Certificats Secure Boot Microsoft
Comment préparer vos serveurs Windows ?
Échéance de juin 2026 ?
Depuis plusieurs mois, Microsoft communique sur une évolution importante de son mécanisme Secure Boot. De nombreuses entreprises ont découvert l’existence d’une échéance liée à l’expiration de certains certificats Secure Boot et s’interrogent sur les conséquences pour leurs postes de travail et leurs serveurs.
La bonne nouvelle est qu’aucune panne généralisée n’est attendue. En revanche, l’inaction pourrait provoquer des difficultés lors de futures mises à jour de sécurité ou opérations de maintenance.
Vous manquez de temps ?
Résumez cette page avec votre assistant IA préféré !
Qu'est-ce que Secure Boot ?
Secure Boot est une fonctionnalité de sécurité intégrée à l’UEFI des serveurs et postes de travail modernes. Son rôle est de vérifier qu’aucun logiciel malveillant ne s’exécute avant le démarrage de Windows.
Chaque composant du processus de démarrage est signé numériquement grâce à une chaîne de certificats de confiance stockée dans le firmware UEFI.
Cette protection constitue aujourd’hui l’un des remparts les plus efficaces contre :
- les bootkits
- les rootkits UEFI
- les attaques de type BlackLotus
- les compromissions du chargeur de démarrage Windows
Pourquoi Microsoft met à jour les certificats Secure Boot ?
Microsoft a engagé une modernisation de l’infrastructure de confiance utilisée par Secure Boot.
Cette opération vise plusieurs objectifs :
Remplacer des certificats historiques arrivant à échéance
Renforcer la sécurité de la chaîne de démarrage
Préparer la révocation de chargeurs de démarrage vulnérables
Déployer de nouveaux certificats dans les bases UEFI
Les serveurs vont-ils tomber en panne ?
Non… mais !
L’expiration des certificats ne provoquera pas brutalement l’arrêt des serveurs au lendemain de la date annoncée.
Cependant, des risques existent :
- Impossibilité d’appliquer certaines futures mises à jour
- Incompatibilité avec des médias de démarrage anciens
- Problèmes de démarrage après certaines opérations de maintenance
- Incompatibilité avec certains environnements
- Difficultés avec certains outils de sauvegarde et de restauration
Le véritable risque est de reporter indéfiniment les mises à jour préparatoires recommandées par Microsoft !
Quels environnements sont concernés ?
Les environnements suivants doivent être vérifiés :
Serveurs Windows
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
- Windows Server 2025
Postes de travail
- Windows 10
- Windows 11
Matériels concernés
- Dell Technologies
- HPE
- Lenovo
- etc…
- autres serveurs utilisant Secure Boot
Etes vous prêt pour la NIS2 ?
Les postes gérés par Intune sont-ils protégés ?
Dans de nombreux cas, oui.
Microsoft propose désormais des stratégies Intune permettant d’automatiser le déploiement des nouveaux certificats Secure Boot.
Les paramètres suivants peuvent être activés :
- Microsoft Update Managed Opt-In
- Enable Secure Boot Certificate Updates
Ces réglages permettent de préparer les postes compatibles aux futures évolutions du mécanisme Secure Boot.
Quelles actions recommandons-nous ?
Priorité n°1
Réaliser un audit de l'environnement
Avant toute intervention, il est indispensable de disposer d’une vision claire de l’existant.
L’audit consiste à identifier :
- les serveurs Windows utilisant Secure Boot
- les postes de travail critiques
- les machines virtuelles de génération 2 sous Hyper-V
- les équipements dont le firmware UEFI n’est plus à jour
- les systèmes ne recevant plus régulièrement les mises à jour Microsoft
- les solutions de sauvegarde et de reprise d’activité utilisant des médias de démarrage
Cette phase permet également de déterminer les versions de Windows Server concernées, le niveau de correctifs appliqués et les éventuelles dépendances techniques.
Priorité n°2
Mettre à jour les systèmes et composants
Mettre à jour les systèmes et composants
Installer les dernières mises à jour cumulatives Windows disponibles pour les serveurs et postes de travail concernés.
Ces correctifs intègrent progressivement les mécanismes nécessaires au déploiement des nouveaux certificats Secure Boot.
Mise à jour du firmware UEFI
Les constructeurs tels que Dell Technologies, HPE, Lenovo ou Fujitsu publient régulièrement des mises à jour BIOS et UEFI intégrant des correctifs de sécurité et des améliorations de compatibilité.
Un firmware obsolète peut empêcher certaines opérations liées à Secure Boot ou générer des comportements inattendus.
Vérification des stratégies de gestion
Pour les environnements Microsoft Intune ou Active Directory, il est recommandé de vérifier que les paramètres permettant le déploiement des mises à jour Secure Boot sont correctement configurés.
Mise à jour des outils tiers
Les solutions de sauvegarde, de restauration ou de déploiement doivent également être vérifiées.
