Microsoft va faire des correctifs de sécurité sans redémarrage la norme sur certains PC professionnels. Une évolution logique pour une technologie introduite côté client l’an dernier, encore réservée aux parcs informatiques d’entreprise.
L’an dernier, Microsoft introduisait l’une des évolutions les plus attendues de la maintenance de Windows côté entreprise. Depuis mai 2025, les PC équipés de Windows 11 Enterprise peuvent installer certains correctifs de sécurité sans redémarrer grâce au principe du hotpatch. Une nouveauté réservée aux environnements professionnels, donc, que les équipes IT pouvaient choisir d’activer ou non.
Redmond franchit désormais une étape supplémentaire. Dans un billet publié le 9 mars, l’éditeur annonce que ces correctifs hotpatch seront activés par défaut dans Windows Autopatch à partir de mai 2026 pour les appareils éligibles. Une manière d’accélérer l’application des correctifs dans les parcs informatiques gérés, où les redémarrages repoussés peuvent retarder l’application effective des patchs de sécurité.
Les correctifs sans redémarrage deviennent la norme
C’est donc à l’occasion du Patch Tuesday de mai 2026 que les mises à jour hotpatch deviendront la règle par défaut pour les appareils gérés via Microsoft Intune ou l’API Windows Update intégrée à Microsoft Graph. Les correctifs concernés pourront ainsi être appliqués dès leur installation, sans attendre le redémarrage de la machine.
L’intérêt est avant tout pragmatique. En entreprise, les mises à jour sont souvent installées rapidement, mais leur application effective dépend du redémarrage des postes, parfois repoussé de plusieurs jours, le temps que les utilisateurs et utilisatrices redémarrent leur machine ou que les administrateurs finissent par forcer l’opération.
D’après Microsoft, ce mode de déploiement permettrait d’atteindre 90 % de conformité en deux fois moins de temps dans certains parcs informatiques, alors que plus de dix millions de PC y ont déjà recours.
La transition suivra néanmoins un calendrier précis. Les appareils devront d’abord installer la mise à jour de sécurité d’avril 2026, qui sert de version de référence. Une fois cette baseline installée avec redémarrage, les correctifs suivants pourront être appliqués à chaud.
Pourquoi appliquer des correctifs sans redémarrage reste compliqué sur Windows
Si Microsoft avance prudemment sur ce terrain, c’est parce que la plupart des mises à jour Windows modifient des composants déjà chargés en mémoire. Bibliothèques partagées, services ou éléments du noyau sont utilisés en permanence par l’OS et les applications, ce qui rend leur remplacement à chaud difficile. Le redémarrage permet justement de relancer Windows avec les versions corrigées de ces composants et de recharger l’ensemble des dépendances dans un environnement propre.
Le hotpatch repose sur une approche différente. Plutôt que de remplacer un fichier complet, le correctif modifie certaines portions du code directement en mémoire et redirige l’exécution vers une version corrigée d’une fonction. Cette technique nécessite toutefois une préparation spécifique du code et ne peut s’appliquer qu’à certains types de modifications.
C’est la raison pour laquelle Microsoft continue de s’appuyer sur des mises à jour dites de baseline. Ces correctifs plus lourds, installés avec redémarrage, permettent de réaligner périodiquement toutes les machines sur une même version du système avant que les mises à jour à chaud prennent le relais.
Pour l’instant, ce fonctionnement reste limité aux environnements professionnels. Les éditions grand public de Windows continuent d’utiliser le cycle classique de mises à jour avec redémarrage, même si l’activation par défaut du hotpatch dans Autopatch marque une étape supplémentaire dans l’évolution du modèle de maintenance du système.
Source : Microsoft
Un hotpatch est un correctif de sécurité appliqué sans redémarrage. Au lieu de remplacer des fichiers système sur le disque, il modifie du code déjà chargé en mémoire pendant que Windows continue de fonctionner. Là où un patch classique nécessite souvent un reboot pour recharger correctement certains composants (services, bibliothèques ou noyau), le hotpatch évite cette interruption. Techniquement, il peut rediriger l’exécution vers une version corrigée d’une fonction. En contrepartie, ce mécanisme ne fonctionne pas dans tous les cas et exige que certains composants aient été préparés pour ce type de mise à jour.
Pourquoi Windows a-t-il souvent besoin d’un redémarrage pour appliquer des mises à jour de sécurité ?De nombreux correctifs Windows touchent des éléments utilisés en continu, comme des DLL partagées, des services système ou des parties du noyau. Tant que ces composants sont en cours d’exécution, les remplacer directement peut créer des conflits avec d’autres éléments déjà chargés en mémoire. Le redémarrage permet donc de relancer l’OS avec les versions corrigées et de recharger l’ensemble des modules dans un environnement propre. Sans cette étape, on pourrait se retrouver avec un mélange de versions en mémoire, source d’instabilité ou de correctifs incomplets. Le hotpatch permet d’éviter ce problème dans certains cas, mais ne couvre pas tous les scénarios.
À quoi sert une mise à jour de « baseline » dans un modèle de correctifs hotpatch ?Une baseline est une mise à jour de référence, installée avec redémarrage, qui réaligne toutes les machines sur une même version du système. Elle garantit que les fichiers et composants sont dans un état attendu avant l’application de nouveaux correctifs. Les hotpatchs peuvent ensuite être appliqués plus facilement, puisqu’ils ciblent tous la même base logicielle. En pratique, ces mises à jour servent de points de synchronisation réguliers entre deux phases de correctifs appliqués à chaud.
