Microsoft vient d’annoncer que la fonctionnalité de Hotpatching pour Windows Server 2025, pilotée via Azure Arc, est désormais gratuite ! Grâce à cette fonctionnalité, les serveurs peuvent appliquer les mises à jour de sécurité sans avoir à redémarrer.

Le Hotpatching désormais gratuit pour les environnements hybrides

Jusqu’à présent soumise à facturation, l’utilisation du service de Hotpatching via Azure Arc est désormais entièrement gratuite pour ceux qui ont des serveurs sous Windows Server 2025 Standard et Datacenter. Dans un nouvel article de blog, Microsoft a d’ailleurs indiqué que la facturation avait été interrompue depuis le 15 mai 2026 pour toutes les machines déjà enregistrées. Vous n’avez rien à faire : Microsoft a effectué ce changement de son côté.

Suite à cette décision, les serveurs physiques et virtuels fonctionnant sur site ou au sein d’un cloud autre qu’Azure (contexte multicloud) peuvent bénéficier du Hotpatching. Il y a tout de même une condition à respecter : le serveur doit être connecté à Azure Arc. Ce composant sert à faire le lien entre la machine locale et le Cloud Azure, puisque c’est bien via la console Cloud que le Hotpatching doit être activé. Par ailleurs, il faut s’assurer que la sécurité basée sur la virtualisation (VBS – Virtualization-based security) est activée sur la machine.

Cet article est l’occasion de rappeler que cette fonctionnalité est déjà gratuite pour ceux qui exécutent des machines virtuelles sur Azure (IaaS) ou via Azure Local avec les éditions Windows Server Datacenter: Azure Edition (versions 2022 et 2025).

Un rythme trimestriel alternant avec et sans redémarrage

Le Hotpatching permet de réduire drastiquement le nombre de redémarrages nécessaires pour appliquer les mises à jour. Il faut tout de même prévoir un redémarrage par trimestre (janvier, avril, juillet, octobre). Pour le reste, l’installation de la mise à jour de sécurité s’effectue sans nécessiter de redémarrage, c’est-à-dire en production et sans interruption de service.

Le cycle de mise à jour s’organise de la façon suivante :

• Les mois de référence (Baseline) : les serveurs installent une mise à jour de sécurité cumulative standard. Ce processus englobe l’ensemble des correctifs de sécurité ainsi que les nouvelles fonctionnalités et améliorations accumulées depuis la dernière mise à jour de référence. Un redémarrage est requis.
• Les deux mois suivants : les machines reçoivent uniquement des mises à jour de sécurité sous forme de hotpatchs. Ces correctifs mensuels s’appliquent instantanément et ne nécessitent aucun redémarrage du système pour prendre effet.

Autrement dit, Windows Server a toujours besoin de redémarrer pour appliquer les modifications non relatives à la sécurité de l’OS.

C’est une bonne décision prise par Microsoft, car le Hotpatching avait été reçu positivement par les administrateurs, mais le fait que ce soit payant avait frustré tout le monde (une fois de plus).