Cette semaine, Microsoft n'est pas là où on l'attend.

Et un compte à rebours qu'on ne peut plus repousser : 45 jours avant l'expiration des certificats Secure Boot 2011. Le Patch Tuesday de demain, c'est ta dernière fenêtre confortable.

Le reste, c'est du tri. On y va.

Trois urgences cette semaine. Si tu fais une seule chose après cette édition, fais celle-ci.

Vague de 7 CVE Azure 7-8 mai — la cuvée 2026 du Patch Tuesday avant l'heure Microsoft a publié 7 CVE Azure entre le 7 et le 8 mai, hors cycle Patch Tuesday classique

Le mode auto-mitigation s'est appliqué sur la plupart : CVE-2026-33844 Azure Managed Cassandra RCE (CVSS 9.0), CVE-2026-35428 Azure Cloud Shell command injection (critique), CVE-2026-33823 Teams Events Portal info disclosure. Pas d'action client requise sur ces dernières. MAIS deux exceptions critiques demandent ton attention en priorité absolue cette semaine : CVE-2026-35435 Azure AI Foundry (exploité, pas de patch — traité maintenant ↑) et CVE-2026-41105 Azure Monitor Action Groups (privilege escalation). Si tu utilises Action Groups custom avec runbooks, Logic Apps ou webhooks d'alerte, audite les permissions RBAC cette semaine — c'est ton angle mort le plus probable. 👉 En savoir plus

Retirement Reserved VM 17 SKU au 1er juillet 2026 — ton FinOps Azure va tousser

Annonce du 8 mai qui va faire mal aux contrats long-terme : à partir du 1er juillet 2026, plus aucun nouvel achat ni renouvellement de Reserved Instances pour 17 SKU. Côté 1 an : Av2, Amv2, Bv1, D, Ds, Dv2, Dsv2, F, Fs, Fsv2, G, Gs, Ls, Lsv2. Côté 1 et 3 ans : la famille v3 complète Dv3, Dsv3, Ev3, Esv3. Les RI déjà achetés courent jusqu'à expiration puis bascule pay-as-you-go automatique — l'auto-review ne sauve plus rien sur ces SKU. À auditer cette semaine côté Cost Management : identifie tes RI impactés, leurs dates d'expiration, et planifie soit la migration vers les SKU v6/v7 (avec nouveaux RI), soit le passage en savings plans, soit le pay-as-you-go assumé. 👉 En savoir plus

Exchange Server SE HU6 — la fin de l'EWS commence pour ton Hybrid

Microsoft a publié le 7 mai un Hotfix Update non-sécurité mais stratégique pour Exchange Server SE. Le HU6 (KB5081755) ouvre la bascule de la rich coexistence hybrid d'EWS vers Microsoft Graph API. Ce n'est pas urgent au sens "patch CVE", c'est urgent au sens "calendrier de projet". EWS commence sa désactivation côté Exchange Online en octobre 2026, hard endpoint en avril 2027. Si tu es encore sur Exchange 2016/2019 ESU, pas de Graph hybrid pour toi — ces versions ne reçoivent pas la fonctionnalité, même en ESU. Tu dois migrer vers Exchange SE pour rester en hybrid après octobre 2026. Si tu pilotes une migration Exchange, le HU6 est ton premier livrable 👉 En savoir plus

Microsoft applique une nouvelle restriction de sécurité : à partir du 1er juin 2026 (21 jours), Entra Connect Sync et Cloud Sync bloqueront tout hard-match d'un nouvel objet AD vers un objet cloud-managed Entra ID qui détient des rôles Microsoft Entra. L'objectif : stopper les attaques d'account takeover via abus de hard-match sur les comptes privilégiés. Les sync existantes ne sont pas affectées, c'est uniquement les nouveaux matchs qui bloquent. Audite tes scripts d'onboarding et ton pipeline JIT provisioning cette semaine 👉 Lire la suite…

L'update Windows d'avril 2026 a introduit un nouveau modèle de confiance pour les fichiers .rdp : warning éducationnel à la première ouverture, puis restrictions sur clipboard et Device redirection si le fichier n'est pas signé. Pour AVD et les flottes RDS qui distribuent des .rdp custom, deux options : signer les fichiers via PowerShell + certificat PKI interne (recommandé), ou appliquer le Workaround GPO temporaire (RedirectionWarningDialogVersion=1). Microsoft prévient que le Workaround sera retiré dans une future update. 👉 Lire la suite…

Microsoft met en lumière l'Automatic Plan Correction de SQL Server, une fonctionnalité capable de détecter et corriger automatiquement les régressions de plans d'exécution avant qu'elles n'impactent les performances en production. Une bouée de sauvetage pour les DBAs qui passaient des heures à traquer ces dégradations invisibles mais dévastatrices pour les applications critiques. Lire la suite

