Microdiag
Microdiag
Microdiag
Fonctionnalités Pour qui Tarifs Outils Blog FAQ À propos
Connexion Essai gratuit
Sécurité

Windows Update : pourquoi différer les mises à jour est une faute professionnelle

Chaque Patch Tuesday corrige en moyenne 80 vulnérabilités. Entre la publication d'un patch et son exploitation massive : 14 jours. Ce guide explique pourquoi différer les mises à jour Windows est votre risque n°1, et comment automatiser la gestion sans casser votre environnement.

Équipe Sentinel 20 mai 2026 9 min
Sommaire

Combien de fois avez-vous cliqué sur « Me le rappeler plus tard » pour une mise à jour Windows ? Si vous gérez des postes professionnels, cette habitude — compréhensible — est probablement votre risque de sécurité le plus immédiat.

Le chiffre qui change la perspective : en 2025, le temps moyen entre la publication d’un correctif de sécurité critique et son exploitation à grande échelle est passé à 14 jours. Il était de 28 jours en 2022. Les attaquants s’automatisent plus vite que la plupart des entreprises ne patchent.

Ce que contient un Patch Tuesday

Chaque deuxième mardi du mois, Microsoft publie ses correctifs de sécurité. En 2025, chaque Patch Tuesday a corrigé en moyenne 112 vulnérabilités. Parmi elles :

  • CVE critiques (CVSS ≥ 9.0) : exploitables à distance, sans interaction utilisateur, permettant souvent l’exécution de code arbitraire
  • CVE importantes (CVSS 7.0–8.9) : nécessitent généralement une action de l’utilisateur mais restent très dangereuses
  • Zero-day : vulnérabilités déjà activement exploitées au moment de la publication du patch

En mai 2026, Microsoft a corrigé 147 vulnérabilités dont 5 zero-day activement exploitées. Ces zero-day étaient en cours d’exploitation avant la publication du correctif — chaque jour de retard après la publication augmente votre exposition.

Les CVE qui ont fait des dégâts récents

CVE-2024-38213 — LogiOptions+ (CVSS 8.1) Contournement de la protection Windows MotW (Mark of the Web). Un fichier reçu par email ou téléchargé pouvait exécuter du code sans déclencher les avertissements de sécurité Windows. Patch disponible en août 2024. Des milliers de postes restaient vulnérables un an plus tard.

CVE-2025-21194 — Surface BMC (CVSS 9.8) Bypass de la protection UEFI Secure Boot sur certaines configurations Surface. Exploitable à distance. Patch disponible en février 2025.

CVE-2025-29824 — Windows CLFS (CVSS 7.8) Élévation de privilèges dans le journal commun du système de fichiers Windows. Exploitée par le groupe Play Ransomware pour passer de compte standard à SYSTEM. Patch disponible en avril 2025.

Ces vulnérabilités ne sont pas théoriques — elles ont été exploitées dans des attaques réelles contre des PME françaises.

Pourquoi les mises à jour sont différées — et pourquoi c’est risqué

Voici les raisons invoquées par les responsables IT, et la réalité derrière chacune :

« Une mise à jour a déjà cassé quelque chose »

C’est vrai que cela arrive — Microsoft a publié des mises à jour problématiques (KB5034441, qui perturbait certaines configurations de partition de récupération en janvier 2024). Mais la bonne réponse n’est pas de ne pas patcher : c’est de tester sur un poste pilote avant déploiement généralisé, puis de déployer avec un délai de 7 jours sur le reste du parc.

Différer indéfiniment parce qu’une mise à jour a causé un problème il y a 3 ans est une erreur de gestion du risque : vous échangez un risque rare et réversible contre un risque fréquent et potentiellement catastrophique.

« Nous ne pouvons pas nous permettre d’arrêter les machines »

Les redémarrages peuvent être programmés en dehors des heures de travail (22h-6h). Windows Update permet de définir des plages de maintenance. Microdiag Sentinel peut déclencher les mises à jour et redémarrages à une heure planifiée, à distance, sur tous les postes simultanément.

« Nous n’avons pas le temps de gérer ça »

C’est l’argument le plus honnête — et il a une réponse concrète : automatisez. Les mises à jour Windows peuvent être configurées pour s’installer automatiquement avec un délai de 7 jours après publication (compromis raisonnable entre sécurité et stabilité).

« Nous utilisons un logiciel qui n’est pas compatible avec les dernières versions »

C’est le cas le plus délicat. Si un logiciel métier nécessite une version spécifique de Windows ou d’un composant, vous avez un problème de dette technique à résoudre — pas une raison de laisser l’ensemble du parc sans patches. La solution : isoler le poste concerné (pas d’accès Internet direct, pas de données sensibles), patcher tout le reste, et planifier la migration du logiciel.

Savoir exactement quelles mises à jour manquent — en 3 minutes

L’Audit Flash Microdiag liste toutes les mises à jour manquantes, les classe par criticité CVSS, et indique le risque associé pour chaque poste.

