Security

Secure Boot Windows : certificats à jour avant 2026

3 min de lecture

Résumé

Microsoft confirme que les certificats Secure Boot introduits en 2011 commenceront à expirer fin juin 2026 et déploie leurs remplaçants via les mises à jour Windows, en coordination avec les OEM et l’écosystème UEFI. Cette échéance est cruciale pour les équipes IT : les appareils non mis à jour pourront encore démarrer, mais risquent de ne plus bénéficier des futures protections au niveau du démarrage, ce qui impose d’anticiper la mise à niveau des postes concernés.

Besoin d'aide avec Security ?Parler à un expert

Introduction : pourquoi c’est important

Secure Boot est l’une des protections les plus importantes de Windows au démarrage, garantissant que seuls des composants approuvés et signés numériquement s’exécutent avant le chargement de l’OS. Cette confiance est ancrée dans des certificats stockés dans le firmware UEFI — et Microsoft a confirmé que les certificats Secure Boot d’origine introduits en 2011 arrivent en fin de cycle de vie et commencent à expirer fin juin 2026. Pour les équipes IT, il s’agit d’un événement de maintenance de sécurité, limité dans le temps et à l’échelle de l’écosystème : si des appareils manquent l’actualisation des certificats, ils pourront continuer à démarrer, mais perdront la capacité de bénéficier de futures protections au niveau du boot.

Quoi de neuf

La « root of trust » Secure Boot est actualisée

  • Les certificats Secure Boot de longue durée expirent à partir de fin juin 2026.
  • De nouveaux certificats sont déployés sur les appareils Windows pris en charge via la cadence mensuelle normale des mises à jour Windows.
  • Il s’agit d’un effort coordonné entre la maintenance Windows, le firmware OEM et les fournisseurs UEFI afin de minimiser les risques et les perturbations.

Large préparation des OEM (en particulier sur les appareils récents)

  • De nombreux PC fabriqués depuis 2024 — et presque tous les appareils expédiés en 2025 — incluent déjà les certificats mis à jour.
  • Pour un sous-ensemble plus restreint d’appareils déjà sur le marché, l’application des nouveaux certificats peut d’abord nécessiter une mise à jour du firmware OEM.

Meilleure visibilité et déploiement progressif

  • Microsoft déploie ce changement selon une approche prudente et par étapes, guidée par les tests et l’état de préparation basé sur la télémétrie.
  • Des messages d’état concernant les mises à jour de certificats sont attendus dans l’application Windows Security dans les prochains mois afin d’aider les utilisateurs à suivre l’avancement.

Impact pour les administrateurs IT et les utilisateurs finaux

Si les appareils ne reçoivent pas les nouveaux certificats à temps

  • Les appareils continueront probablement à fonctionner et les logiciels existants s’exécuteront toujours.
  • Toutefois, ils passent dans un état de sécurité dégradé et peuvent ne plus être en mesure de recevoir de futures mesures d’atténuation au niveau du boot (par exemple, lorsque de nouvelles vulnérabilités de démarrage sont découvertes).
  • Avec le temps, les risques de compatibilité augmentent : des OS/firmware/matériels plus récents, ou des logiciels dépendants de Secure Boot, peuvent ne plus se charger.

Les versions Windows non prises en charge constituent un risque clé

  • Les appareils sur des versions non prises en charge (notamment Windows 10 après la fin du support le 14 octobre 2025, sauf inscription à ESU) ne recevront pas ces mises à jour via Windows Update.
  • Ces terminaux doivent être traités comme des éléments de remédiation prioritaires (mise à niveau/remplacement, ou s’assurer de l’éligibilité à ESU et de la stratégie de mise à jour).

