Panorama des vulnérabilités corrigées lors de ce Patch Tuesday

Le Patch Tuesday de juillet 2025 illustre parfaitement la diversité des menaces qui pèsent sur toutes les organisations. Microsoft a corrigé plus de 130 failles sur l’ensemble de ses plateformes : Windows, SQL Server, Office, Hyper-V, Remote Desktop et SharePoint.

Ce n’est pas tant le volume qui inquiète, mais la nature des vulnérabilités.

La plupart permettaient l’élévation de privilèges, l’exécution de code à distance ou la divulgation d’informations sensibles.

Dans le détail, nous observons :

• 53 failles d’élévation de privilège
• 41 failles d’exécution de code à distance (RCE)
• 18 vulnérabilités de divulgation d’informations
• 8 contournements de fonctions de sécurité
• 6 vulnérabilités de déni de service
• 4 vulnérabilités de spoofing

Pour les responsables IT comme pour les dirigeants de TPE qui gèrent eux-mêmes leur informatique, ces chiffres représentent une réalité concrète.

Ils rappellent qu’une menace peut surgir de n’importe où : un document Word malveillant, une session RDP mal sécurisée, ou une faille dans SQL Server.

Focus sur la faille zero-day SQL Server : un risque à ne pas négliger

La vulnérabilité CVE-2025-49719 prend le devant de la scène ce mois-ci. Déjà connue avant la publication du correctif, elle ciblait Microsoft SQL Server.

Elle permettait à un attaquant non authentifié d’accéder à des données sensibles en exploitant simplement une validation d’entrée défaillante.

En termes simples, votre système central de gestion de données pouvait révéler des informations sans qu’aucun mot de passe ne soit compromis.

Même si aucune exploitation n’a été signalée officiellement, la règle est claire : une faille publique non corrigée multiplie le risque d’attaque.

Pour les entreprises qui stockent leurs données clients, RH ou comptables sur SQL Server, c’est comme laisser une porte entrebâillée.

L’application du correctif est cruciale, mais insuffisante seule. Que vous soyez une TPE avec IT externalisée ou une PME en co-management, vérifiez aussi les versions des pilotes (OLE DB Driver 18 ou 19 recommandés), planifiez les redémarrages nécessaires, et assurez-vous que vos sauvegardes sont fonctionnelles correctement.

Des failles critiques partout… même dans les outils quotidiens

Au-delà de SQL Server, plusieurs vulnérabilités critiques touchent des produits utilisés quotidiennement : Office (Word, PowerPoint, Excel), SharePoint, Hyper-V, et des composants réseau comme SPNEGO.

Certaines failles pouvaient être exploitées simplement en prévisualisant un document malveillant – sans même l’ouvrir. D’autres, comme celles d’Hyper-V, permettaient à un attaquant de prendre le contrôle d’une machine virtuelle.

Pour les PME utilisant Office 365, la vigilance s’impose. Plusieurs correctifs pour les versions Mac ne sont pas encore disponibles et arriveront dans les prochains jours.

Une coordination efficace avec votre prestataire ou équipe interne reste essentielle pour gérer ces vulnérabilités temporaires.

La diversité des failles montre que la surface d’attaque s’élargit constamment : cloud, systèmes locaux, extensions (cloud, Teams, PC Manager, Visual Studio) – chaque composant devient un point de vigilance.

La sécurité IT ressemble à un jeu d’échecs où toutes les pièces doivent être surveillées, pas seulement le roi.

Prendre du recul : la gestion des correctifs comme responsabilité partagée

Pourquoi insister autant sur l’application des correctifs ? Parce que la menace est concrète et immédiate. Avec la médiatisation des failles zero-day et la circulation rapide des outils d’exploitation, le délai entre la découverte d’une vulnérabilité et son exploitation malveillante se réduit parfois à quelques heures. C’est ce qu’on appelle la “fenêtre d’exposition” – cette période où votre protection dépend uniquement de votre réactivité.

Pour les TPE sans ressources IT, il est tentant de reporter les mises à jour par crainte de perturber l’activité. Pourtant, chaque jour de retard augmente le risque de ransomware, de fuite de données ou d’interruption de service. Une organisation efficace (interne ou externe) pour surveiller et déployer ces mises à jour devient donc essentielle.

Les PME disposant d’une équipe IT interne doivent également comprendre que la gestion des correctifs va au-delà du simple clic sur “Mettre à jour”. Elle implique de prioriser les patchs critiques, vérifier la compatibilité des applications, communiquer avec les utilisateurs et parfois mettre en place des solutions temporaires.

Vulnérabilités, fin de support et anticipation : ce que juillet 2025 nous enseigne

Ce Patch Tuesday s’inscrit dans un contexte de transition majeure : la fin de support de Windows 10 approche (octobre 2025), tout comme celle de SQL Server 2012 et Visual Studio 2022 LTSC. Certains environnements ne recevront plus de correctifs après cette date, exposant les organisations à des risques croissants sans migration préalable.

Cette échéance peut sembler lointaine pour les dirigeants de TPE déjà surchargés. Elle souligne pourtant une vérité fondamentale : la sécurité n’est pas un état, mais un processus continu.

Anticiper la fin de vie d’un système, planifier une migration, auditer régulièrement vos outils – voilà le travail de fond qui garantit votre sérénité numérique.

Chez POWERiti, nous accompagnons nos clients dans ces transitions avec pragmatisme : on ne change pas pour changer, mais pour éviter de subir.

Les bonnes pratiques à retenir pour TPE et PME

Face à l’accélération des risques, quelques principes essentiels s’appliquent à toute organisation :

• Établir un calendrier régulier de mise à jour des systèmes, idéalement automatisé
• Prioriser les correctifs critiques, notamment ceux concernant l’exécution de code à distance
• Tester les mises à jour sur un environnement pilote avant déploiement global (si possible)
• Maintenir un inventaire précis des versions logicielles et des systèmes en fin de vie
• Vérifier que les sauvegardes sont fonctionnelles et testées avant tout patch majeur
• Sensibiliser les équipes aux bonnes pratiques (vigilance face aux mails suspects, prévisualisation de documents)

La vraie question n’est pas “Est-ce utile de mettre à jour ?” mais “Quel est le coût de ne pas le faire ?”

Les apports spécifiques de juillet 2025 pour les organisations françaises

Un aspect souvent négligé en France : la dépendance croissante au cloud et à Microsoft 365, particulièrement dans les petites structures. Le Patch Tuesday de juillet cible de nombreux composants présents dans toutes les configurations, qu’elles soient sur site ou dans le cloud.

Pour les cabinets comptables, professions libérales ou PME de services, le risque est concret : une vulnérabilité sur Office, Teams ou OneDrive peut immédiatement compromettre la confidentialité des dossiers clients ou la disponibilité des outils de travail.