Secu
Windows se prépare à une avalanche de vulnérabilités découvertes par l’IA
Par Laurent Delattre, publié le 13 juillet 2026
Les vulnérabilités Windows vont-elles bientôt être découvertes plus vite que les entreprises ne peuvent les corriger ? En détaillant sa riposte face à la recherche de failles dopée à l’IA, Microsoft prévient : le Patch Tuesday entre dans une nouvelle ère… Celle du « Patch… everyday… ».
Nous en parlons depuis plusieurs semaines : l’arrivée des modèles Mythos 5, GPT 5.6 (qui succède en plus fort à GPT-5.5 Cyber) et de plateformes comme Microsoft MDASH annonce des temps difficiles pour les RSSI et les équipes IT qui vont être confrontées à une vague sans précédent de découvertes de vulnérabilités et de patchs correctifs. Et Microsoft vient d’enfoncer le clou en publiant un billet de blog plutôt inquiétant la semaine dernière. L’éditeur y prévient clairement ses clients : l’IA va accélérer la découverte des failles, augmenter le nombre de correctifs et imposer une gestion beaucoup plus continue du risque et des mises à jour.
Signé par Pavan Davuluri, vice-président exécutif de Windows et des terminaux chez Microsoft, le billet est une alerte qui ne surprendra pas les DSI mais qui souligne l’urgence du moment. Le billet confirme un changement durable d’échelle dans la recherche, la correction et le déploiement des failles Windows.
« Le rythme de découverte des vulnérabilités est en train de changer », prévient Microsoft, qui reconnaît que les progrès de l’IA permettent désormais de trouver davantage de problèmes, plus rapidement et dans des volumes de code beaucoup plus importants. Et ce qui est vrai pour les défenseurs le sera évidemment aussi pour les attaquants.
Davantage de CVE ne signifie pas nécessairement un Windows moins sûr
Il émerge de ce nouveau post un avertissement quelque peu contre-intuitif. Les administrateurs doivent se préparer à voir augmenter le nombre de vulnérabilités publiées et de correctifs intégrés aux mises à jour mensuelles. Non parce que le code Windows deviendrait subitement moins sûr (la plupart des failles seront probablement dénichés dans des parties de codes anciennes plutôt que dans les plus récentes), mais parce que les outils de recherche automatisée deviennent beaucoup plus efficaces.
« À mesure que l’IA aidera les défenseurs à découvrir davantage de problèmes, les clients verront un volume plus élevé de correctifs de sécurité dans chaque mise à jour », explique l’éditeur, avant d’ajouter que cette augmentation constituera « la preuve que les défenseurs progressent dans l’identification et le traitement des failles ».
Vous l’aurez compris, Microsoft en est déjà à préparer ses clients à un afflux de correctifs mais aussi à un paradoxe de communication pas simple à gérer : dans un sens, une multiplication des CVE témoignera d’une meilleure capacité de détection et donc d’un renforcement du système, tout en augmentant mécaniquement la pression opérationnelle et les risques sur les entreprises.
Pourquoi une telle alerte ? Parce que les équipes de Windows s’appuient désormais sur la toute nouvelle solution MDASH de Microsoft, une infrastructure agentique de recherche de vulnérabilités (cf encadré ci-dessous). Cette plateforme organise plusieurs familles de modèles et plus d’une centaine d’agents spécialisés pour analyser le code, confronter leurs conclusions, éliminer les doublons et produire des preuves d’exploitation. En mai, Microsoft indiquait que MDASH avait contribué à découvrir 16 vulnérabilités dans les piles réseau et d’authentification de Windows, dont quatre failles critiques permettant une exécution de code à distance. À l’époque, l’adoption de l’outil n’était encore qu’expérimentale. Depuis, l’éditeur est passé à l’échelle et a même industrialisé la solution pour les équipes Windows.
Dans son nouveau billet, Microsoft précise avoir construit pour ses équipes OS une infrastructure cloud dédiée au scan et à la validation. Les vulnérabilités potentielles sont soumises à un « débat multimodèle », puis à une seconde chaîne de vérification propre à Windows afin que seuls les résultats considérés comme fiables parviennent aux équipes d’ingénierie.
Microsoft ne précise toutefois pas quels modèles sont actuellement mobilisés dans cette chaîne. L’enjeu est moins le modèle lui-même que le système agentique chargé de l’encadrer, de vérifier ses conclusions et de limiter les faux positifs.
L’IA doit aussi accélérer la fabrication des correctifs
Découvrir davantage de failles n’a d’intérêt que si les équipes peuvent les qualifier puis les corriger au même rythme. Microsoft entend donc appliquer l’IA à l’ensemble du cycle de remédiation.
Les modèles doivent aider les développeurs à comprendre les dysfonctionnements, à suggérer des modifications cohérentes avec le code existant, à rechercher des problèmes similaires dans d’autres composants et à sélectionner les tests de régression susceptibles d’être affectés par chaque changement.
« Nous intégrons l’IA pour raccourcir le chemin entre la découverte d’une faille et l’obtention d’un correctif validé », résume Microsoft. Mais l’éditeur insiste aussi sur le maintien d’une supervision humaine pour la revue du code et la décision finale.
La prudence est loin d’être accessoire. Accélérer la production des patchs sans renforcer leur validation ferait simplement passer le risque de la vulnérabilité vers celui de la régression. Or, dans des environnements Windows très hétérogènes, un correctif défectueux peut provoquer des incompatibilités applicatives, perturber des milliers de postes ou imposer des redémarrages non planifiés.
