Xytherion Tools
Retour au blog
sécurité17 min de lecture7 juin 2026

Sécuriser Windows 11 : le guide complet

BitLocker, Defender, pare-feu, UAC, désactivation de la télémétrie, contrôle des applications, chiffrement des communications — tout ce qu'il faut faire pour durcir Windows 11.

Windows 11 est livré avec des paramètres de sécurité souvent insuffisants et une télémétrie agressive. Ce guide vous explique comment durcir un poste Windows 11 de manière méthodique : chiffrement du disque, pare-feu, contrôle des applications, réduction de la surface d'attaque et protection de la vie privée.

1. Mises à jour Windows — la base non négociable

La majorité des compromissions exploitent des vulnérabilités connues avec un patch disponible. Maintenir Windows à jour est l'action de sécurité avec le meilleur rapport effort/impact.

powershell
# Vérifier les mises à jour en attente via PowerShell
Get-WindowsUpdate  # Nécessite le module PSWindowsUpdate

# Forcer la recherche et installation de toutes les MAJ
Install-WindowsUpdate -AcceptAll -AutoReboot

# Vérifier la date de la dernière MAJ
Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 5
  • Activez les mises à jour automatiques — Paramètres → Windows Update → Options avancées
  • Activez les mises à jour pour d'autres produits Microsoft (Office, Defender...)
  • Ne repoussez pas les redémarrages indéfiniment — planifiez-les en dehors des heures de travail
  • Vérifiez régulièrement le Catalogue Microsoft Update pour les patches critiques

2. BitLocker — Chiffrement du disque complet

Sans chiffrement du disque, n'importe qui avec un accès physique à votre machine peut lire toutes vos données en bootant sur une clé USB Linux. BitLocker protège vos données au repos.

powershell
# Vérifier l'état de BitLocker
manage-bde -status

# Activer BitLocker sur le lecteur C:
Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly -TpmProtector

# Sauvegarder la clé de récupération (OBLIGATOIRE)
Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId (Get-BitLockerVolume -MountPoint "C:").KeyProtector[0].KeyProtectorId

# Exporter la clé de récupération en fichier texte
(Get-BitLockerVolume -MountPoint "C:").KeyProtector | Where-Object {$_.KeyProtectorType -eq "RecoveryPassword"} | Select-Object RecoveryPassword

Sauvegardez impérativement votre clé de récupération BitLocker — sur papier, dans un gestionnaire de mots de passe ou sur votre compte Microsoft. Sans elle, vous perdrez définitivement l'accès à vos données si le TPM échoue.

  • BitLocker est disponible sur Windows 11 Pro, Enterprise et Education
  • Windows 11 Home : utilisez VeraCrypt comme alternative gratuite et open-source
  • Choisissez XTS-AES 256 bits (paramètre par défaut depuis Windows 10 1511)
  • Activez aussi BitLocker sur les disques externes et clés USB (BitLocker To Go)

3. Windows Defender — Configuration avancée

Windows Defender est désormais un antivirus compétent — mais ses paramètres par défaut ne sont pas maximaux. Voici comment l'optimiser.

powershell
# Activer la Protection en temps réel (doit être activée)
Set-MpPreference -DisableRealtimeMonitoring $false

# Activer la protection basée sur le cloud (MAPS)
Set-MpPreference -MAPSReporting Advanced
Set-MpPreference -SubmitSamplesConsent SendAllSamples

# Activer la Protection contre les falsifications (empêche malwares de désactiver Defender)
# Via GUI : Sécurité Windows → Protection contre les virus → Paramètres de protection

# Activer le blocage à la première détection
Set-MpPreference -DisableBlockAtFirstSeen $false

# Activer les règles ASR (Attack Surface Reduction) — crucial
# Bloquer les macros Office depuis Internet
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
# Bloquer l'exécution de scripts obfusqués
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
# Bloquer les processus enfants depuis Office
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917-57927947596D -AttackSurfaceReductionRules_Actions Enabled

Les règles ASR (Attack Surface Reduction) sont l'une des mesures les plus efficaces contre les malwares modernes. Elles bloquent des techniques d'attaque courantes — macros malveillantes, scripts PowerShell obfusqués, persistence via registre — avant même que Defender détecte une signature.

4. Pare-feu Windows — Durcissement

powershell
# Vérifier l'état du pare-feu sur tous les profils
Get-NetFirewallProfile | Select-Object Name, Enabled, DefaultInboundAction, DefaultOutboundAction

# Activer le pare-feu sur tous les profils
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled True

# Configurer le profil Public en mode strict
Set-NetFirewallProfile -Profile Public -DefaultInboundAction Block -DefaultOutboundAction Allow

# Bloquer les connexions entrantes non sollicitées sur tous les profils
Set-NetFirewallProfile -Profile Domain,Public,Private -DefaultInboundAction Block

# Lister les règles entrantes actives
Get-NetFirewallRule -Direction Inbound -Enabled True | Select-Object DisplayName, Action, Profile
  • Profil Public : appliquer les règles les plus strictes (WiFi public, café, hôtel)
  • Profil Privé : légèrement plus permissif pour le réseau local
  • Désactivez les règles de partage de fichiers/imprimantes si vous n'en avez pas besoin
  • Bloquez l'accès entrant de toutes les applications non essentielles

5. UAC — Contrôle de compte utilisateur

L'UAC (User Account Control) demande une confirmation pour chaque action nécessitant des droits administrateur. Beaucoup d'utilisateurs le désactivent par confort — c'est une erreur de sécurité significative.

powershell
# Vérifier le niveau UAC actuel (4 = max, 0 = désactivé)
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -Name ConsentPromptBehaviorAdmin

# Mettre UAC au niveau maximum
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -Name ConsentPromptBehaviorAdmin -Value 2
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -Name EnableLUA -Value 1

Créez un compte utilisateur standard pour votre usage quotidien et réservez le compte administrateur uniquement pour les opérations qui en ont besoin. La plupart des malwares s'exécutent avec les droits de l'utilisateur courant — un compte standard limite considérablement les dégâts.

