Le 2 juillet 2026, la CISA a ajouté la faille CVE-2026-45659 à son catalogue des vulnérabilités activement exploitées. Deux jours plus tard, l'échéance de correction pour les agences fédérales américaines expirait. En France, aucune date butoir officielle, mais le message est clair : SharePoint Server on-premise est de nouveau une cible privilégiée.
La faille
Ce que CVE-2026-45659 permet vraiment
La vulnérabilité repose sur un défaut de désérialisation de données non fiables. En clair, SharePoint accepte des objets envoyés par un utilisateur et les reconstruit sans vérifier ce qu'ils contiennent. Un attaquant peut y glisser des instructions et forcer le serveur à les exécuter avec les privilèges du service SharePoint, typiquement NT AUTHORITY\NETWORK SERVICE ou un compte de service dédié.
Le point sensible : il faut être authentifié, mais avec seulement des droits de Site Member. Autant dire n'importe quel collaborateur qui a accès à un espace collaboratif. Ou n'importe quel compte compromis par un phishing la semaine précédente. Ou un ancien prestataire dont le compte n'a jamais été désactivé.
8,8
Score CVSS
Sévérité élevée
12 mai 2026
Patch publié par Microsoft
KB5002863, KB5002870, KB5002868
2 juillet 2026
Ajout au catalogue CISA KEV
Preuve d'exploitation active
Le périmètre
Qui est vraiment concerné en France
La bonne nouvelle pour beaucoup de PME : si vous êtes 100 % sur Microsoft 365 (SharePoint Online), cette faille ne vous touche pas. Les serveurs SharePoint dans le cloud Microsoft ont déjà été mis à jour et l'architecture est différente.
La mauvaise nouvelle pour beaucoup d'ETI et d'entreprises industrielles : les serveurs SharePoint Server on-premise restent très présents dans deux cas.
À risque
Vous avez du SharePoint on-premise si...
- Vos anciens portails intranet historiques n'ont jamais été migrés
- Vous avez des impératifs de souveraineté (défense, santé, industrie sensible)
- Vous utilisez des applications métier qui s'appuient sur SharePoint
- Vous êtes en environnement hybride avec un SharePoint local qui synchronise
- Un ancien projet SharePoint 2016 ou 2019 tourne encore sans propriétaire clair
Non concerné
Vous êtes hors périmètre si...
- Toute votre collaboration est sur Microsoft 365 / SharePoint Online
- Vous utilisez uniquement Google Workspace
- Vous n'exposez aucun service SharePoint on-premise sur Internet
- Vos anciens serveurs SharePoint ont été décommissionnés
Le contexte
Pourquoi cette faille compte pour les PME
Un serveur SharePoint compromis, ce n'est pas seulement un intranet HS. C'est souvent :
- Un accès aux répertoires de fichiers RH, commerciaux, R&D
- Un pivot vers l'Active Directory du domaine
- Un tremplin vers les partages réseau
- Une passerelle idéale pour un déploiement de ransomware
Les groupes comme Akira, RansomHub ou Qilin, très actifs sur les cibles françaises en 2025-2026, adorent ce type de faille. Le schéma est connu : exploitation d'une CVE serveur non patchée, latéralisation vers l'AD en quelques heures, exfiltration de données, chiffrement. Le coût moyen pour une PME française reste entre 130 000 et 250 000 euros selon Cybermalveillance.gouv.fr.
Le plan d'action
Que faire dans les 48 heures
- Identifier tous les serveurs SharePoint on-premise (production, préproduction, oublis historiques)
- Vérifier la version exacte : 2016, 2019 ou Subscription Edition
- Appliquer les correctifs KB5002863 (Subscription Edition), KB5002870 (2019) ou KB5002868 (2016)
- Redémarrer les services SharePoint après application des patchs
- Auditer les logs sur les 60 derniers jours à la recherche de requêtes ViewState anormales
- Rechercher tout webshell dans les répertoires layouts et wwwroot
- Vérifier les comptes de service et rotations récentes des credentials
- Restreindre l'accès Internet au serveur SharePoint (VPN uniquement si possible)
Anticiper
Deux réflexes structurels à installer
Une CVE critique par mois sur un produit Microsoft, c'est la norme, pas l'exception. Deux mécanismes protègent une PME entre deux publications :
- Un inventaire à jour des logiciels et versions exposés. Sans lui, vous ne saurez jamais si vous êtes concerné par la prochaine faille. Un simple tableau maintenu par la DSI ou le prestataire suffit.
- Un cycle de patch management défini. Quelqu'un est responsable, un délai maximum est fixé (48 heures pour les CVE critiques exploitées, une semaine pour les critiques non exploitées), et le suivi est documenté.
12 mai 2026
Publication des correctifs Microsoft
KB5002863, KB5002870, KB5002868 pour les trois versions supportées.
26 mai 2026
Preuve de concept publique
Les premières exploitations sont détectées quelques jours après.
2 juillet 2026
Ajout au catalogue CISA KEV
Confirmation officielle d'une exploitation active à grande échelle.
4 juillet 2026
Date butoir CISA pour les agences fédérales
Un signal fort pour toutes les organisations utilisant SharePoint on-premise.
Cette semaine
Fenêtre d'action pour les PME/ETI françaises
Patch immédiat, audit des accès, chasse aux compromissions.
Si vous voulez un état des lieux rapide de votre exposition aux CVE critiques Microsoft, demandez un audit patch management gratuit : 30 minutes pour identifier vos angles morts et vos serveurs oubliés.
Discutons-en 30 minutes, sans engagement
Un échange franc avec un consultant sénior pour cadrer vos priorités cybersécurité et clarifier vos obligations.
Prendre rendez-vous