Patch Tuesday mai 2026 : 138 failles Microsoft à corriger

Chaque mois, Microsoft publie un lot de correctifs de sécurité appelé Patch Tuesday. Celui de mai 2026 sort du lot : 138 vulnérabilités corrigées en une seule fois, dont plusieurs qualifiées de « critiques », c'est-à-dire exploitables à distance par un pirate sans que vous ayez quoi que ce soit à faire. Si vos ordinateurs, vos outils Office ou vos services cloud Microsoft ne sont pas à jour, votre entreprise est potentiellement exposée dès aujourd'hui. Voici ce que vous devez savoir, sans détour.

Pourquoi ce Patch Tuesday de mai 2026 est inhabituel

Pour mettre les choses en perspective : un Patch Tuesday habituel corrige entre 60 et 90 failles. Avec 138 vulnérabilités corrigées d'un coup, Microsoft établit l'un des volumes les plus élevés de ces dernières années. Parmi ces failles, une dizaine sont classées « critiques » — le niveau le plus grave — et concernent ce que l'on appelle des RCE, soit des attaques permettant à un pirate d'exécuter du code malveillant à distance sur votre machine, sans mot de passe, sans clic de votre part. Concrètement, si votre réseau est exposé et que vos postes ne sont pas corrigés, un cybercriminel peut potentiellement prendre le contrôle de vos ordinateurs depuis l'autre bout du monde. Ce n'est pas de la science-fiction : ce type d'attaque est au cœur des ransomwares qui paralysent des PME françaises chaque semaine.

Quels produits Microsoft courants sont touchés ?

Les produits concernés par les vulnérabilités Microsoft Windows PME de ce mois-ci sont ceux que vous utilisez au quotidien. Windows 10 et Windows 11, les systèmes d'exploitation de la quasi-totalité des PC professionnels, comptent parmi les plus exposés. La suite Microsoft Office — Word, Excel, Outlook — est également touchée par des failles critiques : un simple fichier Word reçu par e-mail et ouvert par un collaborateur peut suffire à compromettre un poste. Azure, la plateforme cloud de Microsoft utilisée par de nombreuses PME pour héberger leurs données ou leurs applications métier, est aussi concerné. Enfin, Microsoft Exchange, le serveur de messagerie d'entreprise encore très répandu, et SharePoint, l'outil de partage de documents, figurent eux aussi dans la liste. En résumé : si votre entreprise utilise des produits Microsoft — et c'est très probablement le cas — vous êtes concerné.

Comment vérifier que vos mises à jour sont bien appliquées

C'est ici que beaucoup de PME pensent être protégées alors qu'elles ne le sont pas. Avoir Windows Update activé sur un ou deux postes ne suffit pas. La mise à jour sécurité informatique entreprise doit être vérifiée sur l'ensemble du parc : tous les ordinateurs, fixes et portables, y compris ceux des salariés en télétravail. Pour un poste Windows, rendez-vous dans Paramètres > Windows Update et vérifiez que les dernières mises à jour ont bien été téléchargées et installées. La date de la dernière mise à jour doit afficher mai 2026. Pour Office et les applications Microsoft 365, les mises à jour passent souvent par un canal séparé et peuvent être en retard si la mise à jour automatique a été désactivée un jour par erreur. Si vous avez un prestataire informatique ou un responsable IT, demandez-lui explicitement une confirmation écrite que le Patch Tuesday de mai 2026 a été déployé sur l'ensemble des machines. Si vous n'avez personne en interne, c'est le moment d'en faire la priorité de la semaine.

Ce que vous pouvez faire dès maintenant

1. Vérifiez Windows Update sur votre propre poste ce soir ou demain matin : Paramètres > Windows Update > Rechercher les mises à jour. Installez tout ce qui est disponible et redémarrez si demandé. 2. Demandez à chaque collaborateur de faire la même vérification sur son poste, y compris les télétravailleurs. Un message court dans votre messagerie d'équipe suffit. 3. Contactez votre prestataire informatique pour lui demander une confirmation que le Patch Tuesday de mai 2026 a bien été appliqué sur tout le parc, serveurs compris. 4. Rappelez à vos équipes de ne pas ouvrir de pièces jointes inattendues, en particulier des fichiers Word, Excel ou PDF provenant d'expéditeurs inconnus : c'est le vecteur d'attaque numéro un qui exploite ces types de failles. 5. Si vous n'avez pas de prestataire ni de processus de mise à jour automatisé, profitez de ce signal d'alarme pour en mettre un en place : c'est l'investissement de cybersécurité le plus rentable et le moins coûteux qui soit pour une PME.