Deux CVE à surveiller cette semaine : un Spoofing Zero-Day sur SharePoint Server et une élévation de privilèges dans Windows Defender. Côté Azure, une supply chain attack sur le package npm axios force les équipes DevOps à auditer leurs pipelines en urgence. J'ai publié les analyses sur le blog avec ce qu'il faut faire concrètement.

🔴 À traiter maintenant

📖 Sur le blog cette semaine

Maintenant place aux actus, pour les plus pressés, voici les actu qui comptent vraiment cette semaine. On a gardé uniquement les annonces qui peuvent impacter le Run, la sécurité ou les décisions de Roadmap, le reste est volontairement laissé de côté.

SQL Server

Exchange / Messaging

Windows Server

Linux / Containers

DevOps

AI + Machine Learning

Containers

Security

Networking

Databases

Storage

Management & Governance

👇 Attache ta ceinture, tout est scanné, résumé et prêt à l’injection. Bonne consultation !

Suite à la compromission d'axios, cette commande permet de lister toutes les versions d'un package npm présentes dans vos feeds Azure Artifacts pour identifier rapidement si une version malveillante a été mise en cache dans votre organisation.

bash

Ce que la commande retourne :

Cette semaine, Microsoft a publié une alerte urgente à destination des équipes utilisant Azure Pipelines : le package npm axios, l'un des clients HTTP JavaScript les plus téléchargés au monde avec plus de 50 millions de téléchargements hebdomadaires, a été compromis dans le cadre d'une attaque supply chain. Des versions malveillantes du package ont été publiées sur le registry npm, potentiellement capables d'exfiltrer des variables d'environnement, des tokens et des secrets présents dans les environnements d'exécution des pipelines. Concrètement : si vos pipelines Azure Pipelines installent axios sans version épinglée, ils ont pu exécuter du code malveillant sans aucune alerte visible.

Ce type d'attaque est particulièrement insidieux car il ne cible pas votre code, il cible votre confiance dans l'écosystème open source. Le guide Microsoft détaille les versions affectées, les commandes d'audit à exécuter immédiatement (npm audit, vérification du lock file), et les mesures de durcissement à appliquer : épinglage des versions, vérification des checksums et activation des politiques de sécurité sur les feeds Azure Artifacts. Si vous n'avez pas encore audité vos pipelines cette semaine, c'est la première chose à faire lundi matin.

Voir les détails

Microsoft publie un guide structuré sur les décisions de migration vers Windows Server 2025 en 2026 : stratégies de rollout par criticité, hotpatching avec Azure Arc, gouvernance hybride et gestion de la dérive de configuration. Le Windows Server Summit 2026 (11-13 mai) accompagnera ces sujets avec des sessions techniques orientées terrain. Explorer davantage

Microsoft fait le point sur la feuille de route DNS security pour Exchange Online : wizard DNSSEC prévu dans l'EAC en Q3 2026, contrôle granulaire MTA-STS par connecteur et migration vers le nouveau endpoint mx.microsoft qui enforce TLS. La migration automatique des domaines existants est retardée en H2 2026 pour des raisons d'infrastructure. À monitorer de près si vous gérez des domaines de messagerie on-premises ou hybrides. Voir les détails

La version 1.6 du driver Python officiel Microsoft pour SQL Server résout un blocage majeur : le GIL (Global Interpreter Lock) était maintenu pendant toute la phase de connexion, gelant tous les threads Python de l'application. C'est maintenant corrigé. La release corrige aussi des crashs sur setinputsizes() avec SQL_DECIMAL, des bugs sur les méthodes catalog et un masquage des mots de passe dans les logs. À déployer en priorité sur les applis Flask/FastAPI/Django en production. Lire la suite

mssql-django 1.7.1 corrige deux bugs bloquants : le backend ne reconnaissait pas l'EngineEdition 12 de Fabric SQL Database, cassant JSONField, les fonctions de hash et la collation. Et une migration AlterField sur un champ couvert par un index descendant provoquait un crash FieldDoesNotExist. Les deux sont résolus. Aller plus loin

