Failles Fortinet, Microsoft, Adobe : agissez cette semaine

Imaginez que la serrure de votre bureau soit cassée, et que tout le quartier soit au courant. C'est exactement la situation dans laquelle se trouvent des milliers de PME en ce moment. La CISA — l'agence américaine de cybersécurité, dont les alertes font référence mondiale — vient de recenser 6 nouvelles failles de sécurité activement exploitées par des pirates. Concrètement : des attaquants réels, aujourd'hui, utilisent ces failles pour s'introduire dans des entreprises comme la vôtre. Les logiciels concernés ? Fortinet (utilisé pour les connexions VPN à distance), Microsoft Office (installé sur la quasi-totalité des postes de travail en France) et Adobe Acrobat (le lecteur PDF incontournable). Si vous utilisez l'un de ces outils — et il y a de fortes chances que ce soit le cas — lisez ce qui suit avant de fermer cet onglet.

Faille Fortinet 2026 : votre accès à distance en danger

Fortinet est l'équipement réseau que beaucoup de PME utilisent pour permettre à leurs collaborateurs de travailler depuis chez eux en toute sécurité, via ce qu'on appelle un VPN (un tunnel sécurisé vers votre réseau d'entreprise). La faille Fortinet 2026 identifiée par la CISA est particulièrement sérieuse : elle permet à un attaquant de se connecter à votre réseau sans avoir besoin d'identifiant ni de mot de passe. En clair, la porte d'entrée sécurisée devient une porte grande ouverte. Ce type de vulnérabilité est une cible prioritaire pour les groupes de ransomware (ces pirates qui bloquent vos données et réclament une rançon). Des campagnes d'attaques automatisées scannent Internet en permanence pour trouver des appareils Fortinet non mis à jour. Si votre boîtier Fortinet n'a pas reçu de mise à jour récente, il est potentiellement visible et vulnérable dès maintenant.

Vulnérabilité Microsoft : Office aussi dans le viseur des pirates

La vulnérabilité Microsoft PME recensée dans ce lot touche plusieurs composants de la suite Office, logiciel présent sur pratiquement tous les ordinateurs professionnels en France. Le scénario d'attaque est redoutablement simple : un employé reçoit un fichier Word ou Excel par email, l'ouvre, et sans qu'il ne clique sur rien de suspect, le pirate prend le contrôle du poste. On appelle cela une attaque « zero-click » — aucune erreur humaine n'est nécessaire, la simple ouverture du fichier suffit. Ce vecteur est massivement utilisé pour cibler les PME, précisément parce qu'elles disposent de moins de filtres de sécurité que les grandes entreprises. La bonne nouvelle : Microsoft a publié un correctif. La mauvaise : si vos postes ne sont pas configurés pour se mettre à jour automatiquement, vous êtes probablement encore exposé.

CVE-2026-34621 Adobe Acrobat : ouvrir un PDF peut suffire

Le patch Adobe Acrobat CVE-2026-34621 concerne une faille critique dans le lecteur PDF le plus utilisé au monde. Adobe Acrobat est installé sur des millions de postes en entreprise pour lire, signer et éditer des documents. Cette vulnérabilité permet à un fichier PDF malveillant d'exécuter des actions sur votre ordinateur à votre insu : installation d'un logiciel espion, vol d'identifiants bancaires, prise de contrôle à distance. Le scénario concret : un fournisseur (ou quelqu'un se faisant passer pour lui) vous envoie une facture en PDF. Vous l'ouvrez. Le pirate est désormais dans votre système. Ce type d'attaque est en forte hausse depuis début 2025, notamment contre les cabinets comptables, les études notariales et les PME industrielles qui échangent quotidiennement des documents PDF avec leurs partenaires.

Ce que vous pouvez faire dès maintenant

Vous n'avez pas besoin d'être expert en informatique pour agir. Voici 5 actions concrètes à lancer cette semaine, dans l'ordre de priorité. Première action : appelez votre prestataire informatique ou votre DSI dès aujourd'hui et demandez-lui explicitement de vérifier si les équipements Fortinet, les postes sous Office et les installations d'Adobe Acrobat sont à jour. Montrez-lui cet article si nécessaire. Deuxième action : activez les mises à jour automatiques sur tous vos postes Windows. Allez dans Paramètres > Windows Update > cochez 'Mises à jour automatiques'. Ce réglage prend moins de 2 minutes et protège contre la majorité des attaques connues. Troisième action : informez vos équipes par un message simple : 'Pendant quelques jours, n'ouvrez aucun fichier PDF ou document Office reçu par email d'un expéditeur inconnu ou inattendu. En cas de doute, appelez l'expéditeur avant d'ouvrir.' Quatrième action : si vous utilisez un VPN Fortinet, demandez à votre prestataire de vérifier d'urgence la version du firmware installé et de le mettre à jour si besoin. Cette opération peut se faire en moins d'une heure. Cinquième action : dans Adobe Acrobat, cliquez sur Aide > Rechercher des mises à jour. Si une mise à jour est disponible, installez-la immédiatement. Ces failles sont réelles, les attaques sont en cours, mais les correctifs existent. Agir maintenant, c'est éviter de gérer une crise bien plus coûteuse dans quelques semaines.