Le 8 avril 2026, Microsoft a publie son Patch Tuesday mensuel : 164 CVE corrigees, dont deux zero-days. Parmi elles, CVE-2026-32201 affecte Microsoft SharePoint Server et a ete activement exploitee avant la publication du correctif. CISA a reagi en 24 heures en ajoutant la CVE a son catalogue Known Exploited Vulnerabilities, imposant aux agences federales americaines une deadline de patching au 28 avril. Pour les RSSI francais, cette date constitue la reference operationnelle : au-dela, votre exposition depasse les standards internationaux.
Anatomie technique de CVE-2026-32201
La vulnerabilite resulte d une validation d entree insuffisante dans le traitement des entetes HTTP par Microsoft Office SharePoint. Un attaquant non authentifie peut construire des requetes HTTP ciblees pour spoofer des ressources internes a haute valeur : rapports financiers, annuaires RH, ecrans de connexion. Aucune interaction utilisateur n est requise. Le score CVSS de 6.5 sous-evalue la severite reelle : la vulnerabilite est trivialement scriptable et les premiers exploits publics ont circule sur des canaux greyhat dans les 48 heures suivant la divulgation.
Microsoft a publie des correctifs pour SharePoint 2016, SharePoint 2019 et SharePoint Server Subscription Edition. Le patch est distribue uniquement dans la mise a jour cumulative d avril 2026. Aucun hotfix isole n est prevu. Les entreprises francaises qui retardent leurs mises a jour cumulatives doivent accelerer leur cycle : les farmes qui accusent plusieurs CU de retard necessitent un patching intermediaire avant d appliquer le fix CVE-2026-32201.
Les campagnes observees ciblent specifiquement les organisations avec SharePoint expose en Internet ou en VPN. Les attaquants probent automatiquement les instances vulnerables, puis envoient des requetes forgees pour obtenir des donnees sensibles. — Advisory Tenable, 9 avril 2026
Ce que font les attaquants en ce moment
L attribution officielle reste incertaine, mais deux clusters d activite se distinguent dans la telemetrie publique. Le premier utilise le spoofing pour simuler des documents internes RH ou finance, avec pieces jointes piegees : pattern attribue provisoirement a des acteurs APT iraniens avec historique de ciblage des grands comptes energetiques et financiers europeens. Le second cluster fait du credential harvesting en spoofant des ecrans de connexion Entra ID imbriques dans SharePoint : pattern plus proche de la cybercriminalite marchandisee, avec monetisation rapide.
Quatre indicateurs meritent une attention particuliere sur les SOC francais. Requetes HTTP avec Host headers manipules vers des chemins SharePoint internes. Pics anormaux d evenements d authentification anonymes sur les WebApps publiques. Pre-visualisations et telechargements inhabituels depuis les site collections racines. Connexions sortantes vers des IPs listees sur Recorded Future, Mandiant ou Dragos. Les regles Sigma detaillees sont publiees depuis le 10 avril sur SigmaHQ.
Pourquoi la France est plus exposee que la moyenne
Trois facteurs structurels aggravent l exposition du marche francais. Premier facteur : le stack Microsoft est dominant dans les ETI, les assurances, les banques, et le secteur public. Beaucoup de collectivites territoriales, de caisses d assurance maladie, et de prefectures exploitent SharePoint on-premise. Deuxieme facteur : la presence legacy est forte, avec un parc SharePoint 2016 et 2019 toujours operationnel en parallele de SharePoint Online, doublant la surface d attaque. Troisieme facteur : l acces VPN externe est massivement utilise par les populations mobiles et les consultants externes, rendant les farmes accessibles depuis Internet meme sans exposition directe.
L ANSSI n a pas encore publie de bulletin CERT-FR formel au moment de cette analyse, mais le marche anticipe une alerte sous 7 a 10 jours ouvres. Pour les OIV, OSE NIS2 et KRITIS, la deadline pratique est donc fin avril. Au-dela, les audits flagent le retard et les assureurs cyber ajustent leurs primes. Pour les clients soumis au reglement DORA dans le secteur financier, l exposition non remediate compte comme un incident operationnel significatif.
Notre avis d expert : ne separez pas patch et hunting
L erreur operationnelle la plus frequente que nous observons depuis le 10 avril dans notre SOC est la dissociation entre le patch et le hunting. Les equipes infrastructure appliquent le correctif, soufflent un coup, et passent a autre chose. Pendant ce temps, si la farm a ete compromise entre le 1er et le 8 avril, la charge utile est deja posee et persiste malgre le patch. Le patch ferme la porte, mais ne chasse pas l intrus deja entre. Chaque patch de zero-day doit s accompagner d un hunting sur les 30 jours precedents. C est la regle 1 de l incident response moderne, et elle se verifie sur toutes les campagnes observees en 2025 et 2026. Pour un accompagnement structure, consulter nos analyses d audit perimetre NIS2 qui incluent desormais un module SharePoint dedie.
