Patch Tuesday mai 2026 : 137 failles Microsoft et les obligations légales que votre entreprise ne peut pas ignorer

Professionnel IT consultant son écran Windows avec alertes de sécurité critiques dans un bureau parisien
Swann Swann GeorgesInformatique
4 min de lecture 16 mai 2026

Le 12 mai 2026, Microsoft a publié son Patch Tuesday mensuel en corrigeant 137 failles de sécurité, dont 17 classées critiques. Ce que beaucoup d'entreprises françaises ignorent : ne pas appliquer ces mises à jour les expose à une responsabilité juridique directe au titre du RGPD et de la directive NIS2.

Ce que contient le Patch Tuesday de mai 2026

La mise à jour déployée le 12 mai 2026 concerne l'ensemble de l'écosystème Microsoft : Windows 10 et 11, Office (Word, Excel, Outlook), Windows Server, .NET Framework et le client DNS de Windows.

Parmi les 17 failles critiques, deux méritent une attention immédiate selon les analystes du secteur :

  • CVE-2026-41089 (Netlogon) : une faille permettant à un attaquant non authentifié d'exécuter du code à distance sur un contrôleur de domaine Windows Server. En cas d'exploitation, le risque de déploiement de ransomware sur l'ensemble du parc informatique est direct.
  • CVE-2026-41096 (DNS Windows) : un débordement mémoire dans le client DNS Windows, présent sur la quasi-totalité des machines Windows. L'attaque ne nécessite ni authentification ni action de l'utilisateur.

Bonne nouvelle : aucun zero-day n'a été exploité dans la nature avant la publication du patch, ce qui offre une fenêtre d'action aux équipes IT.

RGPD et NIS2 : ce qu'exige la loi sur les mises à jour de sécurité

L'article 32 du RGPD impose aux entreprises de mettre en place des mesures techniques appropriées pour garantir la sécurité des données personnelles. La Commission Nationale de l'Informatique et des Libertés (CNIL) considère explicitement que le fait de ne pas appliquer les correctifs de sécurité disponibles constitue un manquement à cette obligation.

Selon le site officiel de la CNIL, les entreprises doivent notamment « mettre à jour régulièrement les logiciels » et « protéger les systèmes contre les attaques informatiques ». En cas de violation de données consécutive à une faille non corrigée, la CNIL peut infliger une amende allant jusqu'à 4 % du chiffre d'affaires annuel mondial.

La directive NIS2, transposée en droit français en 2025, va plus loin en imposant des obligations de gestion des risques et de signalement d'incidents pour les entités essentielles et importantes. Les entreprises qui n'appliquent pas les patches de sécurité s'exposent à des contrôles renforcés par l'ANSSI.

Quelles entreprises sont les plus exposées ?

Ce Patch Tuesday est particulièrement critique pour trois catégories d'entreprises françaises :

Les PME sous Windows 10 sans département IT dédié. Microsoft a déployé la mise à jour KB5087544 pour Windows 10 (versions 22H2 et 21H2), mais beaucoup de PME n'ont pas de politique de mise à jour automatique en place.

Les entreprises utilisant Office 365 avec la prévisualisation de pièces jointes activée. Plusieurs failles critiques dans Word et Excel peuvent être exploitées via le volet de prévisualisation, sans que l'utilisateur ouvre un seul fichier.

Les sociétés gérant un contrôleur de domaine Windows Server non patché. La faille Netlogon peut compromettre l'ensemble du réseau de l'entreprise en quelques minutes dans les mains d'un attaquant.

Ce que risque concrètement votre entreprise

En cas de cyberattaque sur un système non patché, les entreprises peuvent faire face à trois types de conséquences cumulatives :

Sur le plan pénal, le dirigeant d'entreprise peut être mis en cause pour négligence si la violation de données résulte d'un manque manifeste de mesures de sécurité. La jurisprudence française retient de plus en plus souvent la responsabilité personnelle du responsable de traitement.

Sur le plan civil, les clients, salariés ou partenaires dont les données ont été compromises peuvent engager une action en réparation. Les dommages et intérêts prononcés en France augmentent depuis 2024 dans ce type de contentieux.

Sur le plan réglementaire, la CNIL dispose d'un délai de 72 heures après la notification d'une violation pour ouvrir une enquête. Les entreprises qui ne peuvent pas démontrer l'application régulière des patches de sécurité aggravent leur situation lors de l'instruction.

Comment mettre en conformité votre parc informatique

Trois actions concrètes à engager cette semaine :

  1. Vérifier l'état des mises à jour de tous les postes et serveurs Windows via les outils d'administration (WSUS, Intune ou Microsoft Update Catalog).
  2. Tester les patches en environnement staging avant déploiement massif en production — la faille DNS touche toutes les machines Windows et un déploiement mal planifié peut causer des interruptions.
  3. Documenter les actions de patch management pour constituer un dossier de conformité RGPD, utilisable en cas de contrôle ou de contentieux.

Faut-il externaliser la gestion des patches ?

Pour les PME dont l'équipe IT est réduite ou inexistante, externaliser la gestion des mises à jour de sécurité auprès d'un prestataire MSP (Managed Service Provider) est une option à sérieusement envisager en 2026. Cette démarche présente plusieurs avantages : délai de déploiement réduit, tests de compatibilité automatisés et traçabilité documentée pour le RGPD.

Un contrat de maintenance informatique bien rédigé précisera les délais d'application des patches critiques, les procédures de rollback en cas de problème, et les responsabilités de chaque partie en cas d'incident. Un expert informatique peut vous conseiller sur le cahier des charges à imposer à votre prestataire, tandis qu'un juriste spécialisé peut valider les clauses de responsabilité du contrat.

En 2026, ignorer un Patch Tuesday critique n'est plus une option pour aucune entreprise traitant des données personnelles ou soumise à NIS2. La fenêtre entre la publication d'un patch et l'exploitation active de la faille par des cybercriminels se réduit chaque année.

Note : cet article est de nature informative et ne constitue pas un conseil juridique. Pour toute question sur la conformité RGPD de votre système d'information, consultez un professionnel qualifié.

Un expert en cybersécurité et conformité numérique peut auditer votre politique de mise à jour et vous aider à préparer votre documentation RGPD avant qu'un incident ne survienne. ExpertZoom vous met en relation avec des spécialistes disponibles rapidement.

Nos experts

Avantages

Des réponses rapides et précises pour toutes vos questions et demandes d'assistance dans plus de 200 catégories.

Des milliers d'utilisateurs ont obtenu une satisfaction de 4,9 sur 5 pour les conseils et recommandations prodiguées par nos assistants.

Expert Zoom

Comment ça fonctionne ?Qui sont nos experts ?MagazineActualités

Business

Outils professionnelsOutils pratiques

Nous contacter

Email
Suivez nous
Politique de confidentialitéConditions générales d'utilisation