Patch Tuesday 2026 — Calendrier, CVE et Guide de Gestion

Le Patch Tuesday est le cycle mensuel de publication des correctifs de sécurité Microsoft, fixé au 2ème mardi de chaque mois depuis octobre 2003. Il couvre l'ensemble de l'écosystème Microsoft : Windows 10, Windows 11, Windows Server (toutes versions supportées), Microsoft 365, Exchange Server, Edge, Azure et les composants .NET. Chaque édition classe les vulnérabilités selon quatre niveaux de sévérité : Critique (exécution de code à distance sans interaction), Important (élévation de privilèges, divulgation d'informations), Modéré et Faible. Le score CVSS (Common Vulnerability Scoring System) quantifie précisément le niveau de risque de chaque CVE, de 0 à 10. En 2026, chaque Patch Tuesday couvre en moyenne plus de 100 vulnérabilités, avec des pics dépassant les 200 CVEs certains mois.

Les risques sont immédiats et documentés : en 2026, plusieurs vulnérabilités exploitées in the wild (zero-days) ont permis des compromissions d'Active Directory dans les 24 à 48h suivant leur publication. Les conséquences opérationnelles incluent l'exécution de code à distance (RCE) sur des serveurs Windows, l'élévation de privilèges vers SYSTEM ou Domain Admin, le déploiement de ransomware via GPO, et l'exfiltration de données sensibles. Sur le plan réglementaire, NIS 2 impose des délais de remédiation documentés : le défaut de patch d'une CVE critique connue peut constituer une faute dans le cadre d'une notification d'incident à l'ANSSI. La conformité DORA impose également des exigences similaires pour le secteur financier.

La priorisation efficace croise trois critères indépendants. Le score CVSS : toute CVE avec un score ≥9.0 (CVSS critique) doit être traitée sous 24 à 48h, quel que soit le système. Le catalogue KEV CISA : si la vulnérabilité figure dans le Known Exploited Vulnerabilities Catalog de la CISA, elle est exploitée en conditions réelles par des acteurs malveillants — l'urgence est absolue. L'exposition du système : un serveur IIS exposé sur Internet avec une vulnérabilité CVSS 7.5 est plus urgent à patcher qu'un poste de travail isolé avec CVSS 9.0. Le RSSI externalisé ou l'équipe SOC utilisera cette matrice pour produire un rapport de priorisation des patchs dans les 4h suivant la publication MSRC. Découvrez notre approche dans notre guide de gestion des vulnérabilités 2026.

Microsoft a instauré ce cycle mensuel prévisible en octobre 2003, après une période chaotique où les correctifs étaient publiés de façon imprévisible, rendant la gestion des patchs difficile pour les équipes IT. Le choix du mardi répond à une logique opérationnelle précise : le lundi permet la préparation interne, le mardi la publication, et du mercredi au vendredi les équipes disposent de 3 jours ouvrés pour tester et déployer avant le week-end. Ce rythme facilite la gestion des changements (change management) et la coordination avec les équipes métier pour les fenêtres de maintenance. Pour les vulnérabilités zero-day activement exploitées, Microsoft peut publier des correctifs out-of-band (hors cycle) à tout moment, sans attendre le 2ème mardi.

Le test des patchs s'effectue sur un environnement non-prod (ring 0) représentatif de la production en termes d'OS, applications métier et configurations Active Directory. La procédure comprend : (1) application des patchs sur des machines pilotes isolées, (2) vérification du démarrage et des services critiques, (3) tests de non-régression des applications métier (ERP, messagerie, outils de sécurité), (4) observation pendant 24 à 72h. Des outils comme WSUS permettent de cibler des groupes spécifiques, Intune offre des anneaux de déploiement configurables. En cas de régression, le rollback s'effectue via wusa /uninstall /kb:XXXXXXX ou via les snapshots VM. Notre équipe d'audit infrastructure peut accompagner la mise en place de ce processus.

Le Patch Tuesday est le cycle mensuel planifié regroupant l'ensemble des correctifs de sécurité et de qualité. Un correctif out-of-band est publié en urgence entre deux Patch Tuesdays lorsqu'une vulnérabilité critique est activement exploitée et présente un risque immédiat ne pouvant pas attendre le prochain cycle mensuel. Ces correctifs d'urgence ciblent généralement des CVEs de score CVSS ≥9.0 avec exploitation zero-day confirmée (ex : PrintNightmare, ProxyLogon, Log4Shell). Ils doivent être traités en priorité absolue avec un déploiement sous 24h sur les systèmes exposés, sans passer par le processus habituel de test étendu. La méthode EBIOS RM intègre ce type de scénario dans l'analyse des risques opérationnels.