WSUS pour PME : centraliser et automatiser le patching Windows pas à pas

Plus de 80 % des compromissions Windows en PME exploitent une vulnérabilité corrigée depuis plus de 30 jours. Le coupable : un patching irrégulier, des postes laissés à eux-mêmes, l’absence de pilotage central. WSUS (Windows Server Update Services) centralise les mises à jour Windows en interne : un seul serveur télécharge les patches depuis Microsoft, les approuve, et les distribue aux postes et serveurs du LAN. Économie de bande passante, contrôle de ce qui est déployé, traçabilité des installations. Bien que Microsoft ait déprécié WSUS en septembre 2024, le service reste pleinement fonctionnel et supporté pendant tout le cycle de vie de Windows Server 2025 — c’est encore aujourd’hui le moyen le plus pragmatique de gérer un parc Windows en PME sans abonnement cloud.

Ce tutoriel installe WSUS sur un serveur dédié, configure la synchronisation avec Microsoft Update, crée des groupes d’ordinateurs (pilote, production), pose les GPO clientes, et automatise les approbations. Panorama : Windows Server 2025 et Active Directory pour PME.

Prérequis

• Un serveur Windows Server 2025 dédié WSUS (idéalement membre du domaine, pas un DC). Pour 50-200 postes, 4 vCPU, 8 Go de RAM, 200 Go de disque suffisent.
• Un compte Domain Admin et accès Internet sortant HTTP/HTTPS depuis le serveur WSUS vers Microsoft Update.
• Un volume de données distinct (D:\WSUS) — la base de patches grossit à 100 Go en quelques mois.
• Comprendre que WSUS est déprécié mais supporté ; envisager Intune + Windows Autopatch sur le long terme.
• Niveau attendu : intermédiaire.
• Temps estimé : 1 heure pour l’installation, 2 à 6 heures pour la synchronisation initiale.

Étape 1 — Installer le rôle WSUS

Sur le serveur dédié, installer le rôle UpdateServices avec sa base de données interne (WID, Windows Internal Database) pour une PME — l’option SQL Server existe mais ajoute de la complexité sans bénéfice à cette échelle.

Install-WindowsFeature -Name UpdateServices -IncludeManagementTools

# Créer le dossier de stockage des updates
mkdir D:\WSUS -Force | Out-Null

# Initialiser WSUS (post-installation)
& "$env:ProgramFiles\Update Services\Tools\WsusUtil.exe" `
  postinstall CONTENT_DIR=D:\WSUS

La post-installation prend 5 à 10 minutes. Elle initialise la base WID, crée le site IIS WSUS Administration, et configure les répertoires de contenu. Vérifier :

Get-Service WsusService
Get-Website -Name 'WSUS Administration'

Les deux doivent être Running.

Étape 2 — Configurer la première synchronisation

Lancer la console WSUS (wsus.msc). Au premier démarrage, un assistant guide la configuration. Quatre étapes critiques :

• Source amont : Synchroniser depuis Microsoft Update (par défaut). En PME avec plusieurs sites, un WSUS principal peut synchroniser depuis Microsoft, et des WSUS de site se synchronisent ensuite depuis lui.
• Proxy : si l’entreprise a un proxy sortant, le configurer ici.
• Langues : sélectionner French et English. Tout télécharger gonfle inutilement le disque.
• Produits : sélectionner uniquement Windows 11, Windows Server 2022/2025, Microsoft Office selon ce qui est déployé. Désélectionner SQL Server, SharePoint, Exchange si non utilisés.

Lancer ensuite la synchronisation initiale via le menu Options → Synchronization Schedule → Synchronize manually. Le téléchargement initial des metadata prend 1 à 2 heures. Le téléchargement des binaires (10 à 50 Go) suit selon la bande passante.

Étape 3 — Créer les groupes d’ordinateurs

WSUS gère des computer groups auxquels on approuve des mises à jour par lot. La bonne pratique : un groupe Pilote (10 % des postes, premier à recevoir les patches), un groupe Production (le reste, recevant après validation pilote), et un groupe Serveurs distinct pour un cycle plus prudent.

# En PowerShell
Import-Module UpdateServices
$wsus = Get-WsusServer
$wsus.CreateComputerTargetGroup('Pilote')
$wsus.CreateComputerTargetGroup('Production')
$wsus.CreateComputerTargetGroup('Serveurs')

En GUI, dans la console WSUS : Computers → All Computers clic droit → Add Computer Group.

Étape 4 — Pousser la GPO de configuration cliente

Les postes doivent savoir qu’ils utilisent WSUS plutôt que Microsoft Update directement. C’est le rôle d’une GPO dédiée. Créer WSUS-Configuration-Postes liée à OU=Postes. Paramètres essentiels (Computer Configuration → Administrative Templates → Windows Components → Windows Update) :

• Specify intranet Microsoft update service location : URL http://wsus.ad.entreprise.com:8530 (port HTTP par défaut WSUS).
• Allow client-side targeting : activé, valeur Pilote ou Production selon le poste.
• Configure Automatic Updates : option 4 (auto-download, schedule install), heure 03:00.
• No auto-restart with logged on users for scheduled automatic updates installations : activé pour éviter de redémarrer en plein travail.

