📆 Édition #79 du Lundi 06 Juillet 2026
« Exploitation peu probable », Microsoft a écrit ça en mai. Aujourd'hui, elle doit s'en mordre les doigts.
C'était son verdict sur une faille SharePoint. Sept semaines plus tard, le groupe Storm-2603 s'en sert pour déployer le ransomware Warlock, et le 2 juillet, CISA l'a classée parmi les failles activement exploitées, deadline fédérale au 4 juillet. La leçon n'est pas que SharePoint est troué, ça tu le sais. La leçon, c'est que si tu construis ta file de patchs sur le score de risque annoncé par l'éditeur, tu viens de voir ce que ça coûte. Le correctif existait depuis mai. Ce n'était pas un problème de patch. C'était un problème de priorité.
Et pendant que SharePoint brûle, deux autres mondes se réveillent avec leurs propres deadlines. La sauvegarde d'identité (Entra) devient un produit à part entière. Et la Data et l'IA arrêtent d'être des démos de conférence pour devenir de l'Ops, avec des dates de fin de support et des factures à l'usage. On y va.

🔴 À traiter maintenant
Trois urgences cette semaine. Si tu ne fais qu'une chose après cette édition, fais celle-ci :
SharePoint Server On-Prem : la faille que Microsoft jugeait « peu probable » est exploitée en ransomware. CVE-2026-45659 (RCE par désérialisation, CVSS 8.8) permet à n'importe quel compte disposant de simples permissions Site Member d'exécuter du code sur ton serveur SharePoint. Pas besoin d'être admin. CISA l'a ajoutée au catalogue KEV le 2 juillet avec deadline au 4, et le groupe Storm-2603 s'en sert pour déployer le ransomware Warlock. Le correctif existe depuis mai (KB5002863, KB5002870, KB5002868) : si tu ne l'as pas déployé, tu es déjà en retard. Patche, audite tes comptes Site Member, et cherche les fichiers ASPX suspects dans tes répertoires web. Lire la suite
Azure Machine Learning SDK v1 est mort le 30 juin, Databricks Genie devient payant le 6. Deux horloges de la brique Data/IA que tu ne peux plus ignorer. Si tes pipelines d'entraînement tournent encore sur le SDK v1, ils sont désormais sans support ni correctif de sécurité : migre vers le SDK v2. Et si tu as ouvert Genie largement dans Databricks, chaque utilisateur bascule en facturation à l'usage le 6 juillet (150 DBU gratuits/mois, puis DBU facturés) : pose des budgets et des alertes avant cette date. Lire la suite
La convergence du 14 juillet se rapproche. Rappel des horloges déjà détaillées ces dernières semaines, qui tombent toutes le même jour : fin de support SQL Server, SharePoint Server et Project Server 2016-2019, retrait d'InfoPath 2013 et de Forms Services, et phase finale du durcissement Kerberos RC4. Une seule date, plusieurs migrations. Si tu ne les as pas planifiées, c'est le moment.

