Le rapport 2025 de BeyondTrust fournit une analyse approfondie des données des bulletins de sécurité publiés par Microsoft tout au long de l’année 2024. I Les conclusions de son étude mettent en lumière les tendances des vulnérabilités et l’évolution du paysage des menaces.

BeyondTrust a publié la 12e édition de son rapport annuel sur les vulnérabilités Microsoft. Ce rapport révèle un nombre record de vulnérabilités signalées en 2024, soulignant les défis persistants en matière de sécurité malgré les améliorations continues. En 2024, le nombre total de vulnérabilités Microsoft a atteint un chiffre record de 1 360, soit une augmentation de 11 % par rapport au précédent record de 1 292 en 2022. Cette hausse significative montre que les attaquants continuent d’exploiter les faiblesses des systèmes Microsoft, en particulier celles liées à l’élévation de privilèges (EoP) et à l’exécution de code à distance (RCE).

Les vulnérabilités de type élévation de privilèges (EoP) représentent 40 % (554) de toutes les vulnérabilités signalées. Ces types de vulnérabilités sont particulièrement prisés par les acteurs de menace, car ils permettent d’accéder à des niveaux de contrôle plus élevés au sein des systèmes compromis. Les vulnérabilités de contournement des fonctionnalités de sécurité ont bondi de 60 %, passant de 56 en 2023 à 90 en 2024. Cette tendance accroît la pression pour réduire les vulnérabilités logicielles dès la phase de conception, grâce à un codage sécurisé et à la modélisation des menaces.


Bien que le nombre total de vulnérabilités ait augmenté, les vulnérabilités critiques dans l’ensemble de l’écosystème Microsoft ont continué à diminuer globalement en 2024. Cette tendance suggère que les initiatives de sécurité de Microsoft et les améliorations de l’architecture de sécurité des systèmes d’exploitation modernes portent leurs fruits.

Dans le détail des vulnérabilités spécifiques par produit, on découvre ceci :
  • Microsoft Edge : Les vulnérabilités ont augmenté de 17 % pour atteindre 292 en 2024, dont 9 étaient critiques, contre zéro en 2022.

  • Microsoft Azure et Dynamics 365 : Les vulnérabilités ont atteint un plateau en 2024.

  • Windows : 587 vulnérabilités ont été signalées en 2024, dont 33 étaient critiques.

  • Windows Server : 684 vulnérabilités ont été signalées en 2024, dont 43
    étaient critiques.

  • Microsoft Office : Les vulnérabilités ont presque doublé par rapport à 2023, atteignant 62 en 2024.
Bien que le nombre total de vulnérabilités ait augmenté, la tendance à long terme montre que le rythme de croissance se stabilise. Cependant, la complexité de la sécurisation des écosystèmes vastes et diversifiés d’aujourd’hui continue d’introduire des risques. Les systèmes non corrigés restent une cible facile, ouvrant la porte à une exploitation généralisée. L’expansion du panel technologique de Microsoft, y compris ses services de cloud et d’IA, continuera d’introduire de nouvelles surfaces d’attaque.


Les correctifs seuls sont insuffisants. Ils peuvent échouer ou introduire des risques de stabilité, ce qui souligne la nécessité de mettre en place des défenses multicouches. Les acteurs de la menace changent de tactique, ciblant de plus en plus les identités et les privilèges plutôt que les exploits traditionnels. En conclusion, le rapport BeyondTrust 2025 met en lumière l’importance pour les organisations de se concentrer non seulement sur les correctifs, mais aussi sur la sécurisation des accès à privilèges sous-jacents dans l’ensemble de leurs environnements.

ARTICLES SIMILAIRESPLUS DE L'AUTEUR