Sur un poste pilote, après gpupdate /force, forcer une vérification :

# Méthode historique (déprécié sur Windows 10/11)
# wuauclt /detectnow

# Méthode moderne sur Windows 10/11 et Server 2016+
UsoClient.exe StartScan
# Variante interactive sur Windows 11 récent
# UsoClient.exe StartInteractiveScan

# Via COM (toujours supporté)
(New-Object -ComObject Microsoft.Update.AutoUpdate).DetectNow()

Le poste apparaît dans la console WSUS sous Computers → All Computers → Pilote dans les minutes qui suivent.

Étape 5 — Approuver une première vague de mises à jour

WSUS ne déploie rien tant qu’aucune approbation n’a été faite. Sur les premières synchronisations, approuver d’abord les patches critiques pour le groupe Pilote :

• Console WSUS → Updates → All Updates.
• Filtrer : Approval = Unapproved, Status = Failed or Needed.
• Trier par Classification = Critical Updates, Security Updates.
• Sélectionner les mises à jour récentes, clic droit → Approve → groupe Pilote → Approved for Install.

Les postes pilotes récupèrent les patches à la prochaine vérification (souvent dans l’heure). Après une semaine d’observation sans incident, on approuve les mêmes patches pour Production.

Étape 6 — Automatiser les approbations courantes

Approuver manuellement chaque mois est fastidieux. WSUS supporte les Automatic Approval Rules : approuver automatiquement certaines classes de patches pour certains groupes.

$rule = $wsus.CreateInstallApprovalRule('Auto-Pilote-Critical')

# Classifications à approuver automatiquement
$class = New-Object Microsoft.UpdateServices.Administration.UpdateClassificationCollection
$class.Add(($wsus.GetUpdateClassifications() | Where-Object Title -eq 'Critical Updates'))
$class.Add(($wsus.GetUpdateClassifications() | Where-Object Title -eq 'Security Updates'))
$rule.SetUpdateClassifications($class)

# Groupes cibles
$grp = New-Object Microsoft.UpdateServices.Administration.ComputerTargetGroupCollection
$grp.Add(($wsus.GetComputerTargetGroups() | Where-Object Name -eq 'Pilote'))
$rule.SetComputerTargetGroups($grp)

$rule.Enabled = $true
$rule.Save()

Avec cette règle, toute nouvelle mise à jour critique ou de sécurité est automatiquement approuvée pour Pilote dès la synchronisation. Pour Production, on garde l’approbation manuelle (après validation pilote).

Aparté — Comprendre les classifications de mises à jour

WSUS classe les mises à jour selon leur nature. Comprendre cette taxonomie aide à approuver finement :

• Critical Updates — corrections de bugs majeurs hors sécurité. Souvent stabilité ou performance.
• Security Updates — correctifs de failles documentées (CVE associée). Priorité absolue.
• Definition Updates — signatures Defender. Auto-approbation justifiée car publiées plusieurs fois par jour.
• Update Rollups — packages cumulatifs intégrant plusieurs correctifs précédents. C’est désormais le mode normal des Patch Tuesday.
• Feature Packs et Service Packs — mises à niveau majeures. À examiner manuellement, différer en production.
• Drivers — pilotes signés Microsoft. À approuver avec parcimonie : un mauvais pilote peut crasher un parc entier.
• Upgrades — Feature Updates Windows 11 (24H2 → 25H2 par exemple). Toujours pilote longtemps avant production.

La règle d’or : auto-approuver Definition Updates et Security Updates pour le pilote, examiner manuellement Drivers et Upgrades, toujours différer les Feature Updates de 30 à 60 jours en production.

Étape 7 — Nettoyer WSUS périodiquement

WSUS accumule des metadata et des binaires obsolètes au fil des mois. Sans nettoyage régulier, la base WID dépasse 30 Go et les performances de la console s’effondrent. Le nettoyage automatique mensuel est essentiel.

# Tâche planifiée mensuelle
$wsus = Get-WsusServer
$cleanup = $wsus.GetCleanupManager()
$scope = New-Object Microsoft.UpdateServices.Administration.CleanupScope
$scope.SupersededUpdates = $true
$scope.ExpiredUpdates = $true
$scope.ObsoleteUpdates = $true
$scope.UnneededContentFiles = $true
$scope.ObsoleteComputers = $true
$scope.CompressUpdates = $true

$cleanup.PerformCleanup($scope)

Le nettoyage tourne 1 à 4 heures selon la taille. Programmer en weekend pour éviter d’impacter les utilisateurs.

Étape 8 — Configurer le reporting

WSUS génère des rapports de conformité — quel poste a quel patch, quels patches manquent. Pour les rapports natifs (Updates → Reports), installer le Microsoft Report Viewer 2012 sur le serveur WSUS (non installé par défaut).

