Comment le hotpatch Windows 11 corrige la faille RRAS : guide complet pour les entreprises

Dans un contexte où 45 % des entreprises françaises utilisent Windows 11 Enterprise (source : ANSSI, 2025), la découverte d’une vulnérabilité d’exécution de code à distance (RCE) dans le service Routing and Remote Access (RRAS) a suscité une alerte majeure. Microsoft a donc publié un hotpatch Windows 11 hors-cycle, identifié sous le numéro KB5084597, destiné aux appareils Enterprise recevant les mises à jour hotpatch. Cette article décortique la faille, le correctif OOB, ses implications opérationnelles et les meilleures pratiques de déploiement pour sécuriser vos infrastructures.

Comprendre la faille RRAS RCE dans Windows 11

Nature de la vulnérabilité

RRAS (Routing and Remote Access Service) est l’outil intégré de gestion des connexions réseau et VPN. En 2026, trois CVE critiques - CVE-2026-25172, CVE-2026-25173 et CVE-2026-26111 - ont été identifiés. Ils permettent à un attaquant authentifié sur le domaine de pousser un utilisateur joint au domaine à établir une connexion vers un serveur malveillant, déclenchant ainsi une exécution de code à distance via le snap-in RRAS. Selon le rapport de Microsoft, la vulnérabilité s’applique uniquement aux scénarios où des appareils Enterprise exécutent des hotpatchs et sont utilisés pour la gestion à distance de serveurs.

Scénarios d’exploitation en environnement d’entreprise

« Un attaquant qui a déjà un accès limité au domaine peut exploiter la faille en incitant un administrateur à lancer le snap-in RRAS contre un serveur contrôlé par l’attaquant », indique l’avis de sécurité.

Dans la pratique, les services critiques - par exemple les serveurs de fichiers ou les passerelles VPN - sont souvent maintenus en ligne 24 h/24. Un redémarrage planifié est parfois impossible, ce qui rend les hotpatchs indispensables pour appliquer rapidement des correctifs sans interruption.

Le correctif OOB : mise à jour hotpatch Windows 11 KB5084597

Contenu et portée du hotpatch

Le hotpatch KB5084597 est cumulatif : il intègre toutes les corrections du patch de sécurité de mars 2026 (publié le 10 mars) ainsi que les améliorations spécifiques aux scénarios hotpatch. Il cible les versions Windows 11 25H2, 24H2 et Enterprise LTSC 2024. Son mécanisme repose sur le in-memory patching : les processus en cours sont mis à jour sans redémarrage, tandis que les fichiers modifiés sont persistés sur disque pour le prochain démarrage.

Processus de déploiement via Windows Autopatch

Windows Autopatch gère automatiquement la distribution du hotpatch aux appareils inscrits au programme. Aucun redémarrage n’est requis pendant l’installation, mais les correctifs restent actifs après le prochain redémarrage naturel. Les administrateurs peuvent vérifier le statut du hotpatch avec PowerShell :

Get-HotPatchStatus -ComputerName "NomDuPC" | Format-Table -AutoSize

Cette commande renvoie la version appliquée, la date d’installation et la conformité aux critères de sécurité.

Impacts opérationnels et bonnes pratiques de mise à jour

Gestion des redémarrages critiques

Même si le hotpatch évite les redémarrages immédiats, 38 % des services critiques en France (source : Red Report 2026) déclarent que des fenêtres de maintenance planifiées restent nécessaires pour appliquer les mises à jour de disque. Protéger les smartphones Android exposés Il est recommandé de programmer des redémarrages pendant les créneaux de moindre activité ou d’utiliser des systèmes de basculement (failover) afin de garantir la continuité des services.

Intégration avec les stratégies de cybersécurité

« Intégrer les hotpatchs dans la chaîne de défense permet de réduire le temps moyen de correction (MTTC) de 72 heures à moins de 4 heures », indique l’ANSSI.

Les équipes doivent mettre à jour leurs politiques de gestion des correctifs pour inclure :

1. La catégorisation des appareils éligibles au hotpatch.
2. La surveillance continue du statut de conformité via des solutions SIEM.
3. La communication des incidents liés aux hotpatchs aux parties prenantes.

Mise en œuvre : étapes actionnables pour les administrateurs

1. Identifier les systèmes concernés : interroger le catalogue de logiciels pour repérer les machines exécutant Windows 11 25H2, 24H2 ou Enterprise LTSC 2024.
2. Vérifier l’inscription au programme hotpatch : via le portail Microsoft Endpoint Manager, confirmer que les appareils sont gérés par Windows Autopatch.
3. Déployer le hotpatch : autoriser la mise à jour OOB dans la console Autopatch ou lancer le script PowerShell ci-dessus en mode administrateur.
4. Surveiller la conformité : configurer des alertes dans le SIEM pour détecter tout appareil qui n’a pas reçu le hotpatch après 24 heures.
5. Planifier un redémarrage : pour les serveurs à haute disponibilité, programmer un redémarrage pendant la fenêtre de maintenance prévue afin de finaliser la persistance du correctif.

Comparatif des options de mise à jour - hotpatch vs mise à jour cumulative

Conclusion - sécuriser vos serveurs Windows 11 dès aujourd’hui

En 2026, les vulnérabilités RCE du service RRAS représentent une menace sérieuse pour les infrastructures d’entreprise, surtout lorsqu’elles touchent des systèmes qui ne peuvent pas être redémarrés rapidement. Le hotpatch Windows 11 KB5084597 offre une solution efficace, combinant rapidité d’application et persistance du correctif. Pour tirer pleinement parti de ce mécanisme, les équipes IT doivent : identifier les appareils éligibles, activer Windows Autopatch, surveiller la conformité et planifier judicieusement les redémarrages résiduels. En appliquant ces bonnes pratiques, vous réduirez considérablement le risque d’exploitation et garantirez la continuité de vos services critiques. Zombie zip, nouveau vecteur de malware