Microsoft documente les nouveaux comportements de connectivité sortante liés aux sous-réseaux privés par défaut dans Azure VNet. L'article couvre les patterns d'architecture avec NAT Gateway, les impacts sur les subnets existants et les ajustements à apporter aux templates IaC. Un article à lire avant tout nouveau déploiement réseau. Approfondir le sujet

Microsoft publie un deep dive sur la sauvegarde et la restauration des objets Microsoft Entra ID : utilisateurs, groupes, applications, politiques d'accès conditionnel et planifications automatisées. La restauration granulaire objet par objet et le bulk restore sont couverts. Un article de référence pour les équipes qui n'ont pas encore formalisé leur plan de reprise sur l'identité. Consulter la suite

Red Hat étend le confidential computing au niveau cluster entier avec une Developer Preview disponible dès maintenant sur Microsoft Azure. Tous les nœuds du cluster tournent en Confidential VMs AMD SEV-SNP : le cluster entier bénéficie de l'isolation mémoire hardware, pas seulement les workloads individuels. Un pas de plus vers les architectures zero-trust au niveau infrastructure. Lire la suite

Red Hat publie un article technique sur la gestion du reset des guests confidentiels dans l'hyperviseur QEMU. Le sujet est critique pour les environnements qui redémarrent des VMs confidentielles sans compromettre l'isolation des données entre cycles de vie. Un article dense pour les équipes qui opèrent des infrastructures de confidential computing on-premises. Approfondir le sujet

L'intégration Red Hat Lightspeed avec CrowdStrike est disponible : les clients communs bénéficient de plus de 2 400 nouvelles signatures malware YARA issues de CrowdStrike Falcon Adversary Intelligence, en complément des signatures IBM X-Force déjà présentes. La détection sur les systèmes RHEL est significativement élargie sans changer d'outil. Voir les détails

Red Hat OpenShift Lightspeed Agent passe en disponibilité générale : l'assistant IA natif pour OpenShift permet désormais aux équipes ops d'interroger l'état du cluster, diagnostiquer des incidents et obtenir des recommandations de remédiation en langage naturel, directement depuis la console. Aller plus loin

Microsoft active par défaut l'isolation des sous-réseaux dans les nouveaux Azure Virtual Networks : le trafic sortant est désormais bloqué par défaut sans NAT Gateway ou route explicite. Un changement de comportement important à anticiper pour les déploiements existants et les templates d'infrastructure. Voir les détails

Microsoft annonce officiellement la fin du support de .NET 8 LTS au 10 novembre 2026. Les applications hébergées sur Azure App Service, Azure Functions ou AKS qui tournent sur .NET 8 devront migrer vers .NET 10 LTS avant cette date. À planifier dès maintenant. Consulter la suite

L'authentification par clé d'API pour interroger Azure Monitor Application Insights sera retirée le 30 septembre 2026. La migration vers Entra ID (OIDC) est obligatoire pour maintenir l'accès aux données d'observabilité applicative. Plonger dans le détail

Le chiffrement en transit WireGuard est désormais en disponibilité générale pour AKS. Tout le trafic entre nœuds du cluster est chiffré nativement au niveau réseau, sans modifier les applications. Un renforcement de posture sécurité majeur pour les clusters qui traitent des données sensibles. Explorer davantage

Microsoft documente la prochaine étape d'AKS App Routing avec l'adoption de la Gateway API Kubernetes et l'intégration Istio. L'objectif est de standardiser la gestion du trafic entrant sur les clusters AKS avec un modèle plus expressif et portable que l'Ingress classique. Approfondir la lecture

Microsoft publie un guide détaillé pour intégrer Argo CD avec Microsoft Entra ID sur AKS. L'authentification GitOps via OIDC Entra permet de centraliser la gestion des accès et d'éliminer les comptes de service locaux dans les pipelines de déploiement. Lire la suite

Azure Files SMB supporte désormais en GA l'authentification via Managed Identities, sans gestion de clés de compte de stockage. Les applications peuvent accéder aux partages SMB de manière sécurisée et sans secrets à rotation, directement via l'identité managée. Voir les détails