Microsoft bascule le modèle par défaut de Copilot vers GPT-5.5 Instant. Ça change le comportement et la latence des prompts existants côté utilisateurs finaux — à intégrer dans ton plan de change tenant et à signaler aux équipes qui ont calibré des prompts spécifiques. Comprendre en profondeur

Deux CVE publiées le 7 mai sur M365 Copilot, classe "improper neutralization of special elements". Permettent une divulgation d'information à un attaquant non authentifié sur le réseau. Pas de score CVSS public à ce stade. À surveiller dans tes alertes Defender. Lire la suite sur MSRC

Le HU6 publié le 7 mai n'apporte pas de correctif sécurité mais ouvre la fonctionnalité majeure de la roadmap Exchange : bascule de la hybrid rich coexistence d'Exchange Web Services vers Microsoft Graph API. Pas urgent au sens patch, urgent au sens projet — voir le sujet 2 de "Ce qui brûle" pour le contexte calendrier. Voir les détails du KB

Red Hat place la virtualisation au cœur de son événement phare 2026, confirmant son engagement à offrir une alternative solide et open source aux solutions propriétaires en pleine mutation du marché. Une déclaration de force à l'heure où les entreprises repensent en urgence leur stratégie post-VMware. Voir les détails

Red Hat franchit un cap dans la sécurisation des environnements cloud-natifs en proposant une approche de posture unifiée, couvrant l'ensemble du cycle de vie des applications conteneurisées. Une réponse concrète aux équipes SecOps qui peinent à maintenir une visibilité cohérente sur des infrastructures de plus en plus fragmentées. Explorer la suite

Alors que les agents IA s'imposent dans les workflows d'entreprise, Red Hat rappelle que les portails développeurs deviennent le pivot central pour gouverner, exposer et orchestrer ces nouveaux acteurs numériques. Sans eux, l'IA en entreprise risque de rimer avec chaos et dette technique. Approfondir la lecture. Lire la suite

La nouvelle version de Red Hat Satellite 6.19 renforce la capacité des équipes IT à accélérer l'innovation tout en maintenant une gouvernance stricte sur l'intégrité des systèmes Linux à grande échelle. Un outil clé pour les organisations qui ne peuvent se permettre ni les dérives de conformité, ni le frein à l'agilité. Lire la suite

Microsoft publie un point complet sur la posture de sécurité IaaS Azure dans la lignée de la Secure Future Initiative. Recommandations clés : golden images immutables actualisées chaque semaine via Azure Compute Gallery, ADE avec customer-managed keys obligatoire, AAD workload identity comme seul mode d'authentification supporté pour SQL Server sur Azure VM. En savoir plus

CVE-2026-33844 — Azure Managed Cassandra RCE (CVSS 9.0, auto-mitigé)
Faille d'amélioration d'entrée critique permettant une exécution de code à distance sur les hôtes managés Cassandra. Microsoft a auto-mitigé côté backend avant la disclosure publique, aucune action client requise. Mais signal fort : même les services fully-managed peuvent porter des failles 9.0. À documenter dans ton registre risques cloud.
En savoir plus

CVE-2026-35428 — Azure Cloud Shell command injection (critique)
Vulnérabilité d'injection de commandes dans Cloud Shell pouvant permettre du session hijacking. Microsoft a patché côté serveur avec nouveaux contrôles de gouvernance, aucune action client requise. Audit recommandé : revue des logs Cloud Shell historiques si tu suspectes une exposition passée. En savoir plus

CVE-2026-41105 — Azure Monitor Action Groups privilege escalation
Faille permettant une élévation de privilèges via les Action Groups custom (runbooks, Logic Apps, webhooks). Si tes alertes Azure Monitor déclenchent des automations privilégiées, audite les permissions RBAC associées cette semaine. En savoir plus

CVE-2026-42826 — Azure DevOps Information Disclosure
Faille d'information disclosure sur Azure DevOps, "Reasonable" report confidence. Audit recommandé : revue des permissions pipelines et secret management. Active "Limit job authorization scope" et "Protect access to repositories in YAML pipelines".
En savoir plus

CVE-2026-33111 — Copilot Chat in Edge Information Disclosure
Faille d'info disclosure sur Copilot Chat dans Edge. Patch admin disponible. Vérifie le déploiement via Intune ou GPO Edge. En savoir plus

🔁 Rappel : CVE-2026-32202 Windows Shell zero-click — la deadline
CISA tombe demain mardi 12 mai. Vérifie le déploiement de KB5083769 sur tout ton parc (couvert dans #69).

