Microsoft met à jour l’application Sécurité Windows afin d’y inclure des informations détaillées sur les mises à jour des certificats Secure Boot, offrant ainsi aux utilisateurs une vision plus claire de l’état de sécurité au démarrage de leur ordinateur avant l’expiration des certificats en 2026.
Parallèlement à ce déploiement, Microsoft a publié deux guides distincts, l’un destiné aux utilisateurs de Windows Home et Pro, et l’autre aux administrateurs informatiques chargés de la gestion des ordinateurs d’entreprise.
La mise à jour affiche l’état de Secure Boot sous Sécurité Windows > Sécurité des appareils > Secure Boot, où vous pouvez vérifier si votre PC a reçu les nouveaux certificats 2023, s’il utilise encore les anciens, ou s’il nécessite une attention particulière en raison de limitations de compatibilité.
Ces certificats, initialement émis en 2011, arriveront à expiration en 2026, et les mises à jour sont déployées automatiquement via Windows Update.
Les indicateurs d’état commenceront à être déployés en avril 2026, tandis que des notifications et des commandes supplémentaires seront disponibles en mai afin de guider plus clairement les utilisateurs quant à la nécessité d’une intervention et au moment opportun pour celle-ci.
Certains systèmes ont déjà rencontré des problèmes lors de l’application des nouveaux certificats Secure Boot en raison de limitations du micrologiciel, et jusqu’à présent, la vérification nécessitait des contrôles manuels ou des méthodes en ligne de commandes. Heureusement, l’application Sécurité Windows affiche désormais ces informations directement.
Le fonctionnement n’est toutefois pas identique sur tous les ordinateurs, car les utilisateurs des versions Famille et Pro bénéficient de cette visibilité par défaut, tandis que les systèmes gérés en entreprise traitent le statut Secure Boot différemment sous le contrôle du service informatique.
Ce que les utilisateurs de Windows Famille et Pro verront désormais dans l’application Sécurité de Windows
- Microsoft ajoute désormais l’état du certificat Secure Boot directement dans l’application Sécurité de Windows, sous Sécurité des appareils > Secure Boot. Cette section affiche désormais un indicateur d’état clair, accompagné d’une brève explication de ce qui se passe sur votre ordinateur.
Différents indicateurs de l’état actuel de la mise à jour du certificat Secure Boot :
- Le vert signifie que tout est à jour
- Le jaune signifie qu’il existe une restriction ou une recommandation
- Le rouge signifie qu’une action est requise
Le même état s’affichera également sur l’icône « Sécurité Windows » dans la barre d’état système, en fonction de l’état de sécurité global de l’ordinateur.
Qui est concerné et quand ce déploiement aura-t-il lieu
Ces changements s’appliquent par défaut aux ordinateurs Windows Home et Pro. Le déploiement commence en avril 2026, date à laquelle les utilisateurs commenceront à voir l’état de Secure Boot dans l’application Sécurité Windows.
À partir de mai 2026, Microsoft ajoutera des notifications au niveau du système et des conseils plus clairs dans l’application Sécurité Windows, en particulier pour les ordinateurs nécessitant une attention particulière ou ne pouvant pas recevoir de mises à jour.
Signification de chaque statut de Secure Boot
- Une icône en forme de coche verte confirme que l’ordinateur a reçu toutes les mises à jour de certificats Secure Boot requises ainsi que le gestionnaire de démarrage mis à jour. Aucune action n’est requise.
- Une icône d’avertissement jaune indique généralement une restriction. Dans la plupart des cas, l’ordinateur utilise encore d’anciens certificats, et Windows s’attend à ce qu’ils soient mis à jour automatiquement. Si la mise à jour est bloquée en raison de contraintes liées au micrologiciel ou au matériel, l’avertissement reste affiché jusqu’à ce que la restriction soit résolue.
- Une icône rouge en forme de stop indique un problème plus grave. L’ordinateur ne peut pas recevoir les mises à jour Secure Boot nécessaires au processus de démarrage de Windows, ce qui devient d’autant plus important que les anciens certificats approchent de leur date d’expiration ; les systèmes qui ne sont pas mis à jour risquent de rencontrer des problèmes de sécurité et de compatibilité.
Ce que vous devez faire (en fonction de votre situation)
- Si l’application Sécurité Windows indique que Secure Boot utilise une configuration obsolète, l’installation des dernières mises à jour Windows et le redémarrage de l’ordinateur permettent généralement de résoudre le problème.
- Si les mises à jour sont temporairement suspendues en raison de problèmes de compatibilité, vous n’avez rien à faire. Microsoft reprendra automatiquement la mise à jour une fois le problème résolu.
- Si le message fait état de limitations matérielles ou de firmware, la mise à jour ne peut pas être appliquée automatiquement, et la seule option est de contacter le fabricant de l’ordinateur.
- Si l’ordinateur est déjà dans un état où il ne peut plus recevoir les mises à jour requises, cela signifie qu’il utilise toujours un ancien certificat même après sa date d’expiration, et vous devez vérifier cela pour obtenir des conseils.
Notifications, avertissements et comportement du système
L’état du démarrage sécurisé influe désormais sur la manière dont Windows signale les problèmes de sécurité au sein du système. Si cet état passe au jaune ou au rouge, cela peut renforcer l’avertissement de sécurité général affiché par l’icône de la barre d’état système.
À partir de mai 2026, les notifications s’étendront également au-delà de l’application Sécurité Windows, afin que les utilisateurs soient informés lorsqu’ils doivent y prêter attention.
Ignorer les avertissements (et ce que cela implique)
Les avertissements peuvent être ignorés, mais cela ne fait que masquer l’alerte.
- Pour les états jaunes, sélectionner « Ignorer » supprime temporairement les notifications tout en conservant le problème visible dans l’application Sécurité Windows.