Azure Backup étend son support à Elastic SAN en Preview. Les volumes iSCSI haute performance peuvent désormais être inclus dans les stratégies de sauvegarde Azure natives, sans solution tierce. Aller plus loin

Microsoft enrichit Azure Migrate avec une capacité de découverte et d'évaluation des partages de fichiers on-premises avant migration vers Azure Files. L'outil analyse la compatibilité, estime les coûts et identifie les dépendances pour préparer une migration sans surprise. Comprendre en profondeur

Azure NetApp Files intègre désormais en GA une protection avancée contre les ransomwares : snapshots immuables automatiques, détection d'activité anormale et blocage de la propagation au niveau du volume. Une couche de défense native pour les workloads critiques stockés sur ANF. Lire la suite

La protection CRC (Cyclic Redundancy Check) passe en disponibilité générale sur Azure. Elle garantit l'intégrité des données en transit en détectant toute corruption silencieuse avant qu'elle n'atteigne les couches applicatives. Approfondir le sujet

Microsoft Purview publie un guide opérationnel pour passer de la détection du surpartage à l'enforcement actif sur les données utilisées par les agents IA. Il couvre la classification, les politiques DLP adaptées aux workloads IA et la remédiation automatique. Explorer davantage

La mise à jour officielle Azure Updates confirme le passage en GA des replicas de lecture en cascade pour Azure Database for PostgreSQL Flexible Server. Les architectures de distribution de charge lecture complexes sont désormais supportées nativement et en production. Voir les détails

Les instances Azure Database for PostgreSQL Flexible Server peuvent désormais utiliser des disques Premium SSD v2 en GA. Latence sous-milliseconde et IOPS élevés configurables indépendamment de la taille du disque : un levier de performance important pour les bases de données à fort I/O. Aller plus loin

Le mirroring PostgreSQL vers Microsoft Fabric passe en disponibilité générale avec une mise à jour enrichie : meilleure performance de réplication, support des schémas multiples et intégration directe avec OneLake. Plonger dans le détail

Le masquage dynamique des données est désormais en disponibilité générale dans Azure Cosmos DB. Les données sensibles peuvent être masquées à la lecture selon le rôle de l'utilisateur, sans modifier le schéma ni les applications. Un contrôle de conformité important pour les bases NoSQL exposées à plusieurs équipes. Explorer la suite

Azure Database for PostgreSQL Flexible Server est désormais disponible dans la région Denmark East. Les clients avec des exigences de résidence des données dans cette géographie peuvent maintenant déployer leurs bases sans contournement. Consulter la suite

Microsoft publie une alerte de sécurité urgente : le package npm axios a été compromis dans une attaque supply chain. Les pipelines Azure Pipelines qui utilisent ce package sont potentiellement exposés. Le guide détaille les versions affectées et les actions immédiates à prendre pour auditer et sécuriser vos pipelines. Voir les détails

Le serveur MCP pour Azure DevOps reçoit sa mise à jour d'avril : nouvelles capacités d'interrogation des pipelines, des work items et des repos via agents IA. Les équipes DevOps peuvent désormais piloter leurs workflows Azure DevOps depuis n'importe quel agent compatible MCP. Approfondir le sujet

Azure Monitor Pipeline passe en disponibilité générale. Il permet de filtrer, transformer et router les données de télémétrie (métriques, logs, traces) avant ingestion dans Azure Monitor, réduisant les coûts et améliorant la qualité des données collectées. Un composant clé pour les architectures d'observabilité à grande échelle. Comprendre en profondeur

Azure Monitor Agent supporte désormais en Preview l'ingestion native du protocole OTLP (OpenTelemetry Protocol). Les applications instrumentées en OTel peuvent envoyer leurs données directement à Azure Monitor sans pipeline intermédiaire ou conversion de format. Plonger dans le détail

Microsoft présente une nouvelle capacité d'investigation automatisée des incidents sur les VMs Azure : l'agent analyse les logs, les métriques et les événements système pour identifier la cause racine d'une panne et proposer des actions correctives, sans investigation manuelle. Approfondir la lecture

