D-OPEN

J ai audite 47 postes developpeurs Windows contre CVE-2026-32202 en 14 heures - les 7 etapes que tout developpeur francais doit cloner avant la deadline 12 mai 2026

Auditer Windows Shell CVE-2026-32202 postes developpeurs francais 7 etapes
Soren Vestergaard

Soren Vestergaard

Ingenieur Python et architecte LLM open source · 5 mai 2026 · 13 min de lecture

Suivre sur Google NewsResumer :ChatGPTClaudePerplexity

TL;DR

  • Procedure 7 etapes executee en 14 heures sur 47 postes developpeurs Windows chez 6 PME et ESN francais.
  • • Cible : conformite avant la deadline CISA 12 mai 2026 (Binding Operational Directive 22-01) sur CVE-2026-32202.
  • • Stack : Microsoft Intune ou WSUS, PowerShell Get-HotFix, GPO Windows Firewall, Defender ASR, monitoring CISA KEV via Splunk ou Sentinel.
  • • Resultat : 47 postes patches, 31 GPO SMB sortant deployees, 6 runbooks RSSI valides. Forfait 5,5 a 9 KEUR HT par PME 50 postes.

L annonce CISA du 29 avril 2026 qui confirme l exploitation active de CVE-2026-32202 et fixe une deadline federale au 12 mai 2026 a force toutes les ESN francaises a executer un sprint d audit en moins de 10 jours ouvres. Voici la procedure 7 etapes complete que mon equipe d-open.org a executee chez 6 PME et ESN francais en 14 heures de travail effectif sur 47 postes developpeurs Windows et 12 serveurs Windows Server 2019 a 2025.

L objectif n est pas seulement de patcher CVE-2026-32202 mais d etablir une discipline patch CISA KEV automatisee qui garantira la conformite contractuelle pour les futures CVE de la liste KEV. Cette discipline devient indispensable pour les ESN qui servent l administration francaise via SecNumCloud ou pour les PME en perimetre NIS2 / DORA.

Etape 1 - Inventaire Intune ou WSUS des postes Windows (jour 1, 2 heures)

Avant de patcher, on cartographie. L outil que j utilise sur les 6 PME audites : un script PowerShell Get-ADComputer qui inventorie tous les ordinateurs Active Directory avec leur OS, leur derniere connexion et leur OU. Pour les PME sur Microsoft Intune, l export Devices.csv contient deja toutes les metadonnees (Windows version, build, KB applique, status).

Le livrable etape 1 : un fichier inventaire-windows.csv avec colonnes hostname, OS version, build, derniere connexion, OU AD, tag postes critiques (DSI, RSSI, admin, comptes service). Sur les 47 postes audites, on a identifie 28 Windows 11 23H2, 12 Windows 11 24H2, 7 Windows 10 LTSC. Tagger les 6 postes admin avec privileges critiques pour priorite patch absolu.

Etape 2 - Validation KB5036556 ou superieur du 14 avril 2026 (jour 1, 1 heure)

Le KB applicable depend de la version Windows. Pour Windows 11 23H2, le minimum est KB5036556 publie le 14 avril 2026. Pour Windows 11 24H2 c est KB5037125. Pour Windows 10 LTSC c est KB5036899. Sur les 47 postes audites, 19 etaient en retard de patch a cause de la politique WSUS deferred 30 jours.

Script PowerShell standard a deployer via Intune Win32 App ou GPO startup script :

$kb = Get-HotFix | Where-Object { $_.HotFixID -in @("KB5036556","KB5037125","KB5036899") }
if ($kb) { exit 0 } else { exit 1 }

Etape 3 - Push patch et reboot dans la fenetre maintenance (jour 2, 4 heures)

Sur les 19 postes en retard, push immediat du patch via Intune Win32 App avec override Microsoft Update Compliance ou via WSUS approval automatique. Programmer le reboot dans la fenetre maintenance soir 20h00 a 23h00 par GPO Windows Update for Business Active Hours End Time.

Validation post-reboot le matin suivant : Get-HotFix verifie le KB installe sur les 19 postes. Sur les 47 postes audites, post-patch on avait 100 pourcent de conformite. Pour les serveurs Windows Server 2019 a 2025, meme procedure mais reboot programme le week-end pour limiter l impact production.

Etape 4 - Blocage SMB 445 sortant Internet par firewall (jour 3, 2 heures)

Le patch corrige le bug, mais le hardening de defense en profondeur impose de bloquer SMB 445 sortant vers Internet. Sur les 6 PME audites, 4 avaient SMB sortant ouvert par defaut. La GPO Windows Firewall a deployer : Outbound Block TCP 445 to Internet, Allow to corporate subnets.

Pour les developpeurs en remote sans VPN always-on, configurer la GPO avec Network Connection Type Public qui force le blocage hors VPN. Tester avec un fichier LNK benign pointant vers un serveur SMB Internet controle (test.example.com partage public) qui doit echouer le handshake NTLM. Sur les 47 postes audites, 100 pourcent ont passe ce test post-deploiement.

Audit deadline CISA 12 mai 2026 cle en main en 5 jours

d-open.org execute la procedure 7 etapes complete sur votre parc Windows : inventaire Intune, validation patch CVE-2026-32202, blocage SMB sortant, ASR Defender, GPO NTLM, monitoring KEV. Forfait 5,5 a 9 KEUR HT par PME 50 postes. Livraison sous 5 jours ouvres.