- Pour les états rouges, l’ignorance nécessite l’approbation d’un administrateur via l’option « Accepter le risque ». Même dans ce cas, le système continue de fonctionner sans les mises à jour requises, et la limitation reste inchangée.
Les ordinateurs qui restent dans cet état risquent à terme de ne plus avoir accès aux futures mises à jour de sécurité liées au démarrage.
Ce à quoi la plupart des utilisateurs doivent s’attendre
- La plupart des ordinateurs se mettront à jour automatiquement via Windows Update, et les utilisateurs n’auront rien à faire. Un statut vert confirme que tout fonctionne comme prévu.
- Les avertissements jaunes signalent généralement des problèmes de compatibilité, tandis que les avertissements rouges indiquent une faille de sécurité qui ne peut pas être résolue automatiquement.
- Les systèmes qui ne recevront jamais les certificats mis à jour continueront de fonctionner pendant un certain temps, mais pourraient rencontrer des problèmes avec les futures mises à jour, les micrologiciels ou les fonctionnalités dépendantes du démarrage sécurisé.
Cependant, les ordinateurs d’entreprise suivent une autre voie : ces indicateurs et notifications sont gérés par des stratégies informatiques plutôt que d’être directement affichés aux utilisateurs.
Ce que les administrateurs informatiques doivent savoir sur l’état de mise à jour des certificats Secure Boot
Sur les ordinateurs Windows gérés en entreprise et sur Windows Server, les indicateurs d’état des certificats Secure Boot sont désactivés par défaut.
Les administrateurs gèrent les mises à jour de manière centralisée ; Microsoft évite donc d’afficher des avertissements destinés aux utilisateurs, qui pourraient semer la confusion. L’idée est que le déploiement, la validation et la surveillance des certificats s’effectuent via les processus informatiques, et non par le biais d’alertes affichées aux utilisateurs finaux.
Différences entre les serveurs et les PC d’entreprise
Windows Server gère cela de manière très différente. L’application Sécurité Windows est disponible, mais le service de notification ne s’exécute pas automatiquement. Cela signifie que les vérifications de l’état du démarrage sécurisé ne s’effectuent pas en arrière-plan, et qu’aucune information n’apparaît à moins que l’utilisateur n’ouvre manuellement l’application.
Sur les ordinateurs Windows 10 et Windows 11 gérés par l’entreprise, l’application et les services fonctionnent normalement, et les données d’état sont toujours générées. Cependant, les indicateurs, les badges et les notifications restent masqués à moins d’être explicitement activés.
Comment activer l’affichage de l’état du démarrage sécurisé ?
Les administrateurs peuvent activer cette fonctionnalité à l’aide d’une clé de registre :
- Chemin d’accès : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender Security Center\Device security
- Clé : Masquer l’état du Secure Boot
- 0 – Afficher l’état du Secure Boot
- 1 – Masquer l’état du Secure Boot
- Absent – Activé par défaut pour les éditions Famille/Pro, désactivé par défaut pour les éditions Enterprise/Server
Une fois cette fonctionnalité activée, les utilisateurs peuvent voir les mêmes indicateurs, messages et notifications que sur les ordinateurs grand public.
Phases de déploiement et versions prises en charge
Le déploiement suit la même approche en deux phases, mais la disponibilité dépend des versions du système d’exploitation.
- Phase 1 (avril 2026) : L’état du démarrage sécurisé s’affiche dans « Sécurité Windows » avec des icônes vertes et jaunes, accompagnées de liens vers des conseils.
- Phase 2 (mai 2026) : Des notifications, des options de suppression et des états rouges (critiques) sont introduits, ainsi qu’une gestion plus stricte des systèmes non pris en charge.
Ces changements s’appliquent à Windows 11, Windows 10 et aux versions prises en charge de Windows Server, leur calendrier étant lié aux mises à jour d’applications et aux mises à jour cumulatives.
Comment Microsoft envisage la gestion de cette situation par les entreprises
Les environnements d’entreprise sont censés assurer le suivi centralisé du déploiement des certificats Secure Boot. Microsoft recommande aux administrateurs d’adopter des approches structurées de déploiement et de surveillance, notamment des guides de procédure Secure Boot pour la validation et la conformité.
L’accent est mis sur un déploiement guidé par des stratégies plutôt que sur la sensibilisation des utilisateurs ou une intervention manuelle.
Ce que cela signifie concrètement pour les entreprises
Sans surveillance adéquate, les ordinateurs peuvent continuer à fonctionner avec des certificats obsolètes sans qu’aucun avertissement visible ne soit signalé aux utilisateurs finaux, ce qui crée une faille : les systèmes semblent fonctionner correctement, mais ne répondent pas aux futures exigences de sécurité.
Les administrateurs doivent vérifier la compatibilité du micrologiciel, suivre l’état de déploiement des certificats et s’assurer que les mises à jour sont bien appliquées sur l’ensemble du parc. Sinon, les problèmes n’apparaîtront que plus tard, lorsque les systèmes ne recevront pas les mises à jour liées au démarrage ou rencontreront des problèmes de compatibilité.
Les avertissements relatifs au démarrage sécurisé peuvent sembler alarmants, en particulier lorsqu’ils s’accompagnent d’un badge rouge ou jaune, mais ce ne sont pas des alertes aléatoires. Ils existent parce que Microsoft tente de préparer les ordinateurs à une échéance réelle, à mesure que les anciens certificats approchent de leur date d’expiration.
Conclusion
Si vous voyez l’une de ces notifications, ne vous inquiétez pas. C’est Windows qui vous indique précisément l’état de votre ordinateur et ce qui nécessite votre attention avant que cela ne devienne un véritable problème.