⚡ Ce qui brûle : 4 sujets cette semaine
👥 Entra Backup & Recovery en GA (inclus dans P1 & P2)
Pendant des années, la sauvegarde de l'annuaire était un angle mort : on protégeait les serveurs, les fichiers, les mailboxes, mais qui restaurait un groupe Entra supprimé par erreur ou par un attaquant ? Entra Backup & Recovery passe en GA cette semaine, avec une rétention de 7 jours des objets d'identité critiques. Pris comme une feature, c'est un utilitaire de plus. Pris comme un signal, c'est Microsoft qui reconnaît que ton tenant Entra est devenu un actif aussi critique que ton AD, et qu'un effacement d'objets, accidentel ou malveillant, est un scénario de sinistre à part entière. Le jour où un script mal écrit ou un compte compromis vide une unité organisationnelle entière, tu seras content d'avoir un point de restauration. Reste une question de dimensionnement : est-ce que 7 jours de rétention suffisent à ta fenêtre de détection d'incident ? Lire la suite
🐧 Azure Linux 4.0 : Microsoft te vend du Linux pour remplacer son propre Windows Server
Voilà une phrase qu'on n'aurait pas écrite il y a dix ans. Azure Linux 4.0 arrive en Public Preview, sans coût de licence, et Microsoft le positionne ouvertement comme une option pour des Workloads jusque-là tenus par Windows Server. Pris isolément, c'est une distribution de plus. Pris dans la tendance, c'est un signal que même Microsoft considère le conteneur Linux comme le socle par défaut de ses charges Cloud-Native, y compris quand ça se fait au détriment de la licence Windows. Pour toi qui pilotes un parc Microsoft, la question n'est pas de tout basculer demain, c'est de savoir où une charge conteneurisée sur Azure Linux te coûterait moins cher et se gérerait aussi bien qu'un Windows Server. À quel moment ta politique « Windows par défaut » mérite-t-elle d'être rediscutée ? Lire la suite
🛡️ Defender for Cloud s'étend à AWS et GCP : Microsoft veut être ton tableau de bord sécu unique
Defender for Cloud élargit sa couverture de posture et de détection sur AWS et GCP, en montant à environ 90 types de ressources non-Azure. La lecture évidente, c'est le confort : une seule console pour voir ta sécurité sur les trois Clouds. La lecture stratégique est plus intéressante. Microsoft ne se contente plus de sécuriser Azure, il veut devenir la couche de sécurité qui chapeaute tes concurrents, AWS et GCP compris. Pour un RSSI multicloud, c'est tentant, un seul outil, une seule équipe, une seule facture. Mais c'est aussi une dépendance de plus envers un éditeur qui devient à la fois ton fournisseur d'infra et ton juge de posture sur l'infra des autres. Jusqu'où tu confies ta visibilité sécurité multicloud à l'un des acteurs que tu surveilles ? Lire la suite
🧠 La Data et l'IA quittent le bac à sable : bienvenue dans l'Ops, avec ses deadlines
Nouvelle rubrique cette semaine, parce que vous êtes plusieurs à l'avoir demandée : Doctor Kloud couvre désormais la brique Data (Fabric, Databricks) et la brique IA/Machine Learning. Et le moment est bien choisi pour l'ouvrir, parce que cette semaine marque un basculement. L'Azure Machine Learning SDK v1 est mort le 30 juin. Databricks Genie devient payant le 6 juillet. Les agents hébergés dans Foundry passent en GA. Un nouveau Code of Conduct encadre désormais tous les modèles déployés dans Foundry, tiers compris. Ce ne sont plus des démos de conférence : ce sont des dépendances en production, avec des dates de fin de support, des factures à l'usage et des règles de conformité. La Data et l'IA rejoignent exactement le terrain que tu connais déjà pour ton infra : le run, les deadlines, la gouvernance. Comment tu intègres cette couche dans tes runbooks et ton FinOps sans la traiter comme un jouet ? Lire la suite