Actions recommandées / prochaines étapes

  1. Inventaire et périmètre
    • Identifier tous les terminaux Windows et Windows Server concernés, y compris les kiosques, serveurs spécialisés et appareils IoT/edge susceptibles d’avoir une maintenance atypique.
  2. Valider le chemin de maintenance
    • Confirmer que les appareils reçoivent les dernières mises à jour cumulatives mensuelles (gérées par Microsoft lorsque cela s’applique).
    • S’assurer que les exigences de diagnostic/télémétrie utilisées pour valider l’état de préparation sont alignées avec les politiques de votre organisation.
  3. Vérification de l’état de préparation du firmware
    • Consulter de manière proactive les bulletins et pages de support des OEM (Dell/HP/Lenovo et autres) et planifier les mises à jour UEFI/firmware requises.
    • Piloter les mises à jour de firmware sur des modèles matériels représentatifs avant un déploiement large.
  4. Planifier les exceptions
    • Pour les appareils dont la validation n’est pas certaine via l’approche progressive de Microsoft, s’appuyer sur les recommandations du playbook Microsoft pour les administrateurs IT et sur vos outils existants (Intune, Configuration Manager ou tiers) pour déployer et superviser.
  5. Préparer les runbooks de support
    • Étapes de premier niveau : appliquer les dernières mises à jour Windows, vérifier le dernier firmware OEM, puis escalader via les canaux de support Microsoft/OEM si les problèmes persistent.

Besoin d'aide avec Security ?

Nos experts peuvent vous aider à implémenter et optimiser vos solutions Microsoft.

Parler à un expert

Restez informé sur les technologies Microsoft

Lire l'article original de Nuno Costa
Secure BootUEFI firmwareWindows updatescertificate lifecycleendpoint security

Articles connexes

Security

Compromission supply chain Trivy : guide Defender

Microsoft a publié des recommandations de détection, d’investigation et d’atténuation concernant la compromission de la supply chain Trivy de mars 2026, qui a affecté le binaire Trivy et des GitHub Actions associées. Cet incident est important, car il a détourné un outil de sécurité CI/CD de confiance pour voler des identifiants à partir de pipelines de build, d’environnements cloud et de systèmes de développeurs tout en semblant s’exécuter normalement.

Security

Gouvernance des agents IA : aligner l’intention

Microsoft présente un modèle de gouvernance pour les agents IA qui aligne l’intention de l’utilisateur, du développeur, du rôle et de l’organisation. Ce cadre aide les entreprises à garder des agents utiles, sécurisés et conformes en définissant des limites de comportement et un ordre de priorité clair en cas de conflit.

Security

Microsoft Defender : predictive shielding stoppe le ransomware GPO

Microsoft a détaillé un cas réel de ransomware dans lequel le predictive shielding de Defender a détecté un abus malveillant de Group Policy Object avant le début du chiffrement. En renforçant la propagation des GPO et en perturbant les comptes compromis, Defender a bloqué environ 97 % des tentatives de chiffrement et empêché tout appareil d’être chiffré via le chemin de diffusion GPO.

Security

Sécurité agentic AI : Microsoft renforce sa protection

Microsoft a présenté à la RSAC 2026 une stratégie complète pour sécuriser l’agentic AI en entreprise, avec le lancement en disponibilité générale d’Agent 365 le 1er mai et de nouveaux outils de visibilité comme Security Dashboard for AI. Ces annonces comptent car elles visent à aider les équipes IT et sécurité à mieux gouverner les agents AI, limiter les risques de surpartage de données et détecter plus tôt les menaces émergentes liées à l’IA.

Security

CTI-REALM open source : benchmark IA cybersécurité

Microsoft a dévoilé CTI-REALM, un benchmark open source qui évalue si des agents IA peuvent réellement produire des détections de sécurité de bout en bout à partir de rapports de cyber threat intelligence, plutôt que simplement répondre à des questions théoriques. C’est important pour les équipes SOC, car cet outil mesure des résultats opérationnels concrets — sur Linux, AKS et Azure — et aide à comparer la capacité réelle des modèles à soutenir l’ingénierie de détection.

Security

Zero Trust for AI de Microsoft : atelier et architecture

Microsoft a enrichi sa documentation Zero Trust avec une approche dédiée à l’IA, appliquant les principes « verify explicitly », « least privilege » et « assume breach » aux modèles, agents, prompts et sources de données. Cette évolution compte parce qu’elle fournit aux équipes IT et sécurité un cadre concret, renforcé par un nouveau pilier IA dans le Zero Trust Workshop, pour évaluer les risques propres à l’IA et déployer des contrôles adaptés à grande échelle.