Windows Hotpatching : patcher sans redémarrer, c’est pour mai 2026

Ce que change le hotpatching pour les sysadmins

Depuis des années, la routine est la même : le deuxième mardi du mois, Microsoft publie ses correctifs de sécurité. Tu planifies une fenêtre de maintenance, tu préviens les utilisateurs, tu appliques les patchs, tu redémarres. Multiplié par 12, ça fait 12 redémarrages par an rien que pour les mises à jour de sécurité.

Le hotpatching change ça. Les correctifs de sécurité sont injectés directement en mémoire, dans les processus qui tournent déjà, sans toucher les fichiers disque. Le système est protégé immédiatement. Aucun redémarrage requis.

Comment ça fonctionne concrètement

Le principe est simple : au lieu de remplacer les fichiers système sur le disque (ce qui oblige Windows à recharger tout l'OS au redémarrage), le hotpatch modifie le code chargé en RAM. Les processus actifs reçoivent le patch à la volée, sans interruption.

Microsoft utilise cette technologie sur Azure depuis 2022. Elle est maintenant disponible pour Windows Server 2025 et Windows 11 24H2/25H2 en entreprise.

Concrètement, l'année se découpe ainsi :

• Janvier, avril, juillet, octobre → "Baseline update" : mise à jour classique qui nécessite un redémarrage. C'est le socle trimestriel.
• Les 8 autres mois → Hotpatch : patch de sécurité appliqué sans redémarrage.

Résultat : 12 redémarrages par an deviennent 4.

Ce qui vient de changer en mars 2026

Le 9 mars 2026, Microsoft a annoncé que le hotpatching sera activé par défaut dans Windows Autopatch à partir de mai 2026, pour tous les appareils éligibles qui n'ont pas de politique de mise à jour personnalisée.

Quelques jours plus tard, le 18 mars, Microsoft a poussé en urgence le hotpatch KB5079420 pour corriger trois failles d'exécution de code à distance (RCE) critiques dans Windows 11. Aucun redémarrage n'a été nécessaire sur les systèmes configurés pour recevoir des hotpatchs. Les mêmes correctifs, sur les systèmes classiques, ont nécessité un redémarrage.

C'est la première fois qu'on voit concrètement la différence en production sur une faille critique.

Quels sont les prérequis

Le hotpatching n'est pas disponible pour tout le monde. Voici les conditions :

• OS : Windows 11 24H2 ou 25H2 / Windows Server 2025
• Gestion : appareil géré via Microsoft Intune ou API Windows Autopatch
• Virtualisation : fonctionne très bien sur VM (Azure, Hyper-V, VMware)
• Processeur : compatible VBS (Virtualization Based Security)

Les appareils qui ne remplissent pas ces critères continuent à recevoir les mises à jour classiques avec redémarrage. Microsoft le gère automatiquement.

Ce que ça change vraiment pour ton infra

Moins de fenêtres de maintenance planifiées. Moins de coordination avec les équipes métier pour les redémarrages. Moins de risques liés aux redémarrages non anticipés sur des serveurs critiques.

Et surtout : quand Microsoft corrige une CVE critique en urgence, ton système est protégé en quelques minutes, sans attendre la prochaine fenêtre de maintenance.

Pour les environnements de production avec des contraintes de disponibilité élevées, c'est un changement concret. Pas révolutionnaire, mais utile.

Comment vérifier si tu es éligible

Si tu gères ton parc via Intune, ouvre le centre d'administration Microsoft Intune → Appareils → Windows → Mises à jour de qualité. Si tu vois l'option hotpatch disponible pour tes appareils Windows 11 24H2/25H2 ou Server 2025, tu peux l'activer dès maintenant sans attendre mai 2026.

À partir de mai 2026, ce sera le comportement par défaut pour tous les appareils éligibles gérés par Autopatch.