Le nombre total de vulnérabilités Microsoft recule légèrement en 2025. Mais les failles critiques, elles, ont doublé. BeyondTrust publie la 13e édition de son rapport annuel et pointe une concentration du risque sur Azure, Office et les identités, humaines comme non humaines.
Azure, Office, Windows Server : les trois fronts sous pression
La cartographie par ligne de produits révèle des disparités : Azure et Dynamics 365 enregistrent une multiplication par neuf de leurs vulnérabilités critiques, passant de 4 à 37 en un an, soit 54 % de l’ensemble des vulnérabilités de cette ligne, contre 6 % l’année précédente.
La portée de ce risque dépasse l’infrastructure. Les plateformes cloud constituent aujourd’hui les plans de contrôle de l’ensemble des opérations d’entreprise. Une faille critique peut paralyser des workflows entiers et effondrer des frontières de confiance à l’échelle d’un tenant entier. Le rapport cite à ce titre CVE-2025-55241 : « une faille dans Azure Entra ID permettant à un attaquant d’usurper n’importe quelle identité, y compris celle d’un administrateur global, dans n’importe quelle organisation. Microsoft lui a attribué le score CVSS maximum de 10,0 ». (citation traduite de l’anglais)
Microsoft Office présente le bond le plus spectaculaire en volume : 157 vulnérabilités en 2025 contre 47 en 2024, soit +234 %. Les vulnérabilités critiques y ont été multipliées par dix. La suite bureautique reste un vecteur d’attaque de choix, précisément parce qu’elle croise en permanence comportement humain, opérations quotidiennes et continuité métier.
Windows Server progresse à 780 vulnérabilités dont 50 critiques, contre 684 en 2024. Les serveurs étant des actifs à fort levier (services partagés, infrastructure centrale, privilèges larges) toute intensification du risque critique dans cette catégorie amplifie mécaniquement l’impact potentiel d’une attaque.
La bonne nouvelle s’appelle Edge
Microsoft Edge atteint un plancher historique : 50 vulnérabilités totales, zéro critique, soit -83 % en un an. Le rapport l’attribue au passage à Chromium : « Edge a bénéficié d’un sandboxing agressif, de cycles de mise à jour rapides et de modèles d’isolation robustes. Cela prouve que les investissements architecturaux et de conception sécurisée produisent des résultats. »
L’élévation de privilèges, fil rouge immuable
La catégorie Élévation de Privilèges représente 40 % des vulnérabilités 2025, 509 failles sur 1 273. C’est le pivot de toute chaîne d’attaque moderne : une fois la première brèche établie, c’est elle qui permet de se déplacer latéralement et d’opérer comme une identité de confiance. Ce n’est pas une faiblesse logicielle isolée, c’est le reflet d’environnements qui fonctionnent avec des privilèges permanents excessifs et une séparation des duties insuffisante.
Les vulnérabilités Information Disclosure ont pour leur part bondi de 73 %, de 101 à 175 cas. Moins visibles, elles alimentent directement la phase de reconnaissance des attaquants.
L’IA élargit la surface, les CVE ne suffisent plus
Le rapport désigne sous le terme « ghost in the machine » les identités non humaines : services accounts, APIs, conteneurs, agents IA. Ces entités s’authentifient et agissent sans intervention humaine, souvent sans propriétaire identifié ni gouvernance formelle, avec des privilèges élevés rarement audités. BeyondTrust Phantom Labs observe une augmentation de 466,7 % du nombre d’agents IA opérant en entreprise sur la dernière année.
Deux CVE liés à Microsoft Copilot illustrent concrètement le risque. CVE-2025-32711 dit « EchoLeak » permettait une exploitation zero-click à distance via manipulation du modèle IA. CVE-2025-59286 ouvrait la voie à une injection de commandes et à la divulgation d’informations sensibles. Ces failles pointent un angle mort : nombre de vulnérabilités cloud et IA ne reçoivent jamais de CVE, mais leurs conséquences peuvent être aussi graves que n’importe quelle faille répertoriée.
Patcher reste nécessaire, mais insuffisant
Le rapport est explicite : corriger plus vite, tout en partant du principe qu’une compromission reste possible. L’application du principe du moindre privilège à toutes les identités, humaines et non humaines, est présentée comme le levier de réduction du risque le plus transversal. Historiquement, la suppression des droits d’administrateur local suffisait à mitiger environ 75 % des vulnérabilités critiques Microsoft.
« Les organisations qui résisteront sont celles qui considèrent chaque vulnérabilité et chaque identité, humaine ou machine, comme un chemin potentiel vers un privilège dans leurs systèmes critiques, et qui réduisent ces chemins avant qu’un attaquant ne puisse les atteindre », conclut James Maude, CTO terrain chez BeyondTrust.
