Depuis le 23 juin 2025, Microsoft permet d’installer certaines mises à jour de sécurité sur Windows 11 sans redémarrage. Mais avant que vous ne sautiez de joie trop vite : cette nouveauté ne concerne pas les particuliers, mais les entreprises qui gèrent leurs appareils avec Microsoft Intune ou Windows Autopatch.
Bonne nouvelle quand même si vous êtes admin IT : avec le hotpatch, vous pouvez corriger des failles critiques tout en évitant d’interrompre les utilisateurs. Et comme ce n’est pas activé partout par défaut, on vous montre comment faire.
C’est quoi exactement, le hotpatch de Windows 11 ?
Le hotpatch, c’est une méthode de mise à jour qui permet d’appliquer des correctifs de sécurité sans redémarrer la machine. Concrètement, les fichiers système sont modifiés à chaud, pendant que Windows continue de tourner. Une technique déjà utilisée depuis un moment sur les serveurs Azure, et qui débarque enfin sur les PC sous Windows 11 Enterprise.
Mais attention, on ne parle pas ici d’un remplacement complet des mises à jour classiques. Le hotpatch s’intègre dans le cycle habituel :
- quatre fois par an, une mise à jour de base (appelée « baseline ») reste nécessaire, avec redémarrage au passage,
- le reste du temps, les correctifs de sécurité peuvent être appliqués via le hotpatch, en toute discrétion.
C’est donc une solution bien plus pratique pour garder les machines à jour, sans déranger les utilisateurs toutes les deux semaines.
Ce qu’il faut pour que ça fonctionne
Avant d’activer quoi que ce soit, il faut s’assurer que les appareils sont compatibles. Et comme toujours avec Microsoft, il y a quelques conditions à remplir. Voici la liste :
- Windows 11 Enterprise, version 24H2 minimum
Le hotpatch ne fonctionne pas sur les éditions Famille ou Pro. - Gestion des appareils via Microsoft Intune
Ou via Windows Autopatch, si c’est ce que vous utilisez déjà. - Virtualization Based Security (VBS) activé
C’est un prérequis indispensable pour que le hotpatch soit pris en charge. - Appareils à jour avec une baseline cumulative
Microsoft en déploie une tous les trois mois (janvier, avril, juillet, octobre). Il faut que celle-ci soit installée, sinon le hotpatch ne se déclenchera pas. - Sur ARM64 : CHPE doit être désactivé
Le hotpatch est dispo en aperçu public sur ces machines, mais il faut désactiver ce composant pour que ça fonctionne (on en reparle plus bas).
À noter que si vous créez une nouvelle politique de mise à jour de qualité à partir du 23 juin 2025, le hotpatch est activé automatiquement. Pour les politiques déjà existantes, il faudra l’activer manuellement (Source).
Activer le hotpatch dans une politique Intune
Si vous utilisez déjà Microsoft Intune pour gérer les mises à jour, il suffit de modifier une politique existante pour activer le hotpatch. Rien de bien compliqué, encore faut-il savoir où cliquer. Voici comment faire :
- Connectez-vous à Microsoft Intune.
- Dans le menu de gauche, allez dans Appareils > Mises à jour Windows > Mises à jour de qualité.
- Sélectionnez la politique que vous utilisez déjà.
- Cliquez sur « Modifier » pour accéder aux paramètres.
- Activez l’option : « Appliquer sans redémarrer lorsque c’est possible (hotpatch) ».
- Enregistrez les modifications.
Et c’est tout. Si vos appareils sont compatibles, les prochaines mises à jour de sécurité passeront automatiquement par le hotpatch, sans redémarrage.
💡 À savoir si vous utilisez Windows Autopatch : Si vous passez par Windows Autopatch, il est recommandé de créer une stratégie de mise à jour spécifique pour le hotpatch, plutôt que de modifier une politique existante.
Lors de la création, vous devrez simplement activer l’option « Appliquer sans redémarrer lorsque c’est possible (hotpatch) », puis attribuer la stratégie aux appareils concernés.
Cela n’affecte pas les paramètres de report des mises à jour que vous avez déjà définis. Les appareils non compatibles recevront quant à eux les mises à jour cumulatives classiques. (Source)
Suivre le déploiement des mises à jour hotpatch
Une fois le hotpatch activé, encore faut-il vérifier que tout se passe bien. Pour ça, Microsoft propose un rapport dédié dans Intune. Il permet de suivre l’état des mises à jour hotpatch sur l’ensemble de vos appareils gérés.
Voici comment y accéder :
- Dans le Centre d’administration Intune, rendez-vous dans Rapports > Mises à jour Windows > Mises à jour de qualité (hotpatch).
- Sélectionnez le rapport intitulé « Mises à jour de qualité Hotpatch ».
- Consultez les informations disponibles : appareils concernés, statut de la mise à jour, éventuelles erreurs, etc.
Le rapport est mis à jour automatiquement toutes les 4 heures, ce qui permet de garder un œil régulier sur le bon déroulement des déploiements.
Comment fonctionne le cycle de mise à jour avec le hotpatch ?
Le hotpatch ne remplace pas complètement les mises à jour classiques, il vient juste s’y greffer. Microsoft a mis en place un rythme bien défini : tous les trois mois, une mise à jour « baseline » est déployée, avec redémarrage obligatoire. Entre ces mises à jour de base, ce sont les hotpatchs qui prennent le relais.
Voici comment ça se découpe dans l’année :
| Mois | Type de mise à jour |
|---|---|
| Janvier | Baseline (redémarrage requis) |
| Février | Hotpatch (pas de redémarrage) |
| Mars | Hotpatch |
| Avril | Baseline |
| Mai | Hotpatch |
| Juin | Hotpatch |
| Juillet | Baseline |
| Août | Hotpatch |
| Septembre | Hotpatch |
| Octobre | Baseline |
| Novembre | Hotpatch |
| Décembre | Hotpatch |
Et pour les appareils ARM64 ?
Sur les machines équipées d’un processeur ARM64, le hotpatch est également disponible, mais avec une petite particularité : il faut désactiver CHPE (pour « Coalesced Hot Patching Executable »). Ce composant empêche le hotpatch de fonctionner correctement sur ces appareils.
Deux options pour désactiver CHPE :
1. Via le registre (manuellement)
- Ouvrez l’Éditeur du Registre
- Allez dans la clé suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\kernel- Créez une nouvelle valeur DWORD nommée DisableCHPE
- Donnez-lui la valeur 1
- Redémarrez la machine
2. Via Intune (avec une stratégie personnalisée)
- Créez un profil de configuration avec un paramètre OMA-URI
- Utilisez la clé suivante :
./Device/Vendor/MSFT/Policy/Config/CustomPolicy/DisableCHPE- Attribuez la valeur 1 (DWORD)
- Déployez la politique sur les appareils ARM concernés
Une fois CHPE désactivé, le hotpatch peut être activé comme sur les machines Intel ou AMD.
En résumé
Avec l’arrivée du hotpatch, Microsoft propose enfin une solution plus souple pour appliquer les mises à jour de sécurité sur Windows 11, sans imposer de redémarrage à chaque fois. Pour les admins IT, c’est un vrai plus : les postes restent protégés, les utilisateurs ne sont pas coupés en plein travail et le tout se gère facilement depuis Intune.
Si vos appareils répondent aux conditions (version 24H2, Intune, VBS, etc.), ça vaut clairement le coup d’activer cette option. Et pour les nouveaux déploiements créés après le 23 juin 2025, c’est encore plus simple : le hotpatch est activé par défaut.
