Certificats Secure Boot : ce qui change en juin 2026 pour votre parc Windows

Certificats Secure Boot : ce qui change en juin 2026 pour votre parc Windows

Il y a des échéances silencieuses en cybersécurité. Celles dont personne ne parle, jusqu'au jour où elles créent des failles réelles dans des centaines de milliers d'entreprises. Juin 2026 en fait partie.

Dans trois mois, les certificats qui protègent le démarrage de vos PC Windows arrivent à expiration. Sans action de votre part, vos machines continueront de démarrer normalement. Mais elles entreront dans ce que Microsoft appelle un "état de sécurité dégradé", silencieusement, sans message d'erreur.

Secure Boot : à quoi ça sert concrètement ?

Avant même que Windows se charge, votre PC exécute une vérification critique : s'assurer que rien de malveillant ne s'est glissé dans le processus de démarrage. C'est le rôle de Secure Boot.

Cette protection est votre première ligne de défense contre les attaques les plus dangereuses et les plus difficiles à détecter : les rootkits, les bootkits, les malwares persistants. Ces menaces s'installent avant que votre antivirus ne démarre, ce qui les rend quasiment invisibles une fois en place. Sans Secure Boot actif et à jour, votre antivirus ne les verra jamais.

Ce qui expire en juin 2026

Trois certificats Microsoft datant de 2011 arrivent simultanément à expiration :

Microsoft Corporation KEK CA 2011, Microsoft UEFI CA 2011 et Microsoft Windows Production PCA 2011.

Ces certificats sont au cœur du mécanisme Secure Boot sur la quasi-totalité des PC Windows en circulation. Leur expiration ne provoque pas de panne. Votre PC démarre. Tout semble normal. Mais la protection boot-level disparaît, et aucun nouveau correctif contre les vulnérabilités de démarrage ne peut plus être appliqué. La porte est ouverte, personne ne le voit.

Microsoft a publié le 26 mars 2026 la mise à jour KB5081494 pour préparer cette transition. Elle se déploie automatiquement, sans redémarrage requis, sur les machines qui reçoivent encore les mises à jour Windows.

Le problème pour les PME : les machines anciens

La bonne nouvelle, c'est que Microsoft gère la transition automatiquement via Windows Update pour les PC à jour et dont le firmware est compatible.

La mauvaise nouvelle, c'est que les PC dont le firmware n'a pas été mis à jour par le constructeur ne recevront peut-être jamais ces nouveaux certificats. Et dans une PME avec un parc hétérogène comportant des machines de cinq à huit ans d'âge, c'est souvent la norme, pas l'exception.

Un PC de 2017 ou 2018 sous Windows 10 ou 11, correctement maintenu côté logiciel, peut très bien avoir un firmware UEFI qui ne sera jamais mis à jour par son constructeur. Ce poste sera silencieusement exclu de la protection Secure Boot après juin 2026, sans que vous en soyez informé.

Ce que vous devez faire avant juin 2026

La question clé à vous poser dès aujourd'hui : savez-vous quels postes de votre parc ont un firmware compatible avec les nouveaux certificats ?

Si la réponse est non, voici les étapes prioritaires :

Inventaire du parc. Identifiez les machines de plus de cinq ans et vérifiez leur modèle exact. La compatibilité dépend du constructeur et du modèle, pas uniquement de l'âge.

Vérification des mises à jour firmware. Pour chaque modèle identifié, consultez le site du constructeur (Dell, HP, Lenovo, etc.) pour savoir si une mise à jour UEFI intégrant les nouveaux certificats a été publiée.

Déploiement de KB5081494. Vérifiez que cette mise à jour a bien été appliquée sur l'ensemble de vos postes via votre outil de gestion des mises à jour.

Anticipation du renouvellement matériel. Pour les machines incompatibles sans mise à jour firmware disponible, juin 2026 est une bonne occasion d'anticiper le remplacement plutôt que de subir la situation.

FAQ

Mon PC continuera-t-il de fonctionner après juin 2026 si je ne fais rien ? Oui, il démarrera normalement. Mais il entrera dans un état de sécurité dégradé : Secure Boot ne pourra plus être mis à jour, et votre protection contre les attaques de type bootkit sera compromise, sans aucun message d'avertissement.

Comment savoir si ma machine est concernée ? Les machines récentes dont le firmware est régulièrement mis à jour et qui reçoivent Windows Update sont généralement protégées automatiquement. Les machines de plus de cinq ans dont le firmware n'a pas été touché depuis l'achat sont les plus à risque.

La mise à jour KB5081494 suffit-elle ? Elle prépare la transition côté Windows, mais elle ne remplace pas la mise à jour firmware UEFI nécessaire sur les machines anciennes. Les deux sont complémentaires.

Est-ce que cela concerne aussi les serveurs Windows ? Oui. Tout système Windows utilisant Secure Boot est potentiellement concerné, postes de travail comme serveurs. L'impact sur un serveur peut être encore plus critique.

Un audit peut-il identifier les machines vulnérables dans mon parc ? Oui, c'est précisément ce que permet un audit de sécurité des postes de travail : cartographier l'état réel de votre parc, identifier les machines exposées et prioriser les actions correctives.

Conclusion : juin 2026, c'est dans trois mois

Les échéances silencieuses sont souvent les plus dangereuses. Elles ne déclenchent pas d'alerte, n'interrompent pas la production, et passent inaperçues jusqu'à ce qu'un incident révèle la faille.

Savez-vous précisément combien de postes de votre parc seront en état de sécurité dégradé après juin 2026 ? Si vous n'avez pas la réponse, c'est le bon moment pour le vérifier. Contactez notre équipe pour un premier échange sans engagement, pour un audit de votre parc avant l'échéance.