Microsoft documente un bug connu : la connexion via Entra ID dans Azure Bastion échoue après la recréation d'une VM. L'article détaille les conditions de déclenchement et le contournement à appliquer en attendant le correctif officiel. Consulter la suite

Azure Monitor est désormais en GA pour les clusters Kubernetes activés par Azure Arc, y compris Azure Red Hat OpenShift. La collecte de métriques, logs et alertes est unifiée depuis Azure pour tous les clusters gérés par Arc, qu'ils soient on-premises ou dans d'autres clouds. Lire la suite

Azure Arc peut désormais référencer en Preview des instances SQL Server hébergées sur des VMs Azure comme cibles de migration. Cela simplifie les scénarios de lift-and-shift où la destination est une VM Azure et non une instance managée. Explorer davantage

Le protocole SBMP (Service Bus Messaging Protocol) est officiellement en cours de retraite. Les clients BizTalk Server 2020 qui utilisent ce protocole pour communiquer avec Azure Service Bus doivent migrer vers AMQP avant la date limite. Un point à vérifier en priorité si BizTalk est encore dans votre paysage. Voir les détails

Logic App Standard dispose désormais d'APIs de vérification de connectivité réseau permettant de diagnostiquer les problèmes de connexion aux ressources internes depuis les workflows. Un outil de debugging bienvenu pour les architectures Logic Apps en réseau privé. Aller plus loin

Microsoft Entra External ID supporte désormais en GA le Single Sign-On depuis les applications natives vers les web views embarquées. Les utilisateurs s'authentifient une seule fois et la session se propage automatiquement, sans re-authentification dans les composants web intégrés à l'app. Explorer la suite

GPT-5.5 d'OpenAI est désormais accessible dans Microsoft Foundry, apportant les dernières capacités de raisonnement frontier dans un environnement enterprise-ready avec gouvernance, sécurité et conformité intégrées. Une option sérieuse pour les équipes qui veulent pousser la puissance des modèles frontier sans quitter l'écosystème Azure. Explorer davantage

L'AI Toolkit for VS Code change de nom et devient Foundry Toolkit, tout en passant en disponibilité générale. Il unifie le développement d'agents IA, le fine-tuning local et le déploiement vers Azure Foundry directement depuis l'IDE. Un outil à intégrer dans les workflows de développement IA de vos équipes. Lire la suite

Microsoft lance en Preview des agents hébergés directement dans Foundry Agent Service : compute sécurisé et scalable géré par Microsoft, sans infrastructure à provisionner. Les équipes peuvent déployer des agents IA en production sans gérer l'environnement d'exécution sous-jacent. Voir les détails

Microsoft publie un guide d'architecture pour sécuriser les déploiements IA enterprise avec les principes Zero Trust : segmentation réseau, accès conditionnel et contrôle des flux entre agents, modèles et sources de données. Un article de référence pour toute équipe qui industrialise des workloads IA. Approfondir le sujet

Le logging MLflow multi-workspace passe en disponibilité générale dans Microsoft Fabric. Les équipes data science peuvent centraliser leurs expériences ML et leurs métriques à travers plusieurs workspaces, sans duplication de configuration. Une brique MLOps importante pour les organisations qui gèrent plusieurs environnements Fabric. Plonger dans le détail

Les dossiers imbriqués sont désormais supportés en GA dans les transformations de raccourcis Microsoft Fabric. Les structures de fichiers complexes peuvent être mappées fidèlement sans aplatissement forcé, simplifiant l'ingestion de données organisées hiérarchiquement. Aller plus loin

Fabric Eventhouse supporte désormais en Preview le chiffrement avec Customer Managed Keys. Les organisations avec des exigences de souveraineté des clés peuvent désormais contrôler le chiffrement de leurs données temps réel dans Eventhouse. Consulter la suite

La protection des accès sortants pour Data Factory dans Microsoft Fabric passe en GA. Les pipelines de données peuvent désormais être restreints à des destinations approuvées, empêchant toute exfiltration accidentelle ou non autorisée de données. Voir les détails