Concevoir des réseaux capables de supporter la puissance brute des supercalculateurs IA est un défi d'une complexité rare, et Microsoft partage ses bonnes pratiques pour y répondre. Une lecture incontournable pour les architectes réseau qui préparent leurs infrastructures à l'ère de l'IA à grande échelle. Approfondir le sujet

Microsoft franchit un cap majeur dans la supervision des réseaux cloud avec la disponibilité générale du filtrage de métriques et de l'agrégation de logs ACNS, offrant une visibilité sans précédent sur les flux réseau à grande échelle. Les équipes NetOps disposent enfin d'outils dignes des environnements les plus exigeants pour détecter, analyser et réagir en temps réel. Consulter la suite

Microsoft s'attaque à l'un des défis les plus complexes de l'IA en entreprise : déployer une IA responsable au sein de Microsoft Foundry tout en respectant les contraintes strictes des périmètres réseau d'entreprise. Une approche qui réconcilie innovation IA et exigences de souveraineté, de conformité et de sécurité des DSI. Lire la suite

Les v7 Intel Granite Rapids passent en GA. Performance/€ amélioré sur compute généraliste (D/Dl) et memory-optimized (E). Disponibles dans les régions principales. À envisager pour les renouvellements de RI v3 qui retirent en juillet (voir sujet 3 de "Ce qui brûle"). Plonger dans le détail

Voir le sujet 3 de "Ce qui brûle" pour l'analyse complète. La liste exacte des SKU retirés et la date butoir d'achat sont dans l'announcement Partner Center. Approfondir la lecture

Outil complémentaire pour basculer tes VM "regional" (sans zone) vers une affinité zone explicite. Utile pour préparer tes workloads à un mode HA zonalisé sans recréer manuellement les VM. Comprendre en profondeur

Microsoft livre enfin un outillage officiel pour migrer tes Availability Sets vers Virtual Machine Scale Sets. Si tu as des AS legacy qui te bloquent sur certaines fonctionnalités modernes (zone-redundancy, autoscale, deployment safeguards), c'est ta porte d'entrée propre. Explorer la suite

ANF active désormais le backup par défaut sur les nouveaux volumes en preview. Améliore la posture DR sans intervention explicite. Plonger dans le détail

Tu peux désormais snapshotter un volume Elastic SAN unique au lieu de l'intégralité du SAN. Simplifie les workflows de backup et la restauration ciblée. Voir les détails

Pv2 désormais disponible sur les 3 zones de Japan West. Permet la zonalisation propre des workloads stateful nippons. Consulter la suite

Microsoft passe en disponibilité générale le support d'Azure Elastic SAN avec les SKUs AV64, offrant aux déploiements Azure VMware Solution des options de stockage plus performantes et à plus grande échelle. Une évolution clé pour les entreprises qui misent sur VMware dans le cloud Azure et cherchent à pousser leurs workloads critiques à la vitesse supérieure. En savoir plus

Microsoft généralise les snapshots individuels sur Azure Elastic SAN, permettant des sauvegardes incrémentielles point-dans-le-temps directement au sein du SAN, sans facturation séparée. Efficaces en capacité et alignés sur la redondance du SAN parent, ils offrent une restauration rapide ou un export vers des managed disk snapshots pour une rétention longue durée. Consulter

Microsoft simplifie radicalement l'intégration d'Azure Elastic SAN avec AVS Gen2 Private Cloud : fini la passerelle ExpressRoute, un simple Private Endpoint suffit désormais pour configurer les sessions iSCSI. Résultat : des déploiements VMware allégés et des performances maximisées, sans limitation de bande passante imposée par l'infrastructure réseau. Explorer

La convergence des outils Microsoft autour de GitHub Enterprise s'accélère, et les équipes qui tardent à migrer risquent de se retrouver sur une plateforme en perte de vitesse. Un argumentaire clair pour les DSI et les leads DevOps qui hésitent encore à franchir le pas. Aller plus loin

Fini les mauvaises surprises en production : une approche Validation-Driven Terraform permet de détecter les erreurs de configuration avant même que le déploiement ne commence sur Azure Functions. Une méthodologie concrète qui transforme l'infrastructure as code en processus fiable et auditable. Explorer davantage. Lire la suite

Gérer la gouvernance Azure à grande échelle sans automatisation, c'est courir après les dérives de conformité en permanence. Avec EPAC et des pipelines DevOps dédiés au naming standard, Microsoft propose une approche structurée pour reprendre le contrôle sans sacrifier l'agilité des équipes. Explorer davantage

La fédération OIDC appliquée aux pipelines Terraform sur Azure élimine les secrets statiques longtemps considérés comme le talon d'Achille des workflows CI/CD. Une modernisation indispensable pour les équipes qui veulent allier vitesse de déploiement et sécurité sans compromis. Approfondir la lecture

