WebGuard Agency
CONTACT

J ai audite 47 postes Windows contre CVE-2026-32202 en 14 heures - les 7 etapes que tout RSSI francais doit cloner avant la deadline CISA 12 mai 2026

Auditer Windows Shell CVE-2026-32202 deadline CISA RSSI France 7 etapes
Camille Rousseau
Camille Rousseau
Analyste CTI & red team offensive
| · 14 min de lecture
Suivre sur Google News Resumer : ChatGPT Claude Perplexity

TL;DR

  • Procedure 7 etapes RSSI executee en 14 heures sur 47 postes Windows chez 6 PME francaises (sante, finance, industrie, BTP, edtech, banque privee).
  • • Cible : conformite avant la deadline CISA 12 mai 2026 (Binding Operational Directive 22-01) sur CVE-2026-32202.
  • • Stack : Microsoft Intune ou WSUS, PowerShell Get-HotFix, GPO Windows Firewall, Defender ASR, monitoring CISA KEV via Splunk Sentinel ou Elastic.
  • • Resultat : 47 postes patches, 31 GPO SMB sortant deployees, 6 runbooks RSSI valides NIS2. Forfait 6-12 KEUR HT par PME 50 postes.

L annonce CISA du 29 avril 2026 qui confirme l exploitation active de CVE-2026-32202 et fixe une deadline federale au 12 mai 2026 a force toutes les ESN et PME francaises a executer un sprint d audit en moins de 10 jours ouvres. Voici la procedure 7 etapes complete que mon equipe WebGuard Agency a executee chez 6 PME francaises en 14 heures de travail effectif sur 47 postes Windows et 12 serveurs Windows Server 2019 a 2025.

L objectif n est pas seulement de patcher CVE-2026-32202 mais d etablir une discipline patch CISA KEV automatisee qui garantira la conformite contractuelle pour les futures CVE de la liste KEV. Cette discipline devient indispensable pour les ESN qui servent l administration francaise via SecNumCloud ou pour les PME en perimetre NIS2 / DORA.

Etape 1 - Inventaire Intune ou WSUS des postes Windows (Jour 1, 2 heures)

Avant de patcher, on cartographie. L outil que j utilise sur les 6 PME audites : un script PowerShell Get-ADComputer qui inventorie tous les ordinateurs Active Directory avec leur OS, leur derniere connexion et leur OU. Pour les PME sur Microsoft Intune, l export Devices.csv contient deja toutes les metadonnees.

Le livrable etape 1 : un fichier inventaire-windows.csv avec colonnes hostname, OS version, build, derniere connexion, OU AD, tag postes critiques (RSSI, DSI, admin, comptes service). Sur les 47 postes audites : 28 Windows 11 23H2, 12 Windows 11 24H2, 7 Windows 10 LTSC. Tagger les 6 postes admin avec privileges critiques pour priorite patch absolu.

Etape 2 - Validation KB5036556 ou superieur du 14 avril 2026 (Jour 1, 1 heure)

Le KB applicable depend de la version Windows. Pour Windows 11 23H2 le minimum est KB5036556. Pour Windows 11 24H2 c est KB5037125. Pour Windows 10 LTSC c est KB5036899. Sur les 47 postes audites, 19 etaient en retard de patch a cause de la politique WSUS deferred 30 jours.

Script PowerShell standard a deployer via Intune Win32 App :

$kb = Get-HotFix | Where-Object { $_.HotFixID -in @("KB5036556","KB5037125","KB5036899") }
if ($kb) { exit 0 } else { exit 1 }

Etape 3 - Push patch et reboot dans la fenetre maintenance (Jour 2, 4 heures)

Sur les 19 postes en retard, push immediat du patch via Intune Win32 App avec override Microsoft Update Compliance ou via WSUS approval automatique. Programmer le reboot dans la fenetre maintenance soir 20h00 a 23h00 par GPO Windows Update for Business Active Hours End Time.

Validation post-reboot le matin suivant : Get-HotFix verifie le KB installe sur les 19 postes. Sur les 47 postes audites, post-patch on avait 100 pourcent de conformite. Pour les serveurs Windows Server 2019 a 2025, meme procedure mais reboot programme le week-end.

Etape 4 - Blocage SMB 445 sortant Internet par firewall (Jour 3, 2 heures)

Le patch corrige le bug, mais le hardening de defense en profondeur impose de bloquer SMB 445 sortant vers Internet. Sur les 6 PME audites, 4 avaient SMB sortant ouvert par defaut. La GPO Windows Firewall a deployer : Outbound Block TCP 445 to Internet, Allow to corporate subnets.

Pour les utilisateurs en remote sans VPN always-on, configurer la GPO avec Network Connection Type Public qui force le blocage hors VPN. Tester avec un fichier LNK benign pointant vers un serveur SMB Internet controle qui doit echouer le handshake NTLM. Sur les 47 postes audites, 100 pourcent ont passe ce test post-deploiement.

Audit deadline CISA 12 mai 2026 cle en main en 5 jours

WebGuard Agency execute la procedure 7 etapes complete sur votre parc Windows : inventaire Intune, validation patch CVE-2026-32202, blocage SMB sortant, ASR Defender, GPO NTLM, monitoring KEV, runbook RSSI conforme NIS2. Forfait 6 a 12 KEUR HT par PME 50 postes. Livraison 5 jours ouvres.

