Mais vous ne couperez pas à l'abonnement

Microsoft saisit l’occasion du trentième anniversaire d’Exchange Server pour réaffirmer son engagement en faveur de la version sur site du serveur de messagerie, avec la promesse d’un support assuré au moins jusqu’en 2035 pour Exchange Subscription Edition (SE).

Microsoft a profité du trentième anniversaire de son célèbre serveur de messagerie pour tenter de rassurer les administrateurs inquiets de constater à quel point les offres hébergées concentrent les efforts de ses équipes. Oui, Exchange Online, la version cloud, constitue bien le fer de lance stratégique de l’éditeur en matière de messagerie, mais non, la déclinaison on premises du serveur, n’est pas morte. Mieux : « Exchange Server compte toujours en 2026 », écrit Microsoft.

Support jusqu’en 2035 pour Exchange SE

Cette déclaration s’accompagne d’une promesse : la garantie d’un support technique assuré « au moins jusqu’en 2035 » pour Exchange Subscription Edition (SE), la licence exclusivement sur abonnement qui succède aux versions 2016 et 2019 d’Exchange Server, dont le support s’est interrompu en octobre 2025, en même temps que la fin de vie programmée de Windows 10.

« Pour les clients qui en ont besoin, Exchange Server demeure un choix architectural pertinent. L’investissement continu dans Exchange Server, notamment le lancement d’Exchange Subscription Edition (SE), que nous nous engageons à prendre en charge au moins jusqu’à fin 2035, témoigne du fait que la messagerie d’entreprise ne peut être standardisée. »

Microsoft prend tout de même soin de souligner que c’est sur la version cloud que « l’innovation est la plus rapide », mais reconnait que la capacité à fournir une infrastructure sur site (ou un fonctionnement hybride) reste un impératif, particulièrement quand « les discussions autour de la souveraineté numérique, de la conformité réglementaire et du contrôle administratif se poursuivent ».

Critiqué pour l’abandon des versions 2016 et 2019, Microsoft profite de son billet pour justifier sa décision de passer à une version unique (et d’imposer l’abonnement face aux anciennes licences perpétuelles).

L’éditeur rappelle qu’il a été longtemps possible de faire cohabiter jusqu’à trois versions différentes d’Exchange au sein d’une même entreprise, mais le poids de ce legacy serait devenu trop important. « Cela a permis d’atténuer les difficultés liées à la migration. Mais cela a également ralenti la modernisation et l’assainissement de l’architecture, car chaque version devait s’adapter aux choix effectués des années auparavant. »

Rappelons qu’Exchange SE reprend et modernise les grandes lignes de la dernière version en date d’Exchange 2019, et doit profiter de deux mises à jour par an (les Cumulative Updates, ou CU) pour entretenir sa compatibilité générale et corriger les bugs ou les failles de sécurité. La migration se fait simplement depuis 2019, mais les entreprises qui utilisent encore 2016 doivent procéder en deux temps (2019, puis SE).

Microsoft a par ailleurs révisé à la hausse en juillet 2025 le prix des licences on premises d’Exchange ou Sharepoint.

Exchange fête (à peu près) ses 30 ans

Période d’anniversaire oblige, Microsoft retrace par ailleurs l’histoire de son serveur de messagerie, pour souligner à la fois sa place de premier plan sur le marché et son influence sur l’évolution de l’ensemble du secteur, notamment au travers du service Exchange Directory, devenu plus tard Active Directory.

« Exchange Server est devenu l’un des premiers succès de Microsoft sur le marché des serveurs d’entreprise, contribuant à nous installer en tant que fournisseur sérieux de plateformes d’entreprise au-delà du poste de travail », résume l’éditeur.

Reste une inconnue, déjà maintes fois mise en lumière par les équipes de Microsoft : quelle date faut-il formellement inscrire sur le bulletin de naissance d’Exchange ? Selon les points de vue, la sortie du logiciel se situe quelque part entre mars 1996 et juin de la même année, avec un point d’ancrage central au 2 avril, date de l’annonce de la disponibilité d’Exchange 4.0. Mais en réalité, « personne ne le sait avec certitude car la première version publique diffusée n’était pas celle basée sur la version master (la version RTM validée) », commente Microsoft, qui illustrait déjà cette incertitude il y a dix ans, dans une vidéo commémorant les 20 ans et les dix moments clé de l’histoire d’Exchange.

