Secure Boot juin 2026 : vos serveurs Windows sont-ils prêts ? (Pas de mise à jour automatique)

Secure Boot juin 2026 : vos serveurs Windows sont-ils prêts ?

Suite à notre article sur l'expiration des certificats Secure Boot en juin 2026, une question est revenue systématiquement : "Et les serveurs, ils sont concernés ?"

Oui. Et c'est même plus critique que pour les postes de travail. La raison principale : contrairement aux PC, les serveurs Windows ne reçoivent pas les nouveaux certificats automatiquement. L'intervention manuelle d'un administrateur est obligatoire.

Quels serveurs Windows sont concernés ?

Toutes les versions encore en production sont affectées : Windows Server 2012 et 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022 et Windows Server 2025.

Seuls les serveurs construits depuis 2024-2025 et les installations Windows Server 2025 sur plateformes certifiées récentes intègrent déjà les certificats 2023 et sont protégés nativement.

Si votre infrastructure repose sur des serveurs 2016, 2019 ou 2022, ce qui représente l'immense majorité des parcs en production en 2026, vous êtes concerné.

La différence majeure avec les postes de travail

Pour les PC sous Windows 10 et 11, Microsoft déploie les nouveaux certificats via Windows Update de façon automatique, sous réserve que le firmware soit compatible. C'est imparfait, notamment pour les machines anciennes, mais le mécanisme existe.

Pour les serveurs, ce mécanisme n'existe pas. La mise à jour KB5081494, qui prépare la transition sur les postes de travail, ne règle pas le problème côté serveur. L'administrateur doit intervenir manuellement sur chaque serveur concerné.

Après juin 2026, les serveurs non mis à jour entreront dans un état de sécurité dégradé. Silencieusement. Sans message d'erreur. La protection boot-level disparaît, aucune alerte ne se déclenche, et la production continue comme si de rien n'était.

Ce qu'il faut faire maintenant, étape par étape

Microsoft a publié un playbook dédié aux serveurs pour accompagner cette transition. Voici les actions concrètes à mener avant juin 2026 :

Étape 1 , Mettre à jour le firmware de vos serveurs. Contactez votre constructeur (Dell, HP, Lenovo, HPE…) et vérifiez la disponibilité d'une mise à jour firmware UEFI intégrant les certificats 2023 pour chaque modèle en production. C'est le prérequis à toutes les autres actions.

Étape 2 , Appliquer manuellement les certificats CA 2023. Une fois le firmware à jour, les nouveaux certificats doivent être appliqués via une Group Policy ou un script de déploiement. Cette étape ne se fait pas automatiquement.

Étape 3 , Vérifier l'état via la clé de registre UEFICA2023Status. Microsoft a publié une clé de registre dédiée pour contrôler l'état de la transition sur chaque serveur. À intégrer dans vos audits de conformité et vos outils de supervision.

Étape 4 , Ne pas oublier les machines virtuelles Hyper-V de génération 2. Les VMs Gen 2 sous Hyper-V utilisent également Secure Boot. Elles doivent faire l'objet des mêmes vérifications que les serveurs physiques.

FAQ

Nos serveurs dans le cloud (Azure, AWS) sont-ils aussi concernés ? Les instances gérées par les providers cloud bénéficient généralement de mises à jour firmware automatiques de l'infrastructure sous-jacente. Vérifiez néanmoins avec votre provider la compatibilité de vos images et la politique de mise à jour appliquée à vos instances.

Que se passe-t-il concrètement si on ne fait rien avant juin 2026 ? Vos serveurs continuent de fonctionner normalement. Mais Secure Boot entre en état dégradé : plus aucun nouveau correctif contre les vulnérabilités de démarrage ne peut être appliqué. Les attaques de type bootkit et rootkit deviennent détectables uniquement si elles sont déjà connues, pas les nouvelles variantes.

Combien de temps prend cette mise à jour sur un parc de serveurs ? Cela dépend du nombre de serveurs, de leur constructeur et de la disponibilité des firmwares. Comptez en moyenne une à deux heures par serveur pour les vérifications, téléchargements et applications, plus les tests de validation. Sur un parc de dix serveurs, anticipez une à deux journées de travail administrateur.

Windows Server 2012 est en fin de support étendu. Faut-il quand même appliquer ces correctifs ? Windows Server 2012 et 2012 R2 sont en fin de support depuis octobre 2023. Si vous avez souscrit aux Extended Security Updates, les correctifs restent disponibles. Dans tous les cas, cette situation est l'occasion d'accélérer la migration vers une version supportée.

Comment savoir si notre firmware serveur est compatible avec les nouveaux certificats ? Le plus fiable est de consulter la base de support de votre constructeur avec le modèle exact de votre serveur. Microsoft publie également des outils de diagnostic dans son playbook dédié.

Conclusion : juin 2026 n'attend pas

Les serveurs Windows sont le cœur de l'infrastructure de la majorité des PME et collectivités. Un état de sécurité dégradé sur ces machines n'est pas une nuisance mineure, c'est une exposition réelle aux attaques les plus difficiles à détecter.

La bonne nouvelle : les actions à mener sont connues, documentées et réalisables avant l'échéance. La mauvaise : elles nécessitent une intervention manuelle sur chaque serveur concerné, et juin 2026 arrive vite.

Vous gérez des serveurs Windows en production et vous n'avez pas encore audité leur état Secure Boot ? Contactez notre équipe pour un premier échange sans engagement, nous pouvons auditer votre infrastructure et vous accompagner dans la mise en conformité avant l'échéance.