Deux administrateurs, un correctif, un juillet très différent
Imaginez deux entreprises exploitant le même serveur SharePoint sur site. L'une a appliqué la mise à jour de sécurité Microsoft de mai 2026 dans la semaine de sa sortie. L'autre l'a classée comme routine et a poursuivi, rassurée par la propre note de Microsoft indiquant que l'exploitation était moins probable. Le 1er juillet, l'agence américaine CISA a ajouté cette même faille, CVE-2026-45659, à son catalogue des vulnérabilités exploitées connues, en citant des preuves d'attaques actives dans la nature. Le premier administrateur était déjà à l'abri. Le second a maintenant un problème urgent assorti d'une échéance publique.
La CISA a laissé aux agences fédérales américaines jusqu'au 4 juillet pour corriger. Cette date n'est pas votre obligation, mais l'inscription est votre avertissement: une vulnérabilité que quelqu'un a minimisée en mai est utilisée contre des cibles réelles en juillet.
La faille en termes simples
CVE-2026-45659 est une vulnérabilité d'exécution de code à distance causée par une désérialisation non sécurisée de données non fiables, avec un score de gravité de 8.8 sur 10. En pratique, cela signifie qu'un attaquant peut faire exécuter au serveur le code de son choix. Elle touche les produits sur site, à savoir SharePoint Server Subscription Edition, SharePoint Server 2019 et SharePoint Enterprise Server 2016, et non le SharePoint hébergé en nuage dans Microsoft 365.
Le détail qui fait monter les enjeux est le faible seuil d'entrée. Exploiter la faille ne requiert pas de droits d'administrateur; un seul compte disposant de permissions ordinaires de Membre du site suffit. La plupart des organisations accordent ce niveau d'accès à des prestataires, du personnel temporaire et des dizaines d'utilisateurs courants. Un seul de ces identifiants, hameçonné ou réutilisé, est toute la clé.
L'écart entre peu probable et exploitée
Lorsque Microsoft a publié le correctif en mai, elle a étiqueté la faille comme d'exploitation moins probable, une prévision raisonnable qui s'est révélée fausse en quelques semaines. Cet écart est la raison pour laquelle les notes de gravité de l'éditeur devraient fixer votre ordre de correction, pas votre décision de corriger. Une note prédit le comportement de l'attaquant; une inscription de la CISA aux vulnérabilités exploitées l'enregistre. Quand les deux divergent, le registre l'emporte, et il vient de le faire.
Le schéma n'est pas nouveau. Les serveurs de collaboration sur site, exposés à internet et riches en données internes, comptent parmi les logiciels les plus sûrement attaqués dans les parcs d'entreprise. Une note de gravité abaissée est une prévision, et les prévisions sont précisément ce que les attaquants sont payés pour démentir.
Pourquoi NIS2 change les enjeux, et que faire maintenant
Pour les opérateurs européens, la conséquence est autant réglementaire que technique. Sous la directive NIS2, les organisations concernées doivent gérer les vulnérabilités connues et peuvent faire l'objet de contrôles et de sanctions si elles y manquent. En France, l'ANSSI et la transposition française donnent corps à ce cadre. Une faille figurant sur une liste publique de vulnérabilités exploitées, avec un correctif disponible depuis mai, est presque la preuve la plus claire possible qu'un correctif existait et n'a pas été appliqué. Après un incident, c'est le premier document qu'un enquêteur brandira.
L'action est étroite et immédiate. Vérifiez si vous exploitez l'une des trois versions sur site de SharePoint concernées. Si oui, appliquez la mise à jour de mai 2026 maintenant et cherchez des signes de compromission plutôt que de supposer que la mise à jour seule referme la porte. Traitez ensuite le catalogue de la CISA, et non l'étiquette de gravité de l'éditeur, comme votre déclencheur pour le prochain cas de ce type, car il y en a toujours un suivant.
À lire ensuite: Deux failles Cursor notées 9.8 livrent la machine du développeur aux attaquants | Une seule faille chez un fournisseur a causé la moitié des victimes de rançongiciel en Europe



