Retour au blog
VulnérabilitéMicrosoftPatch management

SharePoint Server : la faille CVE-2026-45659 est exploitée, patchez maintenant

CISA a placé la faille SharePoint CVE-2026-45659 sur sa liste rouge. Voici le vrai risque pour une PME/ETI française, et le plan d'action en 48 heures.

Hakim Djelili7 min de lecture
VulnérabilitéMicrosoftPatch management

SharePoint Server : la faille CVE-2026-45659 est exploitée, patchez maintenant

Cyber Expert · Le blog

Le 2 juillet 2026, la CISA a ajouté la faille CVE-2026-45659 à son catalogue des vulnérabilités activement exploitées. Deux jours plus tard, l'échéance de correction pour les agences fédérales américaines expirait. En France, aucune date butoir officielle, mais le message est clair : SharePoint Server on-premise est de nouveau une cible privilégiée.

La faille

Ce que CVE-2026-45659 permet vraiment

La vulnérabilité repose sur un défaut de désérialisation de données non fiables. En clair, SharePoint accepte des objets envoyés par un utilisateur et les reconstruit sans vérifier ce qu'ils contiennent. Un attaquant peut y glisser des instructions et forcer le serveur à les exécuter avec les privilèges du service SharePoint, typiquement NT AUTHORITY\NETWORK SERVICE ou un compte de service dédié.

Le point sensible : il faut être authentifié, mais avec seulement des droits de Site Member. Autant dire n'importe quel collaborateur qui a accès à un espace collaboratif. Ou n'importe quel compte compromis par un phishing la semaine précédente. Ou un ancien prestataire dont le compte n'a jamais été désactivé.

8,8

Score CVSS

Sévérité élevée

12 mai 2026

Patch publié par Microsoft

KB5002863, KB5002870, KB5002868

2 juillet 2026

Ajout au catalogue CISA KEV

Preuve d'exploitation active

Le périmètre

Qui est vraiment concerné en France

La bonne nouvelle pour beaucoup de PME : si vous êtes 100 % sur Microsoft 365 (SharePoint Online), cette faille ne vous touche pas. Les serveurs SharePoint dans le cloud Microsoft ont déjà été mis à jour et l'architecture est différente.

La mauvaise nouvelle pour beaucoup d'ETI et d'entreprises industrielles : les serveurs SharePoint Server on-premise restent très présents dans deux cas.

À risque

Vous avez du SharePoint on-premise si...

  • Vos anciens portails intranet historiques n'ont jamais été migrés
  • Vous avez des impératifs de souveraineté (défense, santé, industrie sensible)
  • Vous utilisez des applications métier qui s'appuient sur SharePoint
  • Vous êtes en environnement hybride avec un SharePoint local qui synchronise
  • Un ancien projet SharePoint 2016 ou 2019 tourne encore sans propriétaire clair

Non concerné

Vous êtes hors périmètre si...

  • Toute votre collaboration est sur Microsoft 365 / SharePoint Online
  • Vous utilisez uniquement Google Workspace
  • Vous n'exposez aucun service SharePoint on-premise sur Internet
  • Vos anciens serveurs SharePoint ont été décommissionnés

Le contexte

Pourquoi cette faille compte pour les PME

Un serveur SharePoint compromis, ce n'est pas seulement un intranet HS. C'est souvent :

  • Un accès aux répertoires de fichiers RH, commerciaux, R&D
  • Un pivot vers l'Active Directory du domaine
  • Un tremplin vers les partages réseau
  • Une passerelle idéale pour un déploiement de ransomware

Les groupes comme Akira, RansomHub ou Qilin, très actifs sur les cibles françaises en 2025-2026, adorent ce type de faille. Le schéma est connu : exploitation d'une CVE serveur non patchée, latéralisation vers l'AD en quelques heures, exfiltration de données, chiffrement. Le coût moyen pour une PME française reste entre 130 000 et 250 000 euros selon Cybermalveillance.gouv.fr.

Le plan d'action

Que faire dans les 48 heures

  • Identifier tous les serveurs SharePoint on-premise (production, préproduction, oublis historiques)
  • Vérifier la version exacte : 2016, 2019 ou Subscription Edition
  • Appliquer les correctifs KB5002863 (Subscription Edition), KB5002870 (2019) ou KB5002868 (2016)
  • Redémarrer les services SharePoint après application des patchs
  • Auditer les logs sur les 60 derniers jours à la recherche de requêtes ViewState anormales
  • Rechercher tout webshell dans les répertoires layouts et wwwroot
  • Vérifier les comptes de service et rotations récentes des credentials
  • Restreindre l'accès Internet au serveur SharePoint (VPN uniquement si possible)

Anticiper

Deux réflexes structurels à installer

Une CVE critique par mois sur un produit Microsoft, c'est la norme, pas l'exception. Deux mécanismes protègent une PME entre deux publications :

  • Un inventaire à jour des logiciels et versions exposés. Sans lui, vous ne saurez jamais si vous êtes concerné par la prochaine faille. Un simple tableau maintenu par la DSI ou le prestataire suffit.
  • Un cycle de patch management défini. Quelqu'un est responsable, un délai maximum est fixé (48 heures pour les CVE critiques exploitées, une semaine pour les critiques non exploitées), et le suivi est documenté.
  1. 12 mai 2026

    Publication des correctifs Microsoft

    KB5002863, KB5002870, KB5002868 pour les trois versions supportées.

  2. 26 mai 2026

    Preuve de concept publique

    Les premières exploitations sont détectées quelques jours après.

  3. 2 juillet 2026

    Ajout au catalogue CISA KEV

    Confirmation officielle d'une exploitation active à grande échelle.

  4. 4 juillet 2026

    Date butoir CISA pour les agences fédérales

    Un signal fort pour toutes les organisations utilisant SharePoint on-premise.

  5. Cette semaine

    Fenêtre d'action pour les PME/ETI françaises

    Patch immédiat, audit des accès, chasse aux compromissions.

Si vous voulez un état des lieux rapide de votre exposition aux CVE critiques Microsoft, demandez un audit patch management gratuit : 30 minutes pour identifier vos angles morts et vos serveurs oubliés.

Besoin d'un avis sur votre situation ?

Discutons-en 30 minutes, sans engagement

Un échange franc avec un consultant sénior pour cadrer vos priorités cybersécurité et clarifier vos obligations.

Prendre rendez-vous