Pour un dashboard plus convivial, exporter les données via PowerShell vers Excel ou un système BI :

$wsus = Get-WsusServer
$computers = $wsus.GetComputerTargets()
$report = foreach ($c in $computers) {
  $needed = $c.GetUpdateInstallationInfoPerUpdate() |
    Where-Object {$_.UpdateInstallationState -eq 'NotInstalled' -or $_.UpdateInstallationState -eq 'Failed'}
  [PSCustomObject]@{
    Name = $c.FullDomainName
    OS = $c.OSDescription
    LastSync = $c.LastSyncTime
    Needed = $needed.Count
  }
}
$report | Export-Csv 'D:\Admin\wsus-report.csv' -NoTypeInformation -Encoding UTF8

Ouvrir le CSV dans Excel filtre les postes en retard, ceux qui ne se sont plus synchronisés depuis longtemps, et les volumes de patches manquants.

Étape 9 — Vérifier la chaîne sur un poste pilote

Sur un poste joint au domaine, vérifier que WSUS est bien utilisé :

Get-WindowsUpdateLog
Get-ItemProperty 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU'

Le journal Windows Update montre les contacts avec le serveur WSUS interne et non avec Microsoft Update. Les clés de registre WUServer et WUStatusServer doivent pointer sur l’URL WSUS interne.

Forcer une installation immédiate :

UsoClient.exe StartInstall

Suivre le téléchargement dans la console WSUS sous Computers → Pilote → All Computers, colonne Status.

Étape 10 — Gérer le cas des postes mobiles et télétravailleurs

WSUS interne fonctionne tant que les postes sont sur le LAN. Pour les portables qui passent des semaines hors du bureau, la mise à jour devient un problème : ils ne joignent jamais le WSUS et accumulent les retards.

Trois stratégies coexistent :

• VPN systématique — un VPN always-on (WireGuard, Tailscale, ZTNA Cloudflare) ramène le poste sur le LAN dès qu’il a Internet. Les mises à jour passent par WSUS comme s’il était au bureau.
• WSUS exposé via reverse proxy — publier le WSUS en HTTPS via un reverse proxy (Nginx, Cloudflare Tunnel) avec authentification mutuelle TLS. Les postes mobiles atteignent WSUS depuis Internet sans VPN. Plus complexe à sécuriser.
• Bascule sur Microsoft Update pour les mobiles — GPO ciblée par groupe AD qui retire l’URL WSUS pour les postes du groupe Postes-Mobiles. Ces postes vont chercher leurs patches directement chez Microsoft, sans contrôle interne. Plus simple, mais on perd la traçabilité.

Pour une PME de 50 collaborateurs dont 10 télétravaillent régulièrement, la troisième option est souvent la plus pragmatique. On accepte de perdre le contrôle WSUS sur ces 10 postes en échange de la simplicité opérationnelle, et on bascule en Intune Autopatch dès que possible pour réunifier le pilotage.

Étape 11 — Préparer la migration vers Intune Autopatch (long terme)

Microsoft pousse Intune + Windows Autopatch comme successeur de WSUS pour les clients. La migration ne presse pas : WSUS reste supporté tout au long du cycle de vie de Windows Server 2025 (jusqu’en 2034 pour le support étendu). Mais l’évaluer en parallèle évite une transition forcée à chaud.

Étapes minimales pour préparer la migration :

• Activer Hybrid Entra Join sur les postes du domaine (cf. tutoriel jonction Windows 11).
• Souscrire à Microsoft 365 E3 ou Business Premium (Autopatch inclus).
• Enroller les postes dans Intune (par GPO ou manuellement pour le pilote).
• Activer Windows Autopatch côté tenant.
• Faire coexister WSUS et Autopatch pendant 6 mois pour comparer la fiabilité avant de retirer WSUS.

Avant de basculer définitivement, mesurer les indicateurs qui comptent : le délai moyen entre Patch Tuesday et installation effective sur le parc, le pourcentage de postes au niveau du mois courant, le nombre d’incidents post-déploiement, le coût supplémentaire en licences Microsoft 365 pour Autopatch. Une migration réussie réduit à la fois le temps administrateur consacré au patching et le risque d’exposition à des CVE connues, sans dégrader l’expérience utilisateur. Si Autopatch tient ses promesses sur le pilote pendant 6 mois, la décision de retirer WSUS s’impose d’elle-même. Sinon, conserver WSUS comme filet de sécurité tant que l’entreprise reste dans le cycle de vie Windows Server 2025.

Erreurs fréquentes

Vérification finale

WSUS centralise désormais le téléchargement de tous les patches Windows et Office du parc PME. Les postes pilotes reçoivent automatiquement les mises à jour critiques, le groupe Production attend une validation manuelle, les rapports identifient les postes en retard, le nettoyage mensuel maintient la base saine. L’entreprise a un pilotage central du patching, condition nécessaire à toute hygiène cybersécurité.

La suite logique : auditer Active Directory pour détecter les compromissions, dernière brique de la série. Panorama : Windows Server 2025 et Active Directory pour PME.

Ressources officielles

• WSUS overview — Microsoft Learn
• WSUS deprecation announcement — Microsoft Tech Community
• Manage Windows updates with Windows Update for Business — Microsoft Learn
• Windows Autopatch — Microsoft Learn