Failles Windows critiques : comment ne plus les subir

Pourquoi ce sujet revient toutes les semaines

Windows reste l'environnement bureautique majoritaire en PME française. Les failles critiques des dernières années ont régulièrement concerné des composants au cœur du système : SMB (partages réseau), RDP (bureau à distance), NTLM et Kerberos (authentification), Active Directory, ou encore les protocoles d'impression. Quand l'un de ces composants tombe, c'est souvent une élévation de privilèges ou une exécution de code à distance à la clé — autant de portes d'entrée pour un attaquant.

Dans la pratique, plusieurs CVE (Common Vulnerabilities and Exposures) Microsoft sont publiées chaque semaine, et le bulletin CERT-FR-AVI correspondant arrive dans les heures qui suivent. [À VÉRIFIER : pour une mention nominative d'une CVE de référence, choisir une CVE Windows critique récente parmi les bulletins ANSSI/CERT-FR du mois en cours et l'insérer ici.]

Comment lire un bulletin de faille en 2 minutes

Ouvrez n'importe quel bulletin CERT-FR (cert.ssi.gouv.fr). Cherchez ces quatre informations, dans cet ordre :

1. Le score CVSS (de 0 à 10). Au-dessus de 8, c'est critique. Au-dessus de 9, c'est une urgence absolue.
2. Le vecteur d'attaque. « Distance » (réseau) est plus dangereux que « local » (qui suppose un accès au poste). « Sans authentification » est plus dangereux que « avec authentification ».
3. L'exploitabilité. « Exploitation publique disponible » signifie que des attaques sont déjà tentées dans la nature. « Preuve de concept publique » signifie que ça arrive bientôt.
4. Les produits affectés. Toutes les versions Windows ne sont pas concernées. Le bulletin liste précisément lesquelles.

Pour la majorité des dirigeants, ces quatre points suffisent à décider si une réunion d'urgence est nécessaire ou si c'est un patch Tuesday classique. Voir aussi notre définition MITRE ATT&CK qui structure la lecture des modes opératoires.

Qui est concerné dans une PME française type

Concrètement, sur une PME de 15 collaborateurs sous Microsoft 365 + un petit Active Directory :

• Postes Windows 10/11 : concernés par presque toutes les CVE noyau et navigateur. Patch Tuesday mensuel, sans débat.
• Serveurs Windows Server (Active Directory, fichiers, applications) : cibles à très haute valeur. Toute CVE qui touche AD, SMB, RDP est critique.
• Hyperviseurs (Hyper-V, VMware ESXi) : souvent oubliés en PME, alors que la compromission d'un hyperviseur compromet tous les serveurs qu'il héberge.
• Équipements réseau (pare-feu, switches, points d'accès Wi-Fi) : les failles VPN/RDP/SMB exposées sur Internet sont les plus exploitées en pratique.

Voir notre offre Infrastructure & Systèmes qui couvre le durcissement de l'Active Directory selon les recommandations ANSSI.

La règle du « 30 jours, plus jamais »

D'après les retours d'expérience publiés par le CERT-FR, la majorité des compromissions PME exploitent des failles publiées depuis plus de 30 jours. Ce n'est pas un manque d'outils — les correctifs étaient disponibles. C'est un manque de routine.

La règle simple : aucune faille critique ne reste plus de 30 jours sans correctif sur un poste, un serveur ou un équipement réseau exposé. Pour les CVE notées 9.0+ avec exploitation publique, viser 7 jours maximum.

Mitigation immédiate quand le patch n'est pas disponible

Microsoft publie parfois un correctif plusieurs jours après l'annonce d'une CVE critique. Dans cet intervalle, plusieurs mesures de mitigation existent et sont régulièrement listées dans les bulletins CERT-FR :

• Désactiver le service ou protocole concerné quand c'est possible (un partage SMB inutile, RDP depuis Internet, etc.).
• Restreindre l'accès : filtrage IP, authentification renforcée par MFA, segmentation par VLAN.
• Surveiller : passer la machine en surveillance accrue par votre EDR, exporter les logs vers un SIEM léger.

Une mitigation n'est jamais aussi efficace qu'un correctif officiel, mais elle réduit la fenêtre de risque pendant l'attente.

L'outil que toute PME devrait avoir

Pour piloter le patching sans se noyer, il existe trois options gratuites ou intégrées :

• Windows Update for Business : gratuit avec Windows 10/11 Pro, gère le déploiement progressif sur les postes.
• WSUS : gratuit avec Windows Server, centralise les mises à jour de tous vos postes et serveurs.
• Microsoft Intune : inclus dans Microsoft 365 Business Premium, gère postes et mobiles depuis le cloud.

Pour aller plus loin sur la méthode, voir notre article Pourquoi vous remettez les mises à jour à plus tard, et pourquoi il faut arrêter.

À retenir

Ce que Scryptoura fait pour vous

Notre offre Cybersécurité et notre service Gardien incluent la veille des bulletins CERT-FR / MSRC, la priorisation des correctifs selon votre exposition réelle, et le déploiement coordonné. Pour évaluer votre maturité actuelle sur le patching, le Diagnostic Découverte intègre systématiquement ce sujet.