📆 Édition du Lundi 01 Juin 2026
Cette semaine, trois mouvements de Microsoft méritent qu'on s'y arrête et l'un d'eux a basculé ce matin :
Le Hard-Match se ferme : depuis ce matin, Entra ID bloque la prise de contrôle par Hard-Match de tes comptes Cloud privilégiés. Bonne nouvelle contre le SyncJacking. Sauf que la vraie échéance, c'est juillet, et elle va casser tes ré-ancrages de migration parfaitement légitimes.
Nightmare-Eclipse ne s'arrête pas : RedSun et UnDefend sont patchés. Mais trois exploits, dont un accès SYSTEM sur Windows 11 à jour et un contournement de BitLocker, restent sans correctif. Le chercheur, banni de GitHub puis de GitLab, a daté sa prochaine salve au 14 juillet.
Ton infra devient un hôte d'agents : Claude Opus 4.8 dans Microsoft Foundry, Windows 365 for Agents, support MCP sur Azure Functions : le Cloud PC et le Serverless deviennent des Runtimes d'IA. Pas une démo, mais un vrai changement d'architecture.
Le reste, c'est du tri. On y va.
🔴 À traiter maintenant
Trois urgences cette semaine. Si tu fais une seule chose après cette édition, fais celle-ci :
Hard-Match Entra Connect : l'enforcement démarre aujourd'hui. Audite tes comptes Cloud privilégiés portant un
onPremisesImmutableId, et surtout ne planifie aucun ré-ancrage d'identité en juillet sans avoir lu tes notifications Message Center (MC1262584 / MC1263280). Vérifie aussi ta version Entra Connect : la 2.5.79.0 devient obligatoire au 30 septembre sous peine d'arrêt de synchro. Phase 1 : aujourd'hui, 1er juin. Phase 2 : juillet. 👉 Lire la suiteDefender RedSun et UnDefend : deadline CISA KEV le 3 juin. CVE-2026-41091 et CVE-2026-45498, exploitées dans la nature. Confirme que tu es sur Defender 4.18.26040.7 ou supérieur (engine 1.1.26040.8). Il te reste deux jours. 👉 Voir le catalogue KEV
Secure Boot : les certificats 2011 expirent le 24 juin. On est à J-23. Vérifie que les nouveaux certificats 2023 se déploient bien via Windows Update sur ton parc, et traque les vieux firmwares OEM qui traînent. Sans mise à jour, tu perds des protections de boot, et à terme le Boot Manager lui-même cessera d'être reconnu. 👉 Lire la suite
⚡ Ce qui brûle — 3 sujets cette semaine
Hard-Match : la frontière AD vers Entra se ferme, et juillet va faire mal
Ce n'est pas "encore un durcissement sécu" de plus. C'est un changement de contrat entre ton AD et ton tenant. La phase 1 qui démarre aujourd'hui bloque la prise de contrôle des comptes Cloud privilégiés par Hard-Match : c'est légitime, c'est la parade au SyncJacking. Mais la phase 2 de juillet va beaucoup plus loin. Elle bloque toute tentative de ré-ancrage de OnPremisesObjectIdentifier, pas seulement les attaques. Concrètement, si tu mènes une migration ou une reprise d'identités cet été, une opération qui marchait hier va te renvoyer une erreur. Et la plupart des Runbooks de migration n'ont pas été mis à jour pour ça 👉 Lire la suite
Nightmare-Eclipse : ce n'est plus une CVE, c'est une crise de divulgation
On en parlait la semaine dernière. Voici la suite, et elle n'est pas rassurante. RedSun et UnDefend ont été corrigés en urgence le 21 mai. Mais ce n'était pas la fin de l'histoire, c'était le milieu. Trois exploits restent sans correctif à ce jour : MiniPlasma, qui décroche un accès SYSTEM sur un Windows 11 entièrement à jour via le Driver Cloud Filter. YellowKey, qui contourne BitLocker là où même TPM plus PIN ne te protège pas. Et GreenPlasma. Le chercheur derrière la série, banni de GitHub puis de GitLab, a publiquement daté sa prochaine salve au 14 juillet. La question reste ouverte : que fais-tu quand le calendrier de patch n'est plus dicté par Microsoft mais par un chercheur en colère, et que ta défense ne peut plus reposer sur le seul Endpoint ? 👉 Lire l'analyse
Ton Cloud PC devient un hôte d'agents : le virage agentique de l'infra Microsoft
Trois annonces de la semaine racontent la même histoire si tu les mets bout à bout. Claude Opus 4.8 arrive dans Microsoft Foundry. Windows 365 for Agents fait tourner des agents IA dans des Cloud PC, sur de vraies applications. Et Azure Functions complète son support du protocole MCP avec les prompts. Microsoft ne vend plus seulement du VDI et du Serverless. Il les repositionne en Runtimes d'agents autonomes. Pour toi qui pilotes du Microsoft sérieux, la vraie question arrive vite : si demain tes Cloud PC exécutent des agents qui agissent seuls, qui les gouverne, qui les sécurise, et avec quelle identité ? Tu vois déjà le lien avec le Hard-Match plus haut 👉 En savoir plus
📖 Sur le blog cette semaine
🔍 Actualités “On-Prem & Hybride”
⭐Windows Server
Hardening Windows Server : CIS Benchmarks et baselines Personnalisables
Les CIS Benchmarks pour Windows Server arrivent en public Preview côté Azure, et les baselines de sécurité personnalisables passent en GA dans Machine Configuration (via Arc). De quoi industrialiser le durcissement de ton parc 👉 Lire la suite
Exchange
CVE-2026-42897 : toujours pas de correctif permanent
Le XSS sur OWA (CVSS 8.1) est exploité dans la nature et la deadline KEV du 29 mai est passée sans Security Update permanente : Microsoft maintient la mitigation EEMS. Rappel : Exchange 2016 et 2019 sont hors support, le correctif n'arrive que via le programme ESU 👉 Consulter la suite
CVE-2026-45659 : la RCE oubliée des patchs de mai
Cette RCE par désérialisation (CVSS 8.8, un compte Site Member authentifié suffit) avait été omise par erreur des Security Updates de mai. L'advisory a été corrigé le 27 mai : patche maintenant, même si l'exploitation est jugée peu probable.