Télécharger Microdiag Sentinel →

La bonne configuration Windows Update pour un contexte professionnel

Voici les paramètres recommandés pour un parc professionnel de 1 à 50 postes, sans serveur WSUS :

Via les paramètres Windows (poste par poste)

Paramètres → Windows Update → Options avancées

  • Recevoir les mises à jour pour d’autres produits Microsoft : Activé (couvre Office, .NET, Edge, Visual C++ Runtime…)
  • Télécharger les mises à jour via une connexion limitée : Désactivé (éviter la saturation de la bande passante)
  • Heure active : 8h–20h (le redémarrage automatique ne se déclenchera pas pendant ces heures)
  • Délai de qualité : 7 jours (recommandé — laisse le temps à Microsoft de corriger les éventuels bugs de patch)

Paramètres à ne pas activer

  • Suspendre les mises à jour : à utiliser uniquement pour 7 jours maximum avant une présentation critique, jamais en paramétrage permanent
  • Canaux Preview/Beta : réservés aux environnements de test, jamais en production

Logiciels tiers : l’angle mort

Windows Update ne couvre que les composants Microsoft. Les logiciels tiers — Chrome, Firefox, Teams, Adobe Reader, 7-Zip, VLC, WinRAR… — doivent être mis à jour séparément. La plupart des entreprises l’ignorent.

Microdiag Sentinel surveille l’état des versions de plus de 200 logiciels courants et vous alerte quand une mise à jour critique est disponible pour une application tierce. C’est une lacune majeure de Windows Defender et des antivirus classiques.

Gérer les mises à jour sur plusieurs postes

Pour un parc de plus de 5 postes, la gestion poste par poste devient impossible. Les options :

SolutionPour quiCoût
Windows Update paramétré + alertes Microdiag1–20 postes, pas de serveurInclus dans Essentiel
Microsoft Intune20+ postes avec Azure AD6–8€/poste/mois
WSUS (on-premise)PME avec serveur Windows ServerGratuit + infrastructure
Microdiag Business + Tour de ContrôleMulti-sites, gestion centraliséeSur devis

Pour la plupart des TPE-PME françaises, la combinaison Windows Update automatisé + surveillance Microdiag est le meilleur rapport qualité/prix : déploiement en 10 minutes par poste, zéro infrastructure serveur requise.

Que vérifier après chaque Patch Tuesday

À partir du deuxième mercredi de chaque mois, voici la routine recommandée :

  1. Consultez le Security Update Guide de Microsoft (security.microsoft.com) — identifiez les CVE critiques et zero-day du mois
  2. Vérifiez l’état des mises à jour sur tous vos postes (Microdiag affiche un tableau de bord centralisé)
  3. Priorisez les zero-day — déployez-les sans délai, même si vous appliquez normalement un délai de 7 jours
  4. Documentez — notez la date d’application sur chaque poste (utile pour votre assureur cyber et la CNIL)

Bonne pratique : Configurez une alerte email ou une notification Microdiag pour chaque CVE avec CVSS ≥ 9.0 publiée par Microsoft. Ces vulnérabilités critiques doivent être traitées dans les 48h, pas dans le prochain cycle de patch.

Le cas particulier de Windows 10 en fin de vie

Windows 10 sera hors support le 14 octobre 2025. Après cette date, Microsoft ne publiera plus de correctifs de sécurité, sauf pour les entreprises souscrivant aux ESU (Extended Security Updates) — payantes et limitées à 3 ans.

Si vous avez encore des postes sous Windows 10 :

  • Migration vers Windows 11 si le matériel le supporte (TPM 2.0 requis)
  • ESU Microsoft si la migration est impossible dans l’immédiat (coût : ~30€/poste/an la première année)
  • Isolation réseau pour les postes non migrables (pas d’accès Internet direct)

Microdiag identifie automatiquement les postes en fin de support dans son rapport d’audit.

Résumé — ce qui doit changer dès cette semaine

  • Vérifiez l’état des mises à jour sur chaque poste de votre parc
  • Configurez Windows Update en mode automatique avec délai 7 jours
  • Activez “Recevoir les mises à jour pour d’autres produits Microsoft”
  • Configurez les heures actives pour éviter les redémarrages en journée
  • Identifiez les postes sous Windows 10 — planifiez la migration ou l’ESU
  • Mettez en place une alerte pour les CVE critiques (CVSS ≥ 9.0)

Pour aller plus loin, consultez notre guide complet de maintenance et sécurité Windows 2026 et notre article sur la protection anti-ransomware.

Sources : Microsoft Security Update Guide, ANSSI Panorama de la menace 2025, NVD NIST, Verizon DBIR 2025. Article rédigé par l’équipe Microdiag Sentinel — mai 2026.

Vous avez trouvé cet article utile ?
LinkedIn
À lire également
Sécurité
EDR vs antivirus : quelle différence et lequel choisir pour votre PME ?

Antivirus, EDR, XDR, SIEM... la terminologie sécurité est un maquis. Ce guide démêle clairement ce que fait chaque outil, pourquoi ils sont complémentaires et comment choisir sans se ruiner.

Lire l'article
Sécurité
Sauvegardes immuables Object Lock S3 : la dernière ligne de défense contre le ransomware

Même un attaquant avec vos credentials admin ne peut pas supprimer une sauvegarde Object Lock. Comment fonctionne l'immuabilité S3, pourquoi c'est différent d'une sauvegarde classique, et comment Microdiag Business l'active par défaut.

Lire l'article
Sécurité
Ransomware en 2026 : comment protéger votre PME sans budget IT

Les ransomwares ont muté. Ils ne se contentent plus de chiffrer — ils volent, menacent et publient. Ce guide vous explique comment fonctionne une attaque moderne et comment construire une défense réaliste pour une structure de moins de 200 personnes.

Lire l'article