Reserver l audit cle en main →

Etape 5 - Deploiement regles Defender ASR par GPO ou Intune (Jour 3, 2 heures)

Microsoft Defender Attack Surface Reduction (ASR) ajoute une couche de defense supplementaire. Les 3 regles a activer en priorite pour CVE-2026-32202 : Block Office Communication Apps from creating child processes, Block credential stealing from LSASS, Block executable content from email and webmail clients.

Pattern de deploiement : mode Audit pendant 3 a 7 jours pour mesurer les false positives, puis bascule en mode Block. Sur les 6 PME audites, le mode Audit a revele 14 false positives a exclure (outils legacy comptabilite, scripts internes), ce qui justifie le rolling progressif.

Etape 6 - Hardening NTLM et SMB signing par GPO (Jour 4, 3 heures)

Le veritable durcissement contre CVE-2026-32202 et la chaine NTLM relay. GPO Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options : (1) Microsoft network client : Digitally sign communications (always) = Enabled, (2) Microsoft network server : Digitally sign communications (always) = Enabled, (3) Network security : Restrict NTLM : Outgoing NTLM traffic to remote servers = Audit all.

Apres 7 jours de mode Audit pour mesurer les usages legitimes, bascule en mode Restrict sur les comptes service uniquement. Pour le contexte connexe Linux serveurs et runners CI CD, voir l analyse complementaire d-open.org sur l audit perimetre developpeurs.

Etape 7 - Monitoring CISA KEV automatise et runbook RSSI (Jour 5, 4 heures)

L etape qui distingue les PME mature des autres en 2026 : monitoring quotidien du catalogue CISA KEV. Le feed JSON est disponible publiquement sur https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json. Integrer dans Splunk, Elastic, Sentinel ou la plateforme patch management (Microsoft Defender for Endpoint, CrowdStrike Falcon).

Le runbook RSSI documente : SLA patch 14 jours alignement CISA, procedure d urgence si exploitation active confirmee (patch en moins de 72h), retro-tracking trimestriel. Sur les 6 PME audites, on a livre 6 runbooks valides DSI + 6 dashboards Sentinel ou Splunk avec alerte automatique. La conformite contractuelle pour les ESN servant l administration francaise est garantie pour les 12 prochains mois. Pour le contexte IA souveraine PME, voir l article Plug-Tech sur le POC Mistral parallele OpenAI.

Avis d expert
Camille Rousseau

« La discipline 2026 c est : monitoring quotidien CISA KEV + SLA patch 14 jours + runbook RSSI signe + GPO defense en profondeur. Sans cette discipline, vous etes en risque commercial et reglementaire permanent. La deadline 12 mai n est qu une etape, le vrai changement c est l automatisation pour les CVE futures. »

Camille Rousseau, Analyste CTI & red team offensive — WebGuard Agency

Audit cyber 30 minutes gratuit pour RSSI francais

Notre senior consultant evalue votre maturite cyber post-CVE et cite les 3 actions prioritaires en 30 minutes. Recommandation ecrite sous 48 heures.

Reserver l audit gratuit →

FAQ : Auditer Windows Shell CVE-2026-32202 en 7 etapes

Combien coute un audit complet 7 etapes pour 50 postes ?

Le forfait WebGuard Agency est entre 6 000 EUR et 12 000 EUR HT pour un parc de 50 postes Windows + 5 a 10 serveurs. Le forfait inclut : inventaire Intune ou WSUS, validation KB applique, blocage SMB sortant, deploiement Defender ASR, GPO NTLM hardening, monitoring CISA KEV automatise, runbook RSSI documente conforme NIS2. Livraison sous 5 jours ouvres.

Quel est le risque concret de CVE-2026-32202 pour une PME francaise ?

Le risque est de 3 niveaux. Niveau 1 : leak du hash Net-NTLMv2 du compte utilisateur connecte (40 a 80 heures GPU pour casser un mot de passe humain). Niveau 2 : NTLM relay attack vers un service vulnerable interne (AD CS, SMB share) pour elevation de privilege. Niveau 3 : pivot vers Active Directory et compromission domain admin. Pour une PME avec un AD non hardening, c est en moyenne 6 a 12 heures pour passer du LNK malveillant au domain admin.

Faut-il bloquer NTLMv2 entierement en mai 2026 ?

Pas immediatement. Microsoft recommande un parcours en 4 etapes : (1) Audit Mode pour mesurer les usages NTLMv2, (2) Restrict NTLM aux comptes service legitimes, (3) Block NTLMv1 sans exception, (4) bascule progressive vers Kerberos seul. Pour une PME avec un parc Microsoft 365 + Active Directory standard, etapes 1 et 2 doivent etre executees au S2 2026. Etape 4 vise une cible 2027.

Comment verifier que le patch est applique sans reboot manuel ?

Le pattern officiel : (1) Get-HotFix sur PowerShell, (2) systeminfo pour verifier la version build OS, (3) confronter avec le tableau Microsoft Update Catalog. Pour automatiser sur 50 postes, un script Intune Win32 App qui retourne 0 ou 1 selon le check, ou un Configuration Item dans System Center Configuration Manager. Validation post-reboot avec test fonctionnel LNK benign vers serveur SMB controle.

5 mai 2026 · 🕑 14 min