📖 Sur le blog cette semaine


Tu administres Azure tous les jours. Tu délègues des rôles à la bonne portée, tu arbitres une redondance GZRS contre une GRS, tu poses un Resource Lock avant une opération sensible, tu montes une stratégie de sauvegarde et tu la crois active. Et c'est exactement là qu'est le piège.
Personne ne remarque une config bancale tant qu'elle tourne. Ce qui se fige à la création et ne se rattrape qu'en recréant, Microsoft Learn ne l'écrit nulle part. L'examen ne le pardonne pas. La production non plus.
L'AZ-104 est la certification Azure la plus demandée en francophonie. Et jusqu'ici, il n'existait aucun livre en français pour la préparer : résumés de Microsoft Learn, QCM traduits de l'anglais, vidéos sous-titrées à la volée. 495 pages pour combler ce manque : c'est le premier guide de préparation à l'AZ-104 entièrement rédigé en français.
Les cinq domaines du référentiel, relus par un consultant qui a cassé puis réparé chacun de ces services en production. À chaque compétence, une procédure pas à pas dans le Portail Azure, sa commande Azure CLI et l'équivalent PowerShell, et un encadré « Piège d'examen » qui isole ce que l'énoncé cherche vraiment à tester. Chaque chapitre se referme sur un cas client industriel, diagnostiqué en quatre temps, avec les questions d'examen que le scénario génère et leurs corrigés argumentés.
Dans la boîte : plus de 20 Labs Azure, 65 blocs de commandes CLI et PowerShell prêts à l'emploi, plus de 100 pièges d'examen isolés, 5 cas clients, +200 questions de QCM blanc corrigées, un glossaire de 158 termes, et 120 questions supplémentaires + ressource bonus.
📗 La version PDF est disponible sur doctorkloud.fr
📦 En broché et Kindle sur Amazon
Et si tu veux te faire ton avis avant d'acheter, tu peux télécharger tout le premier chapitre (105 pages) depuis le lien suivant :