Plan d action operationnel en 5 jours
Pour une ETI francaise typique, voici le plan d action structure :
Jour 1 - Scoping et priorisation : inventaire exhaustif des instances SharePoint (versions, CU level, WebApp exposees, VPN access). Identification des bijoux de la couronne : sites contenant des donnees RH, finance, propriete intellectuelle. Decision de criticite et engagement de l astreinte RSSI. Budget : 1 jour-homme senior.
Jour 2 - Kit d urgence : deploiement de controles compensatoires. Regles WAF pour bloquer les Host headers anormaux. MFA obligatoire active sur tous les acces SharePoint externes. Logging rehausse au niveau Verbose sur les WebApps publiques. IP whitelisting quand les cas d usage le permettent. Budget : 1 a 2 jours-homme.
Jour 3 - Patching non-prod : installation du CU avril 2026 sur un serveur test, validation fonctionnelle sur une farm pre-production, tests de regression sur les workflows metier les plus critiques. Budget : 1 a 2 jours-homme par farm.
Jour 4 - Patching production : deploiement rolling update sur toutes les farms productives, snapshot des content databases avant installation, validation en direct des sites prioritaires. Budget : 1 a 3 jours-homme selon la complexite.
Jour 5 - Hunting et reporting : execution des regles Sigma et KQL sur les donnees des 30 derniers jours, corroborration avec les IOC OSINT, rapport incident pour le Comex et la gouvernance NIS2. Budget : 1 a 2 jours-homme.
Besoin d une equipe experte pour executer ce plan en 5 jours ?
WebGuard Agency mobilise des ingenieurs certifies OSCP et CISSP en 48 heures sur les missions CVE-2026-32201. Forfait fixe, livrables contractuels.
DEMANDER UN DEVIS CVE-2026-32201Requetes KQL pour M365 Defender et Sentinel
Voici quelques requetes de base que nous deployons sur les tenants clients pour le hunting CVE-2026-32201. Elles sont a adapter au contexte (volumes, plages IP internes, nommage des sites).
// Requetes HTTP avec Host header manipule vers SharePoint
IdentityLogonEvents
| where Application == "SharePoint"
| where ActionType == "LogonFailed"
| where RemoteIPLocation !in ("France", "Belgique", "Suisse", "Luxembourg")
| summarize cnt = count() by RemoteIP, AccountName, bin(Timestamp, 1h)
| where cnt > 15
| order by cnt desc// Pre-visualisations inhabituelles sur Site Collections racines
OfficeActivity
| where OfficeWorkload == "SharePoint"
| where Operation in ("FilePreviewed", "FileDownloaded")
| where SourceFileExtension in ("docx", "xlsx", "pdf", "pptx")
| where UserAgent !contains "Mozilla"
| summarize dcount(SourceFileName) by UserId, bin(TimeGenerated, 30m)
| where dcount_SourceFileName > 25Notre avis d expert : les 3 erreurs a eviter
Sur la base des incidents observes ces deux dernieres semaines, trois erreurs reviennent avec une regularite preoccupante. Un : patcher sans audit d exposition externe. Les entreprises decouvrent apres coup qu elles avaient une farm SharePoint oubliee sur un serveur DMZ, toujours exposee. Deux : appliquer le patch sans valider les workflows critiques. Le CU d avril 2026 inclut d autres corrections qui peuvent casser des customisations locales, particulierement sur les worflows SharePoint Designer. Trois : ignorer le volet communication. Le Comex doit etre informe proactivement, meme sans compromission identifiee, pour eviter les reactions disproportionnees si l incident remonte via un canal externe. Pour structurer votre reponse, nos confreres chez Plug-Tech documentent des methodes similaires cote IA, et D-Open couvre le volet developpeur.
Audit d exposition SharePoint complet en 72 heures
Cartographie de toutes vos instances SharePoint (on-premise, hybride, oubliees) avec priorisation des remediations. Livrables contractuels pour votre conformité NIS2 et DORA.
RESERVER UN AUDITFAQ
Qu est-ce que CVE-2026-32201 ?
Une vulnerabilite de spoofing dans Microsoft SharePoint Server avec score CVSS 6.5. Divulguee le 8 avril 2026, exploitee en zero-day avant le patch. Permet a un attaquant non authentifie de spoofer des ressources SharePoint via le reseau.
Quelle est la deadline CISA ?
CISA a ajoute la CVE au catalogue KEV le 9 avril avec deadline federale au 28 avril 2026. A traiter comme reference pour les RSSI francais : l ANSSI suit typiquement sous 5 a 10 jours ouvres.
Comment detecter une exploitation ?
Indicateurs cles : requetes HTTP avec Host headers manipules, pics d authentifications anonymes, pre-visualisations inhabituelles des site collections racines, connexions sortantes vers IPs OSINT listees.
Que faire si le patch n est pas installable immediatement ?
Controles compensatoires : WAF pour bloquer Host headers anormaux, MFA obligatoire, blocage auth legacy, logging rehausse, hunting accelere. Ne remplace pas le patch mais reduit le risque pendant l exposition.