Priorité n°3
Valider les procédures de reprise et de maintenance
Tester les médias de secours
Vérifier que les ISO de récupération, clés USB de maintenance et environnements WinPE démarrent correctement sur les équipements protégés par Secure Boot.
Vérifier les restaurations
Effectuer des tests de restauration sur des serveurs ou machines virtuelles représentatives afin de valider la compatibilité des outils de sauvegarde.
Contrôler les procédures PRA/PCA
Les plans de reprise d’activité et de continuité d’activité doivent être réévalués afin de garantir que les procédures documentées restent fonctionnelles après les évolutions de sécurité.
Documenter les résultats
Chaque validation doit être documentée afin de constituer une base de référence pour les futures opérations de maintenance et audits de sécurité.
Notre recommandation
Une transformation progressive
L’expiration des certificats Secure Boot n’est pas une urgence critique, mais elle ne doit pas être ignorée.
Les entreprises qui anticipent aujourd’hui éviteront des incidents lors des futures mises à jour de sécurité et conserveront une infrastructure conforme aux recommandations Microsoft.
Un audit rapide permet généralement d’identifier les systèmes nécessitant une intervention et de planifier sereinement les actions correctives.
Benoît
Expert Modern Systems
« L’évolution des certificats Secure Boot ne doit pas être perçue comme une alerte mais comme une opportunité de renforcer durablement la sécurité de nos infrastructures. Les entreprises qui anticipent aujourd’hui éviteront les difficultés de demain, notamment lors des futures mises à jour de sécurité et opérations de maintenance.
Notre recommandation est simple : auditer, mettre à jour et valider. Une approche proactive permet de préserver la continuité de service tout en restant aligné avec les recommandations Microsoft »
Une entreprise à protéger ?
On adore ça !
Réservez une visio de 30min pour parler de votre projet
Besoin d'un audit Secure Boot ?
Les équipes AGESYS accompagnent les entreprises dans :
- L'analyse des environnements Windows Server
- La vérification des configurations Secure Boot
- La validation des plans de reprise
- La mise en conformité des infrastructures Microsoft
Contactez nos experts pour évaluer l’exposition de votre environnement
FAQ
L'expiration des certificats Secure Boot va-t-elle arrêter mes serveurs ?
Non. L’expiration des certificats Secure Boot ne provoquera pas automatiquement l’arrêt des serveurs ou des postes de travail. Cependant, elle peut entraîner des problèmes lors de futures mises à jour de sécurité, de démarrage ou de maintenance si les nouveaux certificats n’ont pas été déployés.
Quels systèmes Windows sont concernés ?
Les environnements suivants sont concernés :
- Windows 10
- Windows 11
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
- Windows Server 2025
Les impacts dépendent du niveau de mise à jour et de la configuration Secure Boot de chaque système.
Pourquoi Microsoft met-il à jour les certificats Secure Boot ?
Microsoft modernise son infrastructure de confiance afin de :
- remplacer des certificats historiques arrivant à échéance
- renforcer la sécurité du démarrage
- corriger certaines vulnérabilités connues
- préparer la révocation de composants de démarrage devenus obsolètes ou vulnérables
Qu'est-ce que la base DBX dans Secure Boot ?
La DBX est la liste des signatures révoquées par Secure Boot.
Lorsqu’un chargeur de démarrage ou un composant est considéré comme vulnérable, Microsoft peut l’ajouter à cette base afin d’empêcher son exécution sur les systèmes protégés.
Les serveurs virtuels sont-ils concernés ?
Les machines virtuelles de génération 2 sous Hyper-V utilisant Secure Boot sont également concernées.
Il convient de vérifier la version de l’hyperviseur ainsi que les mises à jour du système invité.
Les postes de travail gérés par Microsoft Intune sont-ils protégés ?
Dans de nombreux cas, oui.
Microsoft propose des stratégies permettant d’activer automatiquement les mises à jour des certificats Secure Boot via Windows Update et Intune.
Une vérification de la configuration reste néanmoins recommandée.
Les mises à jour Secure Boot sont-elles installées automatiquement ?
Pas toujours.
Certaines mises à jour nécessitent :
- des prérequis spécifiques
- des paramètres de stratégie particuliers
- des validations supplémentaires sur les serveurs critiques
Il est conseillé de vérifier la conformité de chaque environnement.
Que risque une entreprise qui ne fait rien ?
À court terme, généralement rien.
À moyen terme, elle s’expose à :
- des difficultés lors des mises à jour Windows
- des incompatibilités de démarrage
- des problèmes de restauration après incident
- des interventions d’urgence plus coûteuses
Faut-il réaliser un audit Secure Boot ?
Oui, particulièrement si votre organisation possède :
- plusieurs serveurs Windows
- des infrastructures Hyper-V
- des outils de sauvegarde critiques
- des serveurs n’ayant pas été mis à jour récemment
Un audit permet d’identifier rapidement les équipements nécessitant une mise à jour ou une validation.