🔍 Actualités “On-Prem & Hybride”
⭐ Windows Server & AD
DNS over HTTPS (DoH) en GA sur Windows Server 2025
Le rôle DNS Server de Windows Server 2025 supporte désormais DoH en GA : tu chiffres et authentifies le trafic DNS client-vers-résolveur directement dans ton infrastructure On-Prem, sans dépendre d'un résolveur externe. Une brique de durcissement réseau concrète contre le DNS spoofing et l'exfiltration interne. En savoir plus
Hotpatch pour Windows Server 2022 Azure Edition prolongé jusqu'en octobre 2027
Le support du Hotpatch (mises à jour de sécurité sans redémarrage) pour Windows Server 2022 Datacenter: Azure Edition est étendu jusqu'en octobre 2027. De quoi continuer à patcher sans fenêtre de reboot pendant que tu planifies ta migration vers 2025. En savoir plus
Windows Ready Print devient le mode par défaut en juillet
L'ex-Modern Print Platform est renommé Windows Ready Print et devient, à partir de juillet 2026, le mode par défaut des nouvelles installations d'imprimantes (IPP, eSCL, Universal Print). Objectif : un déploiement d'imprimantes plus simple et plus fiable, sans pilote tiers. À connaître avant de provisionner de nouveaux parcs. En savoir plus
SQL Server
SQL Server 2016 : les ESU couvrent jusqu'en 2029
À l'approche de la fin de support du 14 juillet, Microsoft confirme des Extended Security Updates jusqu'au 17 juillet 2029, pour rester patché pendant la migration. En savoir plus
Microsoft Exchange
High Volume Email (HVE) en GA dans Exchange Online
HVE passe en GA : c'est l'alternative native Microsoft au relais SMTP pour les applications, imprimantes et systèmes qui envoient de gros volumes d'emails internes. Pertinent pour tout environnement hybride qui fait encore transiter ses LOB par un relais tiers. En savoir plus
🔍 Actualités “Azure”
⭐ Entra ID
Microsoft Entra Backup & Recovery en GA
La sauvegarde et restauration des objets d'identité critiques (utilisateurs, groupes, applications) passe en GA, avec une rétention de 7 jours. De quoi restaurer un objet Entra supprimé par erreur ou par un attaquant, là où l'annuaire était jusqu'ici un angle mort. En savoir plus
Conditional Access Custom Controls retiré le 30 septembre, remplacé par External MFA
Microsoft retire officiellement les Custom Controls du Conditional Access le 30 septembre 2026. Cette vieille feature en preview, utilisée pour brancher des fournisseurs MFA tiers, laisse place à External MFA, un framework intégré et plus robuste. Si tu routes encore ta MFA tierce via Custom Controls, planifie la migration vers External MFA avant la date, sous peine de casser tes politiques d'accès. En savoir plus
⭐ Compute
Azure Linux 4.0 se positionne face à Windows Server
Azure Linux 4.0 arrive en Public Preview sans coût de licence, présenté comme une option pour des Workloads jusque-là tenus par Windows Server. Un signal à garder à l'œil si tu réévalues tes coûts d'OS sur des charges conteneurisées. En savoir plus
Security
Defender for Cloud élargit sa couverture multicloud AWS et GCP
Defender for Cloud étend l'évaluation de posture et la détection à un plus large éventail de ressources AWS et GCP, pour une vue sécurité unifiée sur tes trois Clouds. En savoir plus
Databases
Module PowerShell Az.PostgreSQLFlexibleServer en GA
Le nouveau module PowerShell pour Azure Database for PostgreSQL Flexible Server passe en GA, pour automatiser provisioning et gestion depuis tes scripts. En savoir plus
Storage
Client-side data integrity protections pour Azure Blob Storage en GA
Azure Blob Storage ajoute des protections d'intégrité côté client en GA, pour détecter toute corruption de données entre le client et le stockage. En savoir plus
Azure Storage Mover : migration depuis Google Cloud Storage en Preview
Storage Mover étend ses capacités de migration aux buckets Google Cloud Storage, en plus des sources existantes, utile pour les chantiers multicloud vers Azure. En savoir plus
Backup & Résilience
Instant Access via application-consistent restore points en Preview
Les points de restauration applicativement cohérents permettent un accès instantané pour restaurer une VM sans attendre la copie complète des données. En savoir plus
DevOps
Suppression de NTLM dans Git (libcurl) : impact Azure DevOps Server
Le retrait de l'authentification NTLM dans libcurl côté Git touchera les intégrations Azure DevOps Server. Un Breaking Change à anticiper avant l'automne. En savoir plus
🔍 Actualités “M365 & Modern Workplace”
Intune & Endpoint
Advanced Intune Suite inclus dans Microsoft 365 E3 et E5 au 1er juillet
Avec la hausse tarifaire du 1er juillet, Microsoft intègre les capacités avancées d'Intune (Endpoint Privilege Management, Cloud PKI, Remote Help, Enterprise App Management, Advanced Analytics) directement dans les licences M365 E3 et E5. Si tu payais ces modules en add-on Intune Suite, revois ton licensing : tu les as peut-être déjà inclus. En savoir plus
Teams
Teams Live Events retiré le 30 juin, place aux Town Halls
C'est officiel et daté : Teams Live Events (et les Graph APIs associées) sont retirés le 30 juin. Si tu utilisais Live Events pour tes webinaires, broadcasts internes ou événements clients, la bascule vers Teams Town Halls n'est plus optionnelle. En savoir plus
SharePoint Online
File Quarantine dans Purview DLP pour SharePoint et OneDrive en GA début juillet
Purview DLP introduit File Quarantine pour SharePoint et OneDrive, GA prévue début juillet : la mise en quarantaine automatique des fichiers qui déclenchent une règle DLP, pour bloquer la propagation d'un contenu sensible avant qu'il ne fuite. En savoir plus
M365 Platform /Data Protection
SharePoint File-Level Archiving vers Microsoft 365 Archive (rollout fin juin)
L'archivage au niveau fichier vers M365 Archive démarre son rollout mondial fin juin : sortir les contenus froids du stockage actif SharePoint tout en les gardant découvrables. De la Data Protection plateforme, à ne pas confondre avec une feature d'app ou de gouvernance Purview. En savoir plus
Purview & Compliance
Purview Insider Risk Management voit désormais les interactions IA
Insider Risk Management passe en GA sur une capacité clé : la visibilité sur les interactions IA associées aux indicateurs de risque interne (fuite de données, usage inapproprié de l'IA, violation de politique). Pertinent à l'heure où tes utilisateurs déversent du contenu dans des copilotes. En savoir plus
Data Security Posture Agent en Preview : la chasse aux Credentials en clair
Purview lance en Preview un agent qui parcourt tes données à grande échelle pour débusquer les identifiants laissés en clair (mots de passe, clés, secrets) dispersés dans tes fichiers et workspaces. C'est le genre de dette silencieuse qui dort dans un vieux partage jusqu'au jour où un attaquant la trouve avant toi. En savoir plus
🔍 Actualités “Data, IA et ML”
Data & Analytics
Fabric Warehouse : rétention configurable de 1 à 120 jours + Time Travel
Fabric Warehouse permet désormais de configurer la fenêtre de rétention de l'historique de données de 1 à 120 jours (au lieu du plafond fixe de 30), et étend le Time Travel au SQL analytics endpoint pour requêter la donnée telle qu'elle était à un instant T. En savoir plus
Databricks : publication d'un catalogue Unity vers Microsoft Fabric
Tu peux désormais publier un catalogue Unity Catalog complet de Databricks vers Fabric en catalogue mirroré en lecture seule, interrogeable directement par les utilisateurs Fabric. Une brique d'interopérabilité entre les deux plateformes de données. En savoir plus
Azure HorizonDB : RAG et agents directement dans PostgreSQL en Preview
HorizonDB, la base PostgreSQL AI-ready de Microsoft, ajoute des pipelines RAG vers agents exécutés directement dans la base, pour rapprocher données et inférence. En savoir plus
IA & Machine Learning
Hosted agents dans Foundry Agent Service en GA
Les agents hébergés passent en GA : un runtime managé pour faire tourner des agents en production, chaque session isolée dans son sandbox avec compute, mémoire et système de fichiers dédiés, indépendamment du framework. En savoir plus
Enterprise AI Services Code of Conduct pour tous les modèles Foundry
Un cadre de conformité unique s'applique désormais à tout modèle déployé via Foundry, modèles tiers compris. Les équipes avec un programme de gouvernance IA doivent relire les termes avant de déployer de nouveaux modèles. En savoir plus