SQL
Mise à jour de sécurité SQL Server 2025 et nouveaux drivers
La mise à jour de sécurité SQL Server 2025 corrige un RCE, un XXE dans la Web Service Task et une injection SQL via les procédures spatiales : applique-la. Côté connectivité, le Driver OLE DB 19.4.2 et mssql-python 1.8.0 viennent de sortir 👉 En savoir plus
🔍 Actualités “Azure”
⭐ Sécurité
VNet flow logs branchés sur Microsoft Sentinel
Le connecteur de logs de flux VNet vers Microsoft Sentinel passe en GA, et le récap "What's new in Sentinel, mai 2026" fait le tour des nouveautés SOC du mois 👉 En savoir plus
⭐ Identity /Entra ID
Entra Tenant Governance traque les Shadow tenants
Microsoft Entra Tenant Governance repère les tenants fantômes et la dérive de configuration pour réduire ton risque rapidement. Utile si ton estate a grossi plus vite que ta gouvernance 👉 En savoir plus
Réseau
Azure Virtual Network Manager s'intègre à Virtual WAN
En public preview, AVNM simplifie la connectivité des spokes Virtual WAN à grande échelle. Moins de plomberie manuelle sur les gros réseaux hub-and-spoke 👉 En savoir plus
Storage
Azure Site Recovery prend en charge les disques Performance Plus
En preview, ASR réplique désormais les VM montées sur disques Performance Plus (haut IOPS, haut débit) en disaster recovery Azure-vers-Azure 👉 En savoir plus
Databases
MySQL Flexible Server : gestion de quota en self-service
La gestion de quota en libre-service passe en GA sur Azure Database for MySQL Flexible Server 👉 Voir l'annonce
Containers
Application Gateway for Containers parle Istio
L'intégration du service mesh Istio passe en GA pour Application Gateway for Containers. En savoir plus
Management & Gouvernance
Purview DLP arrive sur Microsoft 365 Copilot
En preview : des règles DLP qui empêchent Copilot de traiter certains contenus, par exemple bloquer le traitement d'emails externes. Premier vrai cran de gouvernance sur ce que Copilot a le droit de lire.
🤔 Ce qu'on ignore cette semaine
Cette semaine on a écarté trois choses. Le KEV "supply chain" du 27 mai (DAEMON Tools, TanStack, Nx Console) : réel, mais c'est du Dev tooling, pas le cœur de ton infra Microsoft. Le Windows Server Summit 2026 : un sommet, pas une news actionnable. Et toute la vague de tutos Foundry : intéressante, mais on garde la place pour ce qui a une horloge. Pas par paresse, par tri.
La commande “Az CLI” de la semaine !
Inventorie tes rôles privilégiés avant que le Hard-Match ne se ferme
La phase 1 du Hard-Match bloque la prise de contrôle des comptes Cloud à rôles privilégiés. Avant de subir l'enforcement, sache exactement qui détient quoi dans ton annuaire.
az rest --method get \
--url "https://graph.microsoft.com/v1.0/directoryRoles?\$expand=members" \
--query "value[].{role:displayName, membres:members[].userPrincipalName}" -o tableCe que la commande retourne :
La liste de tes rôles d'annuaire Entra activés
Les membres rattachés à chaque rôle (UPN)
De quoi repérer les comptes Cloud privilégiés sensibles au Hard-Match
Une base d'audit à figer avant la phase 2 de juillet
Note : Requiert la permission Directory.Read.All. À tester dans ton tenant avant diffusion.
🩺 Besoin d'un avis sur ton projet Microsoft ?
J'accompagne des DSI, RSSI, CTO et équipes IT avec A2i Technologies, le cabinet de conseil que j'ai fondé et que je pilote avec une équipe d'une dizaine de consultants et architectes Cloud certifiés (Azure, sécurité, identité). Cadre contractuel clair, assurance pro, missions signées et délivrées par le cabinet — la même rigueur qu'un grand cabinet, sans le bruit autour.
Cinq spécialisations, selon où tu en es :
🏛️ Architecture & Gouvernance Azure : Foundation, Landing Zones, structure cible et standards d'exploitation.
🚀 Stratégie & Move2Cloud : Cadrage, trajectoire, migration Azure pilotée de bout en bout.
🛡️ Conformité & Sécurité Cloud : Audit de posture, hardening, conformité réglementaire.
🔐 Identité — AD, Entra AD : Hardening, design, architecture, migration Connect → Cloud Sync, modèle de tiering.
💻 Apps & Bureau Virtuel — RDS /AVD /W365 : Audit, architecture, migration, sécurisation.
Regarde ce qui colle le mieux à ton contexte. Sur chaque page, tu trouveras des formats adaptés à ton niveau de maturité : audit ciblé, mission d'architecture, ou accompagnement projet. On échange d'abord, on construit ensuite — pas l'inverse.
Mème de la semaine !
Tu es arrivé au bout de ta prescription, sans effets secondaires 😄
Si cette dose hebdo t'a été utile, Forwarde-la à un collègue qui pilote du Microsoft sérieux. La communauté Doctor Kloud grandit grâce à toi 💙
À lundi prochain.
— Doctor Kloud 🩺
