Plus besoin de couper des sessions critiques pour patcher Windows : le hotpatching arrive sur les postes de travail et change la donne. La promesse ? Sécurité renforcée sans sacrifier la disponibilité et la productivité. Mais attention, la fonctionnalité impose ses contraintes et un Windows Entreprise.
Espéré depuis des décennies par les administrateurs Windows Server, né et concrétisé des besoins de haute disponibilité d’Azure, le hotpatching (ou « application de correctifs à chaud ») est apparu avec la version Windows Server 2022. La fonctionnalité permet d’installer des mises à jour de sécurité du système d’exploitation sans avoir à redémarrer la machine. Cette technique modifie le code en mémoire des processus en cours d’exécution, évitant ainsi les interruptions.
Depuis son introduction, le hotpatching Windows a beaucoup évolué pour offrir une meilleure protection et une gestion plus efficace des mises à jour. Avec Windows Server 2025, cette technologie a été étendue pour inclure des machines physiques et virtuelles, ainsi que des environnements Azure Arc.
Et aujourd’hui, Microsoft étend enfin cette fonctionnalité à Windows 11 Entreprise (et uniquement les éditions Entreprise). De quoi profondément faire évoluer la gestion des mises à jour des postes de travail en environnement professionnel. Une façon aussi de reconnaître que les entreprises ont aussi des postes et notamment des Workstations qui ne peuvent être redémarrées fréquemment parce qu’elles réalisent des traitements de calculs de simulation, de génération vidéo ou encore d’apprentissage et personnalisation d’IA.
Cette méthode va d’ailleurs restructurer le cycle annuel de mises à jour en deux catégories distinctes :
1 – Les mises à jour cumulatives de référence : requises en janvier, avril, juillet et octobre, elles nécessitent toujours un redémarrage
2 – Les mises à jour « hotpatch » : déployées pendant les huit autres mois de l’année, elles s’appliquent sans interruption de service
David Callaghan de Microsoft précise que « les mises à jour hotpatch prennent effet immédiatement après l’installation, offrant une protection rapide contre les vulnérabilités ». Il souligne également que « les appareils bénéficiant du hotpatching reçoivent le même niveau de protection que ceux mis à jour conventionnellement lors des traditionnels Patch Tuesday, mais sans que l’ordinateur ait besoin de redémarrer, ce qui réduit considérablement les interruptions pour les collaborateurs ».
Des prérequis techniques
Reste que, pour bénéficier de cette fonctionnalité, le terrain doit avoir été préalablement préparé. Tout d’abord, la fonctionnalité n’est disponible qu’à partir des éditions « 24H2 » et ne concerne comme nous l’avons déjà dit que les éditions « Entreprise » disposant d’un abonnement Microsoft actif (Enterprise E3/E5/F3, Education A3/A5 ou Windows 365 Enterprise).
Par ailleurs, le poste doit être managé via Microsoft Intune et sa gestion des politiques. Le déploiement du hotpatching reste optionnel et doit être explicitement configuré par les administrateurs. La procédure requiert la création d’une politique spécifique dans le centre d’administration Intune, accessible via : Devices > Windows updates > Create Windows quality update policy, où l’option doit être activée.
Enfin, la fonctionnalité impose que la sécurité basée sur la virtualisation (VBS) ait bien été activée (et donc des PC disposant de processeurs compatibles avec cette avancée technologique).
Pour l’instant, seules les machines à base de processeurs Intel et AMD sont officiellement supportées mais la fonctionnalité est déjà en preview publique pour les Copilot+ PC à base de processeurs ARM.
Une fonction « Game Changer » pour les opérations IT
Cette évolution technique s’inscrit dans une stratégie plus large visant à minimiser les interruptions opérationnelles tout en maintenant un haut niveau de sécurité. Pour les grandes organisations, la réduction du nombre de redémarrages obligatoires (de douze à quatre par an) représente un gain potentiellement significatif en termes de productivité et de continuité d’activité.
Pour les DSI et RSSI, cette innovation offre un levier supplémentaire pour équilibrer les impératifs de sécurité et les exigences de disponibilité du SI, particulièrement dans les environnements critiques et dans les environnements industriels (nombre de robots et systèmes OT sont pilotés par du Windows) où chaque minute d’indisponibilité peut avoir un impact opérationnel ou financier substantiel.
puis