🤔 Ce qu'on ignore cette semaine
On vient d'ouvrir la Data et l'IA, alors autant poser tout de suite ce qu'on n'y mettra pas. Écarté cette semaine : le catalogue de nouveaux modèles Foundry (Kimi-K2, Cohere Rerank), parce qu'un modèle de plus dans une liste, ce n'est pas une décision d'infra. L'accélération GPU du Fabric Warehouse aussi, mais pour une autre raison : c'est une annonce de Build en juin, pas de la semaine.

La commande “Az CLI” de la semaine !
Traque tes objets Entra avant d'avoir à les restaurer
Entra Backup arrive, mais la meilleure sauvegarde reste celle dont tu n'as pas besoin. Avant ça, sache repérer les suppressions récentes : liste les objets Entra supprimés encore récupérables, pour détecter un effacement anormal avant qu'il ne devienne un incident.
az rest --method get --url "https://graph.microsoft.com/v1.0/directory/deletedItems/microsoft.graph.group?\$select=id,displayName,deletedDateTime"Ce que la commande retourne :
La liste des groupes Entra supprimés encore dans la fenêtre de récupération
La date de suppression de chaque objet
De quoi repérer un effacement en masse anormal
Le point de départ d'un contrôle avant restauration

Mème de la semaine !


Tu es arrivé au bout de ta prescription, sans effets secondaires 😄
Si cette dose hebdo t'a été utile, Forwarde-la à un collègue qui pilote du Microsoft sérieux. La communauté Doctor Kloud grandit grâce à toi 💙
À lundi prochain.
Hicham

🩺WhoAmI.exe
📕Echo “Mon dernier livre” > Préparer et réussir AZ-104
📅 Un projet Microsoft dans le pipe ? Cale un appel de cadrage avec moi

