📆 Édition #75 - Lundi 08 Juin 2026

Il y a une question qu'un RSSI ne devrait jamais avoir à se poser un lundi matin : le prochain chercheur qui trouvera une faille dans Windows préviendra-t-il Microsoft, ou postera-t-il directement le code sur internet ?

Cette semaine, Microsoft a rendu la question brûlante. Le 28 mai, le MSRC (Microsoft Security Response Center) a sorti l'artillerie juridique contre un chercheur et ceux qui le facilitent. Quatre jours plus tard, devant le tollé de la communauté, il a fait machine arrière. Entre les deux, rien n'a bougé sur le fond : trois Zero-Days Windows restent sans correctif, et une date a été posée par le chercheur lui-même, le 14 juillet.

Tout ton patch management repose sur un contrat de confiance entre Microsoft et la communauté qui traque ses failles. Cette semaine, on a vu ce contrat se fissurer en direct.

Et pendant que ça se jouait, Microsoft poussait discrètement sa sécurité hors de ses propres murs, et trois échéances se rapprochaient pour le 10 juin et le 1er juillet.

Sors le scalpel. On dissèque.

🔴 À traiter maintenant

Trois urgences cette semaine, Si tu fais une seule chose après cette édition, fais celle-ci :

  • Patch Tuesday du 10 juin : le correctif permanent Exchange est enfin attendu. Après des semaines de mitigation seule, la Security Update permanente pour CVE-2026-42897 (XSS sur OWA, exploité dans la nature, CVSS 8.1) devrait tomber le 10. Applique-la dès sa sortie, surtout si tu tiens Exchange 2016 ou 2019 sous ESU. Délai : mardi prochain. 👉 En savoir plus

  • Secure Boot : les certificats 2011 expirent le 24 juin. On est à J-16. Confirme le déploiement des certificats 2023 via Windows Update, et inventorie tes VM en Trusted Launch et confidentielles : elles suivent un chemin de mise à jour spécifique. Sans ça, tu perds des protections de boot, et à terme le Boot Manager lui-même. 👉 En savoir plus

  • Sentinel : tes pipelines content-as-code cassent le 15 juin. Les anciennes versions d'API de Sentinel Repositories sont déjà retirées (1er juin), et les actions Source Control sur ces versions s'arrêtent le 15 juin. Si tu déploies tes règles et analytics en CI/CD, migre tes connexions de repo avant cette date, sous peine d'échecs de pipeline silencieux. 👉 En savoir plus

⚡ Ce qui brûle — 3 sujets cette semaine

Quand Microsoft menace ses chercheurs puis recule : la divulgation coordonnée vacille

Le 28 mai, le MSRC a brandi sa Digital Crimes Unit contre Nightmare-Eclipse et « ceux qui le facilitent », un message lu par toute la communauté comme une menace juridique générale. Le 1er juin, devant le tollé, Microsoft a reculé : « aucune intention de poursuivre ceux qui mènent ou publient de la recherche ». Sauf qu'entre les deux, rien n'a changé sur le terrain : trois Zero-Days Windows restent sans correctif, et le chercheur a daté sa prochaine salve au 14 juillet. Ce qui se joue, ce n'est pas un fait divers de réseau social : c'est la fiabilité du canal par lequel tu apprends qu'une faille existe avant qu'elle ne te tombe dessus. Si les chercheurs se détournent de la divulgation coordonnée, qui te préviendra en premier la prochaine fois ? 👉 Lire l'analyse complète

Microsoft pousse sa sécurité hors de ses murs : agents et multicloud

À Build, le discours était simple : déploie des agents partout. Cette semaine, le sous-texte change, Microsoft ajoute la laisse. Agent 365 passe sous Defender et Intune, Entra impose désormais qu'un sponsor humain reste responsable de chaque identité d'agent, et Purview suit tes données jusque dans les agents AWS Bedrock. En parallèle, Defender for Cloud va protéger tes bases open-source sur AWS RDS : Microsoft pousse sa sécurité chez le concurrent, là où tournent tes workloads. La vraie question : tes agents sont devenus des identités à part entière, alors qui les gouverne quand ils débordent ton tenant ? 👉 En savoir plus

