume total de vulnérabilités semble se stabiliser, les vulnérabilités critiques ont fortement augmenté, indiquant que la gravité et l’exploitabilité des failles progressent rapidement.
Le rapport, qui fournit une analyse approfondie des données issues des bulletins de sécurité Microsoft publiés tout au long de l’année 2025, met en lumière un profil de risque en mutation, alimenté par la découverte de vulnérabilités accélérée par l’IA, l’adoption croissante du cloud et des stratégies d’attaque de plus en plus sophistiquées visant l’identité et les privilèges.
« Ne vous laissez pas distraire par la baisse du nombre total de vulnérabilités. Les vulnérabilités critiques ont doublé. C’est un signal d’alerte : le risque ne diminue pas, il se concentre — et il se concentre autour des privilèges. L’élévation de privilèges représente encore 40 % de toutes les vulnérabilités cette année, car c’est exactement ce dont les attaquants ont besoin pour atteindre les systèmes critiques. Une multiplication par neuf des vulnérabilités critiques dans Azure et Dynamics 365 montre précisément où se concentre ce risque. Combinée à la hausse des attaques visant les identités compromises et exploitant les privilèges permanents, la simple mise à jour des correctifs ne suffira pas à combler cette faille. Les organisations qui résisteront sont celles qui considèrent chaque vulnérabilité et chaque identité — humaine ou machine — comme un chemin potentiel vers un privilège dans leurs systèmes critiques, et qui réduisent ces chemins avant qu’un attaquant ne puisse les atteindre. »
— James Maude, CTO terrain, BeyondTrust
Les points clés du rapport
1. Une baisse apparente qui masque une évolution profonde du risque
Microsoft a signalé un total de 1 273 vulnérabilités, soit une baisse de 6 % par rapport à 1 360 en 2024.
À première vue, cette diminution semble positive, reflétant peut-être les investissements continus de Microsoft en matière de sécurité, permettant de maintenir le contrôle malgré une surface d’attaque en rapidité d’expansion. Cependant, cela pourrait aussi indiquer que les méthodes traditionnelles de suivi des vulnérabilités ne capturent plus l’ensemble du risque, en particulier à mesure que les systèmes alimentés par l’IA, les identités non humaines (NHIs) et les architectures cloud complexes introduisent des menaces qui ne s’intègrent pas toujours aux cadres des CVE.
Dans le même temps :
- Les vulnérabilités critiques ont doublé d’une année sur l’autre, passant de 78 à 157, inversant une tendance baissière pluriannuelle.
- Les vulnérabilités d’élévation de privilèges (EoP) représentent 40 % (509) de l’ensemble des vulnérabilités signalées, confirmant leur rôle comme voie la plus directe pour les attaquants cherchant à escalader les privilèges, se déplacer latéralement et compromettre des systèmes critiques, tout en soulignant l’importance durable de l’identité et du privilège dans les chaînes d’attaque modernes.
2. Les plateformes cloud et d’entreprise alimentent l’expansion du risque critique
Le rapport a révélé d’importantes augmentations des vulnérabilités critiques dans les principales plateformes Microsoft, précédemment en déclin :
- Microsoft Azure et Dynamics 365 ont connu une hausse de 9x des vulnérabilités critiques, passant de 4 à 37.
- Les vulnérabilités Microsoft Office ont grimpé à 157, soit plus du triple par rapport à l’année précédente.
- Les vulnérabilités critiques dans Office ont été multipliées par 10, indiquant un risque accru dans des outils de productivité largement utilisés.
Tandis que le risque critique augmentait dans les plateformes cloud et d’entreprise, d’autres domaines montraient des signes d’amélioration : les vulnérabilités Microsoft Edge ont chuté à 50 en 2025, une diminution de 83 % d’une année sur l’autre.
Recommandations de sécurité
L’IA change la donne en matière de vulnérabilités tout en permettant aux attaquants d’analyser les correctifs, de rétroconcevoir les solutions et d’opérationnaliser les exploits plus rapidement que jamais. Cela crée un écart croissant entre la divulgation d’une vulnérabilité et son exploitation, exposant les organisations avant que les défenses traditionnelles ne puissent réagir.
Les décomptes CVE ne reflètent plus la réalité complète. Les risques émergents tels que les identifiants machines de longue durée, et les erreurs de configuration d’identité ne figurent souvent pas dans les décomptes CVE, bien qu’ils aient un impact considérable. Le suivi traditionnel des vulnérabilités ne capture donc plus toute l’étendue du risque.
Principales priorités pour les organisations :
- Corriger plus rapidement — mais partir du principe qu’une compromission reste possible.
- Appliquer le principe du moindre privilège pour limiter le rayon d’impact d’une attaque et créer des opportunités de détection et de réponse.
- Adopter des stratégies de sécurité centrée sur l’identité, couvrant toutes les identités, humaines et non humaines.
- Se concentrer sur les chemins vers les privilèges, et non sur les vulnérabilités individuelles.
À propos du rapport
Le rapport BeyondTrust sur les vulnérabilités Microsoft se base sur les vulnérabilités publiquement divulguées dans les bulletins de sécurité Microsoft et fournit une analyse complète des tendances dans les systèmes d’exploitation, les plateformes cloud et les applications d’entreprise.
À propos de BeyondTrust
BeyondTrust est le leader mondial en matière de sécurité des identités centrée sur les privilèges, protégeant les Paths to Privilege™. Forte de la confiance de 20 000 clients — dont 75 appartenant au classement Fortune 100 — et reconnue comme un leader multi-catégories par Gartner, Forrester et KuppingerCole, BeyondTrust transforme la sécurité des identités en un avantage stratégique. En savoir plus sur beyondtrust.com.