Le secteur de l’éducation vient de faire l’objet de deux intrusions distinctes ayant permis un vol de données personnelles. Au sein du ministère de l’Éducation nationale, c’est le portail RH Compas qui a exposé les informations de quelque 243 000 agents et stagiaires. Le Secrétariat général de l’Enseignement catholique reconnait quant à lui une attaque ayant entraîné un accès non autorisé à des données administratives et personnelles de plus de 1,5 million d’élèves, familles et enseignants.

Après les fédérations sportives, place au monde de l’éducation ? Deux incidents de sécurité impliquant une extraction de données personnelles ont été signalés dans le secteur.

243 000 comptes d’agents et de stagiaires exposés

Le plus récent concerne le ministère de l’Éducation nationale, qui a confirmé, mardi matin, avoir été alerté d’un accès frauduleux à la base de données alimentant le système COMPAS, dédié à la gestion des stagiaires des premier et second degrés. « L’accès frauduleux aurait été réalisé le 15 mars 2026 à la suite de l’usurpation d’un compte externe », indique le ministère :

« Les premières investigations indiquent qu’un volume de données concernant environ 243 000 agents, stagiaires ou titulaires, a été exfiltré. Elles concernent des éléments d’identité, des coordonnées (adresse et numéro de téléphone), des périodes d’absence (sans information de santé), ainsi que l’identité et les numéros de téléphone professionnels des tuteurs. »

Le Centre opérationnel de sécurité des systèmes d’information du ministère aurait alerté de cet incident le 19 mars au soir, vraisemblablement suite à la publication d’une annonce présentant un échantillon de ces données sur un forum dédié.

« Dès la détection de l’incident, une cellule de crise a été activée. L’accès externe au système concerné a été suspendu et des vérifications sont en cours sur l’ensemble des systèmes d’information du ministère afin de prévenir tout risque de propagation », promet le ministère. Le système d’information COMPAS était effectivement inaccessible mardi matin d’après nos constatations.

L’Éducation nationale appelle dans ce contexte l’ensemble de ses agents à faire preuve d’une attention particulière face aux tentatives de fraude.

L’enseignement catholique lui aussi visé, élèves et familles exposés

Quelques jours plus tôt, c’est le Secrétariat général de l’Enseignement catholique qui a tenu une communication du même acabit. Dans un communiqué daté du 21 mars (PDF), l’association a indiqué avoir subi « une attaque informatique ciblant l’application de gestion de ses établissements du premier degré ». Cette fois, l’hémorragie ne se limite pas aux personnels encadrants : « l’attaque a entraîné un accès non autorisé aux données relatives à l’identification des utilisateurs de cette application et aux coordonnées des élèves, de leurs familles et des enseignants ».

L’Enseignement catholique affirme avoir dûment sécurisé ses systèmes et répondu à ses obligations légales de signalement.

« Parallèlement, une communication proactive a été établie avec l’ensemble des chefs d’établissement, des enseignants et des parents d’élèves concernés pour les informer des mesures mises en place pour assurer la sécurisation des systèmes et transmettre des recommandations de vigilance, notamment relatives à la modification des accès et à l’usage de mots de passe complexes. »

Un message d’information a également été envoyé aux parents d’élève (PDF). Dans sa communication, l’association ne précise pas le périmètre exposé, mais celui-ci serait significatif : la fuite toucherait ainsi « 1,5 million de personnes, soit les 800 000 élèves du premier degré (écoles maternelles et élémentaires, ndlr), leurs familles, et 40 000 professeurs » d’après Stéphane Gouraud, secrétaire général adjoint de l’Enseignement catholique, cité par l’AFP.

L’association promet par ailleurs s’être entourée d’experts pour « limiter les conséquences potentielles de cet incident ». La combinaison d’informations personnelles liées aux familles, aux enfants et aux conditions d’accueil scolaire crée en effet un cocktail particulièrement efficace en matière d’ingénierie sociale…

• Quels sont les risques liés aux multiples fuites de vos données personnelles ?