Hausse Microsoft 365 au 1er juillet : le piège, ce n'est pas le prix, c'est le bundle

Les tarifs Microsoft 365 montent de 5 à 33% selon le SKU au 1er juillet. Mais Microsoft rebundle en même temps : Defender for Office 365 Plan 1, Intune Plan 2, Cloud PKI et Security Copilot entrent dans E3 et E5. La vraie question pour un DSI n'est donc pas « ça augmente de combien », mais « qu'est-ce que je paie déjà en add-on qui devient redondant ? ». Renouveler avant fin juin verrouille le tarif actuel pour un terme complet, mais te prive peut-être d'un right-sizing intelligent. Tu fais le calcul dans quel sens ?

👉 En savoir plus

📌 Microsoft Build 2026 : ce qu'il faut retenir pour ta stack

MS Build s'est tenu fin mai, donc hors de la fenêtre de cette édition. Mais comme tu vas en entendre parler tout l'été, voici les quatre annonces qui comptent vraiment pour une infra On-Prem et hybride, sans le bruit IA :

  • AVD Hybrid passe en Public Preview. Tu peux faire tourner des session hosts Azure Virtual Desktop sur ton propre matériel On-Prem, avec le control plane managé par Microsoft. Le VDI hybride devient une vraie option pour la résidence de données.

  • Windows 365 for Agents. Des Cloud PC pensés pour exécuter des agents IA, avec Autopilot device preparation et le support Azure Compute Gallery désormais en GA pour industrialiser tes images.

  • AKS sur Bare-Metal (Preview) + Fleet Manager pour clusters Arc (GA). Kubernetes au plus près du matériel (NVLink, RDMA), et un pilotage de flotte qui s'étend enfin hors d'Azure, vers ton On-Prem et le multicloud.

  • Azure Cobalt 200 (Arm, Early Access). La nouvelle génération de VM Arm de Microsoft, jusqu'à 50% de perf en plus pour les workloads Cloud-Native.

👉 Le récap Windows 365 /AVD · Le récap AKS

📖 Sur le blog cette semaine

🔍 Actualités “On-Prem & Hybride”

Exchange

HVE passe en disponibilité générale dans Exchange Online

High Volume Email est désormais GA : un relais SMTP natif Microsoft pour les gros volumes d'emails internes, sans passer par un service tiers. Utile si tu as des applis On-Prem, des imprimantes ou des automates qui relayaient jusqu'ici en SMTP. (lien à caler)

Le reste de l'On-Prem (AD & Windows Server, SQL Server, SharePoint, Intune) est calme cette semaine : le hotpatch Windows Server et le CU SQL de juin tombent au Patch Tuesday du 10. On ne bourre pas.

M365 Apps

M365 Apps

Outlook gère les tags d'emails externes dans les règles de boîte

Depuis début juin, tu peux router et catégoriser automatiquement les emails externes via une règle Outlook. Petit ajout, mais utile pour la priorisation et l'hygiène anti-phishing côté usage.

🔍 Actualités “Azure”

Identity /Entra

Gouvernance : Account Discovery (GA) et rôles Azure dans Entitlement Management

Account Discovery passe en GA dans Entra ID Governance : visibilité sur tous les comptes des apps connectées, y compris les orphelins. Et les rôles Azure (Management Group, Subscription, Resource Group) peuvent désormais être gouvernés via des access packages, en preview 👉 En savoir plus

Identités d'agents : un sponsor humain devient obligatoire (GA)

Les Lifecycle Workflows imposent qu'un utilisateur humain reste responsable de chaque identité d'agent, avec transfert automatique au manager si le sponsor quitte l'organisation. La gouvernance des agents commence par leur identité. Lire l'annonce

Entra Connect se durcit encore : autorisation admin interactive pour la sync

Au-delà du Hard-Match (rappel : phase 2 le 1er juillet, pense à tester le recovery Graph API), tout changement de configuration de sync exigera bientôt une authentification admin interactive, en wizard comme en PowerShell. Le cloud devient la source de vérité de l'état de sync. En savoir plus

Sensitivity labels sur les security groups, et My Account modernisé

Les sensitivity labels Purview s'appliquent désormais aux security groups Entra (preview) pour gouverner l'accès invité. Et les pages My Account modernisées (GA d'ici fin juin) exposent mieux les clés de récupération BitLocker, réduisant les tickets helpdesk. En savoir plus