6. Désactiver la télémétrie et réduire la surface d'exposition

powershell
# Désactiver la télémétrie (niveau minimal)
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection" -Name AllowTelemetry -Value 0

# Désactiver la publicité ciblée
Set-ItemProperty -Path "HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\AdvertisingInfo" -Name Enabled -Value 0

# Désactiver le suivi d'activité (Timeline)
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\System" -Name EnableActivityFeed -Value 0

# Désactiver l'envoi de diagnostics à Microsoft
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\DataCollection" -Name AllowTelemetry -Value 0

# Désactiver les suggestions et apps sponsorisées dans le menu Démarrer
Set-ItemProperty -Path "HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\ContentDeliveryManager" -Name SubscribedContent-338388Enabled -Value 0

L'outil O&O ShutUp10++ offre une interface graphique pour désactiver la télémétrie et les options de suivi Windows en un clic, avec des explications pour chaque paramètre. Gratuit et portable.

7. Contrôle des applications et AppLocker

AppLocker (Windows Enterprise/Education) et Windows Defender Application Control (WDAC) permettent de restreindre les applications qui peuvent s'exécuter sur le système.

powershell
# Configurer une politique AppLocker basique (Enterprise/Education)
# Autoriser uniquement les applications signées Microsoft et depuis Program Files
$policy = Get-AppLockerPolicy -Effective
Set-AppLockerPolicy -XmlPolicy applockerPolicy.xml

# Alternative : Smart App Control (Windows 11 22H2+)
# Paramètres → Confidentialité et sécurité → Sécurité Windows → Contrôle des applications
# Active le blocage des apps non signées ou peu réputées

8. Gestionnaire de mots de passe et MFA

  • Utilisez un gestionnaire de mots de passe (Bitwarden open-source recommandé, ou KeePassXC local)
  • Activez Windows Hello (PIN, empreinte, reconnaissance faciale) — plus sécurisé qu'un mot de passe classique contre les keyloggers
  • Activez le MFA sur votre compte Microsoft — Paramètres → Compte → Options de connexion
  • Utilisez une application TOTP (Aegis sur Android, Raivo sur iOS) plutôt que des SMS
  • Ne réutilisez jamais un mot de passe — un mot de passe unique par service

9. Chiffrement des communications

  • Utilisez Signal ou Element/Matrix pour les communications sensibles
  • Activez HTTPS partout via l'extension HTTPS Everywhere ou les paramètres HTTPS-only de Firefox/Chrome
  • Utilisez GPG/GnuPG pour chiffrer des fichiers ou des emails sensibles
  • Configurez votre client mail avec S/MIME ou GPG pour les emails confidentiels

10. Audit et monitoring

powershell
# Activer l'audit des connexions (succès et échecs)
AuditPol /set /subcategory:"Logon" /success:enable /failure:enable
AuditPol /set /subcategory:"Account Lockout" /success:enable /failure:enable

# Activer l'audit des créations de processus (détecter exécutions suspectes)
AuditPol /set /subcategory:"Process Creation" /success:enable

# Activer l'audit des modifications de registre
AuditPol /set /subcategory:"Registry" /success:enable /failure:enable

# Consulter les événements de connexion suspects
Get-EventLog -LogName Security -InstanceId 4625 -Newest 50 | Select-Object TimeGenerated, Message

Installez Sysmon (Microsoft Sysinternals) sur vos machines Windows — il enrichit considérablement les logs avec des informations sur les processus, connexions réseau et modifications du registre. Indispensable pour la détection d'intrusion et la réponse à incident.

Sources & références

  1. 1
    Microsoft — Security baseline Windows 11 22H2

    Configuration de sécurité recommandée par Microsoft pour Windows 11 en environnement entreprise

  2. 2
    CIS Benchmark Windows 11

    Référentiel CIS de durcissement Windows 11 avec plus de 300 recommandations

  3. 3
    NSA — Windows 11 Hardening Guide

    Guide de la NSA pour la sécurisation des postes Windows

  4. 4
    O&O ShutUp10++ — Outil de vie privée Windows

    Outil gratuit pour désactiver la télémétrie et les paramètres de surveillance Windows

  5. 5
    Microsoft — Attack Surface Reduction Rules Reference

    Documentation complète des 16 règles ASR de Windows Defender

#windows#sécurité#bitlocker#defender#hardening#vie-privée

Testez vos configurations

Xytherion Tools propose des outils gratuits pour vérifier vos DNS, auditer votre SSL, tester SPF/DKIM/DMARC et bien plus — directement depuis votre navigateur.

Tous les articles
Sécuriser Windows 11 : le guide complet — Xytherion Tools