Microsoft bascule le hotpatch en mode défaut pour les appareils Intune
Microsoft a annoncé le 10 mars 2026 qu’il activerait les mises à jour de sécurité hotpatch par défaut pour tous les appareils Windows éligibles gérés via Microsoft Intune et l’API Microsoft Graph, à compter du déploiement de la mise à jour de sécurité Windows de mai 2026. Les administrateurs disposent jusqu’au 11 mai 2026 pour vérifier leurs environnements et se désinscrire avant que le nouveau comportement par défaut ne prenne effet.
Ce changement marque un passage fondamental du modèle opt-in actuel au déploiement automatique dans les environnements d’entreprise. Microsoft a déclaré que son objectif est clair : les mises à jour hotpatch sont le moyen le plus rapide de sécuriser les appareils, et en faire le comportement par défaut supprime les frictions dans les flux de conformité aux correctifs en entreprise.
Qu’est-ce que le hotpatch Windows et pourquoi est-ce important
La technologie hotpatch permet aux systèmes Windows d’appliquer des mises à jour de sécurité critiques directement dans le code en mémoire sans nécessiter de redémarrage du système. Dans le modèle traditionnel, les administrateurs IT accordaient généralement 3 à 5 jours aux utilisateurs pour redémarrer leurs appareils avant de forcer la conformité — une fenêtre qui laissait les organisations exposées aux exploits actifs. Microsoft estime qu’activer le hotpatch par défaut réduira d’environ 50 % le délai nécessaire pour atteindre 90 % de conformité aux correctifs.
Les mises à jour hotpatch sont délivrées mensuellement sous forme de correctifs légers s’appliquant par-dessus une mise à jour de base cumulative trimestrielle. La mise à jour de base nécessite toujours un redémarrage, mais les correctifs de sécurité mensuels qui suivent n’en nécessitent pas. Cela signifie que la plupart des appareils d’entreprise n’auront besoin que de quatre redémarrages par an pour les correctifs de sécurité, au lieu des douze actuels.
Calendrier et fenêtre d’action pour les administrateurs
Microsoft a publié un calendrier clair pour ce déploiement :
- 1er avril 2026 — Les contrôles au niveau du tenant deviennent disponibles dans Microsoft Intune, permettant aux organisations de se désinscrire du nouveau comportement par défaut avant sa mise en application.
- 11 mai 2026 — Les mises à jour hotpatch commenceront à se déployer automatiquement sous le nouveau comportement par défaut pour tous les appareils Intune éligibles. Il s’agit de la date limite pour les organisations souhaitant se désinscrire.
Les administrateurs qui ont besoin de plus de temps peuvent désactiver le hotpatch au niveau du tenant en navigant dans Microsoft Intune → Administration du tenant → Windows Autopatch → Gestion du tenant → Paramètres du tenant, puis en basculant le paramètre hotpatch sur Bloquer. Les stratégies de mise à jour qualité individuelles assignées à des groupes d’appareils spécifiques remplaceront le paramètre par défaut au niveau du tenant.
Conditions requises et éligibilité des appareils
Ce changement de comportement par défaut s’applique uniquement aux appareils répondant à un ensemble spécifique de prérequis. Tous les appareils Windows ne recevront pas automatiquement le hotpatch. Pour être éligibles, les appareils doivent :
- Exécuter Windows 11 Entreprise version 24H2 ou ultérieure (build 26100.4929 ou ultérieure)
- Être inscrits dans Microsoft Intune avec une stratégie de mise à jour qualité et Windows Autopatch
- Avoir la sécurité basée sur la virtualisation (VBS) activée — condition stricte pour le fonctionnement du hotpatch
- Disposer d’une licence éligible : Windows 11 Entreprise E3 ou E5, Microsoft 365 F3, Windows 11 Éducation A3 ou A5, Microsoft 365 Business Premium, ou Windows 365 Entreprise
- Être sur la dernière mise à jour de base cumulative trimestrielle avant l’application du hotpatch
Les appareils ARM64 nécessitent une étape de configuration unique supplémentaire pour désactiver les binaires CHPE (Compiled Hybrid Portable Executable) avant que le hotpatch puisse être appliqué. La prise en charge ARM64 reste en préversion pour certains scénarios et peut affecter les performances sur ces appareils.
Ce que les administrateurs IT doivent faire avant le 11 mai
Les organisations qui ne sont pas encore prêtes pour le hotpatch doivent agir avant l’ouverture de la fenêtre de désinscription du 1er avril et vérifier les points suivants avant d’accepter le nouveau comportement par défaut :
- Confirmer que tous les appareils cibles exécutent Windows 11 version 24H2 ou ultérieure et disposent de la dernière mise à jour de base trimestrielle.
- Vérifier que la sécurité basée sur la virtualisation est activée sur l’ensemble du parc — la VBS peut être bloquée par des pilotes incompatibles ou des stacks antimalware plus anciens.
- Valider les licences pour s’assurer que les appareils disposent des SKU entreprise ou éducation requis.
- Tester la compatibilité des applications avec le hotpatch sur un groupe pilote avant le déploiement à grande échelle, en particulier dans les environnements avec des pilotes personnalisés ou des logiciels hérités.
- Examiner les stratégies de mise à jour qualité existantes dans Intune, car les paramètres hotpatch au niveau de la stratégie remplacent les paramètres par défaut au niveau du tenant.
Les organisations prêtes à procéder bénéficieront d’une conformité plus rapide, de moins d’interruptions pour les utilisateurs et d’une réduction des opérations liées aux redémarrages d’urgence.
Les appareils grand public et non gérés ne sont pas concernés
Ce changement est exclusivement limité aux environnements gérés en entreprise. Les PC grand public sous Windows 11 Famille ou Pro, les appareils professionnels non gérés, et les systèmes non inscrits dans Intune ou Windows Autopatch continueront de suivre le flux de mise à jour traditionnel nécessitant un redémarrage. Microsoft n’a pas annoncé de calendrier pour étendre les comportements hotpatch par défaut aux éditions grand public de Windows 11.