Sécurité

Defender va voir dans AWS : la sécurité Microsoft passe en multicloud

Defender for Cloud bascule en GA la protection des bases open-source sur AWS RDS (facturation dès le 1er juin), et Defender XDR ajoute la table CloudStorageAggregatedEvents en preview dans l'Advanced Hunting. À rapprocher de Purview qui suit désormais les agents AWS Bedrock. En savoir plus

Compute

Live migration pour les VM confidentielles Intel TDX

La live migration arrive pour les VM confidentielles Intel TDX, sans rompre la confidentialité du workload : un vrai sujet pour qui fait du Confidential par souveraineté. En preview aussi, Guest RDMA sur Azure Boost pour la performance réseau. Voir l'annonce

Databases

PostgreSQL gagne DuckDB, DocumentDB la recherche full-text

Azure Database for PostgreSQL Flexible Server passe l'extension DuckDB en GA pour l'analytique embarquée. Azure DocumentDB ajoute la recherche full-text avancée en preview. Voir l'annonce

Storage

Les évaluations Azure Files via Azure Migrate deviennent mondiales

L'évaluation de migration vers Azure Files est généralisée (GA) dans toutes les régions couvertes par Azure Migrate. En savoir plus

Supervision (Azure Monitor)

Service Level Indicators en GA, et l'ingestion OpenTelemetry

Azure Monitor passe les Service Level Indicators en GA et accepte l'ingestion OTLP via le collecteur OpenTelemetry. Un dashboard de volume d'ingestion arrive aussi en preview dans Metrics Usage Insights. En savoir plus

Containers

ACR régionalise sa geo-replication, et une horloge Flatcar côté AKS

Azure Container Registry ajoute des endpoints régionaux à sa geo-replication (preview). Côté AKS, le support de Flatcar Container Linux (preview) est retiré le 8 juin : bascule sur une alternative supportée si tu l'utilises. En savoir plus

Management & Gouvernance

Azure Infrastructure Resiliency Manager en preview

Un nouveau service pour piloter la résilience de bout en bout, en réunissant Advisor, Monitor et Chaos Studio. En public preview. En savoir plus

🤔 Ce qu'on ignore cette semaine

Cette semaine, on a écarté le déluge post-Build Foundry et Fabric. C'est massif, mais soit hors scope (Fabric et Power BI ne sont pas ton métier), soit trop granulaire pour un décideur infra. On a aussi laissé de côté le passage de GitHub Copilot à la facturation à l'usage et la saga dependency-confusion @fxinternal/netdiagnostics : du Dev tooling, pas le cœur de ton infrastructure. Pas par paresse, par tri.

La commande “Az CLI” de la semaine !

Inventaire des VM Trusted Launch et confidentielles avant l'échéance Secure Boot

Les certificats Secure Boot 2011 expirent le 24 juin. Tes VM en Trusted Launch et confidentielles suivent un chemin de mise à jour spécifique vers les certificats 2023. Première étape : savoir lesquelles tu as.

az vm list --query "[].{nom:name, rg:resourceGroup, securityType:securityProfile.securityType}" -o table

Ce que la commande retourne :

  • La liste de tes VM avec leur type de sécurité

  • Les VM en TrustedLaunch (concernées par la mise à jour des certificats)

  • Les VM en ConfidentialVM (chemin de mise à jour dédié)

  • Les VM Standard (sans Secure Boot géré, à traiter à part)

Mème de la semaine !

Tu es arrivé au bout de ta prescription, sans effets secondaires 😄

Si cette dose hebdo t'a été utile, Forwarde-la à un collègue qui pilote du Microsoft sérieux. La communauté Doctor Kloud grandit grâce à toi 💙

À lundi prochain.

Doctor Kloud 🩺

🩺WhoAmI.exe
📕Echo “Mon dernier livre : Azure Application Gateway

Reply

Avatar

or to participate

Continuer la lecture

© 2026 Doctor Kloud. Créée avec ❤️ par Hicham KADIRI.
Report abusePrivacy policyTerms of use
beehiivPowered by beehiiv