Mise à jour mensuelle Azure SQL. À consulter pour les détails des nouveautés (collation, audit, performance). Lire la suite

Cosmos DB ajoute la quantization sphérique pour le vector search. Réduit l'empreinte mémoire des index vectoriels tout en préservant la qualité de recherche. Pertinent pour les workloads RAG à grande échelle. Plonger dans le détail

Microsoft dévoile le Azure Cosmos DB Shell, une expérience en ligne de commande nouvelle génération propulsée par l'IA grâce au Model Context Protocol (MCP). Fini les requêtes fastidieuses : explorez, interrogez et gérez vos données Cosmos DB avec des workflows intelligents et assistés par l'IA, directement depuis votre terminal. Lire la suite

Microsoft pousse en preview un serveur MCP pour ARM. Permet aux agents AI (Claude, GPT, etc.) de générer et exécuter des Azure Resource Graph queries et de déployer des ARM templates en langage naturel. Premier signal du virage agentic AI dans le control plane Azure. À tester en environnement non-prod avec les bonnes guardrails. Lire la suite

Microsoft franchit un cap majeur dans la reprise après sinistre : Azure Backup permet désormais de restaurer jusqu'à 100 machines virtuelles en une seule opération. Une révolution pour les équipes IT confrontées à des pannes massives ou des attaques ransomware, qui gagnent enfin en vitesse et en efficacité opérationnelle. Aller plus loin

L'AGC managé add-on devient compatible avec les clusters AKS Automatic. Si tu utilises AKS Automatic, tu peux désormais bénéficier de l'AGC sans configuration manuelle. Comprendre en profondeur

Cert-manager packagé en add-on managé pour les clusters Kubernetes Arc-enabled. Plus besoin de l'installer et de le maintenir manuellement — Azure Arc gère le lifecycle. Aller plus loin

Le SRE Agent étend son périmètre aux serveurs Windows Server 2025 Arc-enabled. Permet d'unifier la posture observabilité/auto-remédiation entre Azure et on-prem. Voir les détails

Microsoft rend disponible le SKU Consumption du Durable Task Scheduler, permettant d'orchestrer des workflows durables et des agents IA sur Azure avec un modèle 100% pay-per-use, sa stockage à gérer ni capacité à planifier. Avec jusqu'à 500 actions/seconde et une compatibilité multi-environnements (Functions, Container Apps, AKS), c'est la solution idéale pour les charges de travail en rafale comme l'orchestration d'agents IA. Voir plus

Microsoft sonne le glas de son API Azure Document Intelligence v3.0 : elle sera définitivement retirée le 30 mars 2029. Les entreprises ont jusqu'à cette date pour migrer vers la version v4.0, sous peine de voir leurs applications cesser de fonctionner du jour au lendemain. En savoir plus

Microsoft officialise la sécurité OneLake en GA, posant les fondations d'une gouvernance unifiée et robuste pour toutes les données stockées dans Microsoft Fabric. Une étape cruciale pour les entreprises qui souhaitent centraliser leurs données sans sacrifier le contrôle des accès et la conformité. Lire la suite

Microsoft introduit le Time Travel dans ses Fabric Warehouses, permettant aux équipes data d'interroger l'état de leurs données à n'importe quel point dans le passé sans infrastructure supplémentaire. Une fonctionnalité game-changer pour le débogage, l'audit et la réconciliation de données en entreprise. Plonger dans le détail

Streamer les événements de changement SQL directement vers Microsoft Fabric Eventstream ouvre la voie à des pipelines d'analytique temps réel sans friction entre les bases de données transactionnelles et la couche analytique. Une intégration qui efface la frontière entre données opérationnelles et données analytiques. Lire la suite

Construire un pipeline scalable d'extraction de données contractuelles avec Microsoft Foundry et Python illustre parfaitement comment l'IA industrialisée transforme des tâches juridiques fastidieuses en processus automatisés et fiables. Un cas d'usage concret qui montre la maturité croissante de Foundry pour les workloads enterprise critiques. Consulter la suite

Cette semaine, l'urgence #1 sur ton parc Kubernetes Azure, c'est AKS-2026-0003 (mitigation Copy Fail / CVE-2026-31431). Microsoft a livré la mitigation dans les images de nodes 202604.13.0 et 202604.24.0, mais les nodes existants ne sont pas patchés in-place. Il faut les reimager — sans avoir à upgrader la version Kubernetes.

Ce que la commande retourne :

À lancer pool par pool (ou en boucle scriptée) sur tous les pools Ubuntu 20.04 FIPS / 22.04 / 24.04 / Azure Linux 3.0. Si tu as un cluster sensible où le reimaging immédiat n'est pas envisageable, applique le DaemonSet de mitigation publié dans le bulletin AKS le temps de planifier.