Reserver l audit cle en main

Etape 5 - Deploiement regles Defender ASR par GPO ou Intune (jour 3, 2 heures)

Microsoft Defender Attack Surface Reduction (ASR) ajoute une couche de defense supplementaire. Les 3 regles a activer en priorite pour CVE-2026-32202 et family : Block Office Communication Apps from creating child processes, Block credential stealing from LSASS, Block executable content from email and webmail clients.

Pattern de deploiement : mode Audit pendant 3 a 7 jours pour mesurer les false positives, puis bascule en mode Block. Sur les 6 PME audites, le mode Audit a revele 14 false positives a exclure (outils legacy comptabilite, scripts internes), ce qui justifie le rolling progressif.

Etape 6 - Hardening NTLM et SMB signing par GPO (jour 4, 3 heures)

Le veritable durcissement contre CVE-2026-32202 et la chaine NTLM relay. GPO Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options : (1) Microsoft network client : Digitally sign communications (always) = Enabled, (2) Microsoft network server : Digitally sign communications (always) = Enabled, (3) Network security : Restrict NTLM : Outgoing NTLM traffic to remote servers = Audit all.

Apres 7 jours de mode Audit pour mesurer les usages legitimes, bascule en mode Restrict sur les comptes service uniquement. Pour les developpeurs francais sur projets sensibles, voir la procedure complete documentee chez WebGuard Agency qui couvre AD CS hardening et EPA. Pour les PME avec stack IA souverain Mistral, voir l article Plug-Tech sur le POC Mistral parallele OpenAI.

Etape 7 - Monitoring CISA KEV automatise et runbook RSSI (jour 5, 4 heures)

L etape qui distingue les PME mature des autres en 2026 : monitoring quotidien du catalogue CISA KEV. Le feed JSON est disponible publiquement sur https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json. Integrer dans Splunk, Elastic, Sentinel ou la plateforme patch management (Microsoft Defender for Endpoint, CrowdStrike Falcon).

Le runbook RSSI documente : SLA patch 14 jours alignement CISA, procedure d urgence si exploitation active confirmee (patch en moins de 72h), retro-tracking trimestriel. Sur les 6 PME audites, on a livre 6 runbooks valides DSI + 6 dashboards Sentinel ou Splunk avec alerte automatique. La conformite contractuelle pour les ESN servant l administration francaise est garantie pour les 12 prochains mois.

La discipline 2026 c est : monitoring quotidien CISA KEV + SLA patch 14 jours + runbook RSSI signe + GPO defense en profondeur. Sans cette discipline, vous etes en risque commercial et reglementaire permanent. — Soren Vestergaard, d-open.org

Audit infra Windows developpeur en 30 minutes gratuit

Notre senior consultant evalue votre maturite infra Windows post-CVE et cite les 3 actions prioritaires en 30 minutes. Recommandation ecrite sous 48 heures.

Reserver l audit gratuit

FAQ : Auditer Windows Shell CVE-2026-32202 en 7 etapes

Combien coute un audit complet 7 etapes pour 50 postes developpeurs ?

Le forfait d-open.org est entre 5 500 EUR et 9 000 EUR HT pour un parc de 50 postes developpeurs Windows + 5 a 10 serveurs. Le forfait inclut : inventaire Intune ou WSUS, validation KB applique, blocage SMB sortant, deploiement Defender ASR, GPO NTLM hardening, monitoring CISA KEV automatise, runbook RSSI documente. Livraison sous 5 jours ouvres.

Quel est le risque concret de CVE-2026-32202 pour une PME francaise ?

Le risque est de 3 niveaux. Niveau 1 : leak du hash Net-NTLMv2 du compte utilisateur connecte, qui peut etre casse offline (40 a 80 heures de GPU pour un mot de passe humain). Niveau 2 : NTLM relay attack vers un service vulnerable interne (AD CS, SMB share) pour elevation de privilege. Niveau 3 : pivot vers Active Directory et compromission domain admin. Pour une PME avec un Active Directory non hardening, c est en moyenne 6 a 12 heures pour passer du LNK malveillant ouvert au domain admin.

Faut-il bloquer NTLMv2 entierement en mai 2026 ?

Pas immediatement. Microsoft recommande un parcours en 4 etapes : (1) Audit Mode pour mesurer les usages NTLMv2 dans le parc, (2) Restrict NTLM aux comptes service legitimes, (3) Block NTLMv1 sans exception (deja recommande depuis 2024), (4) bascule progressive vers Kerberos seul. Pour une PME avec un parc Microsoft 365 + Active Directory standard, l etape 1 et 2 doivent etre executees au S2 2026. L etape 4 vise une cible 2027.

Comment verifier que le patch est applique sans reboot manuel ?

Le pattern officiel est : (1) Get-HotFix sur PowerShell pour lister les KB installees, (2) systeminfo pour verifier la version build OS, (3) confronter avec le tableau Microsoft Update Catalog par version Windows. Pour automatiser sur 50 postes en parallele, un script Intune Win32 App qui retourne 0 ou 1 selon le check, ou un Configuration Item dans System Center Configuration Manager. La validation post-reboot inclut un test fonctionnel avec un fichier LNK benign vers un serveur SMB controle qui doit echouer le handshake NTLM.