← Retour aux articles

Sécuriser Windows 11 - Guide Complet de Sécurité

📅 2 avril 2026 ⏱️ 12 min 🏷️ Sécurité

Windows 11 embarque de nombreux outils de sécurité, mais la plupart restent mal configurés par défaut. Ce guide vous accompagne pas à pas pour sécuriser Windows 11 en profondeur : pare-feu avancé, Windows Defender, BitLocker, Windows Hello et protection contre les exploits.

1. Configurer Windows Defender pour une protection maximale

Microsoft Defender Antivirus est désormais un antivirus performant, à condition d'activer toutes ses couches de protection. Le mode cloud et la soumission automatique d'échantillons permettent une détection en temps réel des menaces émergentes.

# Activer la protection avancée de Windows Defender
Set-MpPreference -DisableRealtimeMonitoring $false
Set-MpPreference -MAPSReporting Advanced
Set-MpPreference -SubmitSamplesConsent SendAllSamples
Set-MpPreference -PUAProtection Enabled
Set-MpPreference -CloudBlockLevel High
Set-MpPreference -CloudExtendedTimeout 50

Write-Host "Windows Defender configuré en protection maximale" -ForegroundColor Green

2. Renforcer les règles du pare-feu Windows

Le pare-feu Windows Defender offre un filtrage puissant du trafic réseau. Par défaut, les connexions sortantes sont autorisées, ce qui laisse passer des communications indésirables. Configurez des règles strictes pour contrôler le trafic entrant et sortant.

# Activer le pare-feu sur tous les profils et bloquer les connexions entrantes par défaut
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled True
Set-NetFirewallProfile -Profile Public -DefaultInboundAction Block
Set-NetFirewallProfile -Profile Public -DefaultOutboundAction Allow

# Activer la journalisation du pare-feu
Set-NetFirewallProfile -Profile Domain,Public,Private `
-LogAllowed True -LogBlocked True `
-LogFileName "%SystemRoot%\System32\LogFiles\Firewall\pfirewall.log" `
-LogMaxSizeKilobytes 4096

Write-Host "Pare-feu renforcé avec journalisation activée" -ForegroundColor Green

3. Activer le chiffrement BitLocker

BitLocker chiffre l'intégralité de votre disque système, protégeant vos données même en cas de vol physique de l'appareil. Il s'appuie sur le module TPM 2.0, requis par Windows 11, pour stocker les clés de chiffrement de façon sécurisée.

# Vérifier le statut de BitLocker
Get-BitLockerVolume -MountPoint "C:" | Select-Object MountPoint, VolumeStatus, EncryptionPercentage

# Activer BitLocker sur le lecteur système
Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly `
-TpmProtector

# Sauvegarder la clé de récupération dans Active Directory (ou fichier)
$BLV = Get-BitLockerVolume -MountPoint "C:"
Backup-BitLockerKeyProtector -MountPoint "C:" `
-KeyProtectorId $BLV.KeyProtector[1].KeyProtectorId

Write-Host "BitLocker activé avec chiffrement AES-256" -ForegroundColor Green
⚠️ Attention : Sauvegardez impérativement votre clé de récupération BitLocker dans un emplacement sûr (compte Microsoft, clé USB, impression papier). Sans cette clé, vos données seront irrécupérables en cas de problème avec le TPM.

4. Configurer Windows Hello et l'authentification renforcée

Windows Hello remplace les mots de passe par une authentification biométrique (empreinte digitale, reconnaissance faciale) ou un code PIN lié au matériel. Cette méthode est plus sûre qu'un mot de passe classique car les identifiants ne quittent jamais l'appareil.