Microsoft promet donc de renforcer en parallèle ses environnements de test et son Security Update Validation Program. En cas de problème, la technologie Known Issue Rollback doit permettre de désactiver une modification ciblée sans désinstaller l’intégralité d’une mise à jour et sans retirer les autres protections qu’elle contient.
« À mesure que le rythme de découverte et de correction augmente, la qualité doit rester au centre de notre démarche », assure l’entreprise. Espérons qu’il ne s’agisse pas uniquement de « mots rassurants » mais d’une véritable volonté.
Le Patch Tuesday ne suffira plus
Reste le fond et ce limpide message adressé aux entreprises : le traditionnel cycle mensuel de correctifs ne peut plus être traité comme une simple opération de maintenance planifiée. Microsoft pousse plus que jamais ses clients vers une gestion continue, automatisée et fondée sur le niveau de risque.
« Appliquer rapidement les correctifs reste l’un des moyens les plus efficaces de réduire l’exposition, particulièrement lorsque l’IA accélère à la fois la découverte et l’exploitation des vulnérabilités », rappelle le billet.
Comme à chaque fois, les experts invitent les organisations à se préparer en cartographiant leurs actifs, identifiant leurs cibles les plus sensibles et accélérant le déploiement lorsqu’une exposition importante est détectée. Les mises à jour optionnelles dites « D », publiées avant le prochain Patch Tuesday, sont présentées par Microsoft comme un utile et désormais essentiel moyen de tester plus tôt la compatibilité des futurs changements.
Cette transformation suppose surtout des anneaux de déploiement plus fins, une télémétrie fiable, des procédures de retour arrière éprouvées et une connaissance précise des dépendances applicatives. Elle favorise naturellement les outils que Microsoft met en avant dans son billet : Windows Autopatch, Intune, Defender Vulnerability Management, Azure Arc, Azure Update Manager et les mécanismes de hotpatching.
C’est peut-être d’ailleurs là que la lecture du billet de blog fait grincer les dents des DSI et RSSI qui le lisent. Difficile de ne pas percevoir derrière l’avertissement sécuritaire un dessin plus marketing et économique : plus la cadence de correction devient difficile à gérer manuellement, plus l’automatisation et les plateformes intégrées de Microsoft apparaissent indispensables.
Une nouvelle course de vitesse entre attaquants et défenseurs
Le véritable changement annoncé ne réside cependant pas dans l’augmentation du nombre de patchs. Il tient à la compression de toutes les temporalités : recherche d’une faille, démonstration de son exploitabilité, création d’un correctif et tentative d’exploitation… Tout s’accélère.
La fenêtre séparant la publication d’une vulnérabilité de son exploitation active devrait encore se réduire. Les entreprises qui mettent toujours plusieurs semaines, voire plusieurs mois, à appliquer un correctif critique risquent de voir leur retard devenir beaucoup plus dangereux. Le risque augmente non pas tant par le nombre de failles découvertes que par la célérité avec laquelle s’enchaîne les découvertes et correctifs.
Et Microsoft, pour rassurer, de dégainer une promesse plutôt ambitieuse, peut-être même trop ambitieuse pour être totalement crédible : « Les clients ne devraient pas avoir à choisir entre vitesse et stabilité. Notre responsabilité est de les aider à rester protégés tout en déployant les mises à jour avec confiance. »
Or justement, toute la difficulté sera précisément de tenir cette promesse. Oui, l’IA va certes permettre à Microsoft de découvrir et de corriger davantage de vulnérabilités, et c’est en un sens une bonne nouvelle. Mais, elle risque surtout de transformer la gestion des patchs en un flux presque continu, que les RSSI, les équipes IT et les responsables du poste de travail devront trouver le moyen d’absorber sans interrompre l’activité.
Presque étrangement, Microsoft n’annonce pas pour autant la fin du Patch Tuesday. Ce dernier ne disparaît pas encore, mais il devrait bientôt ne plus constituer que la partie visible d’une mécanique de remédiation devenue inexorablement continue.
MDASH, le chasseur de failles à l’échelle de l’IA
MDASH, pour Multi-Model Agentic Scanning Harness, n’est pas un nouveau modèle d’IA, mais une infrastructure d’orchestration conçue par Microsoft Security pour industrialiser l’audit de code. Elle coordonne un ensemble de modèles et plus de 100 agents spécialisés capables d’examiner des bases de code écrites dans les principaux langages, de suivre les flux de données, d’analyser la logique métier et de reconstituer des chaînes d’exploitation.
Son pipeline ne se contente pas de signaler du code suspect. Les agents formulent des hypothèses, confrontent leurs résultats dans un « débat » multimodèle, éliminent les doublons et les faux positifs, puis tentent de valider la faille et d’en démontrer concrètement l’exploitabilité. Pour Windows, Microsoft ajoute une seconde chaîne de vérification avant transmission aux ingénieurs.
MDASH vise ainsi à couvrir tout le cycle, de la découverte à la remédiation, avec génération de preuves d’exploitation et propositions de correctifs contextualisés. La plateforme s’intègre désormais à Microsoft Defender et aux workflows de sécurité du code afin de rapprocher le contexte d’exécution, la détection dans les dépôts et la correction par les développeurs. Une architecture pensée pour transformer la recherche de vulnérabilités en processus continu, automatisé et industrialisable.
À LIRE AUSSI :
À LIRE AUSSI :