Pour renforcer encore la sécurité, activez le verrouillage dynamique qui verrouille automatiquement votre PC lorsque votre téléphone Bluetooth s'éloigne :

  • Ouvrez Paramètres > Comptes > Options de connexion
  • Configurez Windows Hello (PIN, empreinte ou visage)
  • Activez le Verrouillage dynamique avec un appareil Bluetooth appairé

5. Durcir le contrôle de compte utilisateur (UAC)

Le contrôle de compte utilisateur empêche les applications d'obtenir des privilèges administrateur sans votre consentement. Réglez l'UAC au niveau maximal pour être averti de toute modification système, même si cela génère plus de notifications.

# Régler l'UAC au niveau maximal
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" `
-Name "ConsentPromptBehaviorAdmin" -Value 2
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" `
-Name "PromptOnSecureDesktop" -Value 1
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" `
-Name "EnableLUA" -Value 1

Write-Host "UAC configuré au niveau maximal" -ForegroundColor Green

6. Activer la protection contre les exploits (ASR)

Les règles de réduction de la surface d'attaque (ASR) bloquent les vecteurs d'infection les plus courants : macros Office malveillantes, scripts obfusqués, vol d'identifiants et exécution de processus enfants suspects. Ces règles sont essentielles contre les ransomwares.

# Activer les règles ASR (Attack Surface Reduction)
# Bloquer le contenu exécutable des clients e-mail et webmail
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 `
-AttackSurfaceReductionRules_Actions Enabled

# Bloquer les processus non approuvés lancés depuis des clés USB
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7-1C7EF74A9BA4 `
-AttackSurfaceReductionRules_Actions Enabled

# Bloquer le vol d'identifiants Windows (lsass.exe)
Add-MpPreference -AttackSurfaceReductionRules_Ids 9E6C4E1F-7D60-472F-BA1A-A39EF669E4B2 `
-AttackSurfaceReductionRules_Actions Enabled

Write-Host "Règles ASR activées avec succès" -ForegroundColor Green

7. Vérifier le Secure Boot et l'intégrité du démarrage

Le Secure Boot garantit que seuls les logiciels signés et approuvés s'exécutent au démarrage de votre PC, empêchant les rootkits et bootkits de compromettre le système avant même le chargement de Windows. Vérifiez son état depuis PowerShell :

  • Secure Boot : empêche le chargement de pilotes non signés au démarrage
  • TPM 2.0 : stocke les clés cryptographiques et mesure l'intégrité du boot
  • Intégrité de la mémoire : isole les processus critiques via la virtualisation

Activez l'intégrité de la mémoire dans Paramètres > Confidentialité et sécurité > Sécurité Windows > Sécurité de l'appareil > Isolation du noyau.

💡 Conseil : Exécutez Confirm-SecureBootUEFI dans PowerShell pour vérifier que le Secure Boot est bien actif. La commande retourne True si tout est correctement configuré.
🏅 Certification Security+ : Validez vos connaissances en sécurité avec la CompTIA Security+ (SY0-701) — préparation 100% gratuite sur CertifExpress.
🔒 Besoin d'un audit de sécurité professionnel ? Les experts en cybersécurité d'Ayi NEDJIMI Consultants réalisent des pentests et audits de sécurité pour protéger votre infrastructure.

🛡️ Sécurisez votre PC en un clic

WindowsBooster applique automatiquement toutes ces protections avec le profil Sécurité. Pare-feu, Defender, ASR et UAC configurés en quelques secondes.

Lancer WindowsBooster

Conclusion

La sécurité de Windows 11 repose sur une approche multicouche : antivirus, pare-feu, chiffrement, authentification forte et protection contre les exploits. En appliquant chacune de ces configurations, vous réduisez considérablement votre surface d'attaque. Complétez ce guide avec notre article sur le pare-feu Windows 11 et les règles avancées et la désactivation de la télémétrie.

🐦 Twitter 💼 LinkedIn 📘 Facebook

📚 Articles connexes

Pare-feu Windows 11

Règles avancées et configuration complète.

 Désactiver la télémétrie

Protégez votre vie privée sur Windows 11.

 Scripts Confidentialité

Scripts gratuits pour renforcer votre PC.