Comment activer le démarrage sécurisé après une mise à jour du BIOS

Informatec Digital » Ressources » Comment activer le démarrage sécurisé après une mise à jour du BIOS

Après une mise à jour du BIOS/UEFI, il est fréquent que le démarrage sécurisé soit désactivé, que son état change ou qu'il apparaisse comme « Inactif ». Il est donc conseillé de vérifier les paramètres pour le rétablir. Dans cet article, j'expliquerai en détail comment réactiver le démarrage sécurisé en toute sécurité, sans négliger les points essentiels tels que : UEFI, GPT, CSM, clés de démarrage, TPM 2.0 et BitLocker.

Avant toute manipulation, il est conseillé d'effectuer deux ou trois vérifications rapides sur Windows et le micrologiciel. Cela vous permettra d'éviter des erreurs courantes comme le fameux « Legacy UEFI » ou les verrous de chiffrement. Munissez-vous de votre clé de récupération si vous utilisez [nom du système/logiciel]. BitLocker et consultez le manuel du fabricant, le cas échéant, comme Chaque carte mère (ASUS, MSI, Gigabyte, Lenovo, Dell, HP, etc.) peut afficher des menus différents..

Qu’est-ce que le démarrage sécurisé et pourquoi devriez-vous l’activer ?

Le démarrage sécurisé est une couche de protection du micrologiciel qui valide les signatures cryptographiques des logiciels chargés au démarrage du système, garantissant ainsi que seuls les logiciels signés et approuvés sont exécutés. En d'autres termes, bloque l'exécution de Chargeurs de démarrage ou des conducteurs non autorisés et contribue à contenir les logiciels malveillants qui tentent de s'infiltrer pendant la phase de démarrage.

Au-delà de la sécurité, une configuration correcte influe également sur la stabilité et la compatibilité avec les systèmes modernes. Si vous devez utiliser des outils ou des systèmes d'exploitation qui ne prennent pas en charge cette vérification, vous pouvez la désactiver temporairement, bien que les fabricants recommandent de la laisser activée. Démarrage sécurisé activé en permanence sauf pour des besoins très spécifiques.

Vérifications initiales sous Windows : état du mode BIOS et du démarrage sécurisé

La première chose à faire est de vérifier l'état actuel de votre ordinateur. Windows propose un aperçu rapide pour voir si vous êtes en mode UEFI ou Legacy (CSM) et si le démarrage sécurisé est activé. Cette vérification vous fait gagner du temps car Si l'état « Activé » apparaît déjà, il n'y a rien de plus à faire..

1. Cliquez Windows + Récrit msinfo32 Confirmez avec la touche Entrée. La fenêtre Informations système s'ouvrira.
2. Localisez les champs Mode BIOS y État de démarrage sécurisé.
3. Si le mode BIOS indique UEFI et que le démarrage sécurisé est activé, aucune modification n'est nécessaire. S'il est désactivé, vous pouvez l'activer. Pas compatibleVotre carte mère ne prend pas en charge cette fonction.
4. Si le mode BIOS s'affiche Hérité/CSMVous devrez passer en mode UEFI avant de pouvoir utiliser le démarrage sécurisé.

MBR vs GPT : Convertissez le disque système si nécessaire

Pour que le démarrage sécurisé fonctionne, l'installation de Windows doit se trouver sur un disque avec partitions de style GPT (Table de partition GUID). Si votre disque système est formaté en MBR, il est conseillé de le convertir en GPT à l'aide de l'outil intégré de Microsoft. Tout d'abord, Sauvegardez vos données importantes.

Vérifiez le style de partition dans la Gestion des disques : appuyez sur Windows + X, ouvrez la Gestion des disques, cliquez avec le bouton droit sur le disque système (et non pas seulement sur le lecteur C:), puis ouvrez Propriétés > Volumes. Sous Style de partition, vous verrez s’il est… GPT o MBR.

Si vous devez convertir, ouvrez l'invite de commandes comme commercial (vérifiez que la fenêtre indique le niveau d'autorisation) et validez avec mbr2gpt /validate /disk:0 /allowFullOS (Remplacez 0 par le numéro de disque correct s'il ne correspond pas). Si tout est correct, exécutez mbr2gpt /convert /disk:0 /allowFullOSAprès la conversion, il peut être nécessaire Modifiez le mode de démarrage du firmware en UEFI.

La prévalidation est essentielle car elle vérifie, entre autres, que l'espace disponible pour les tables GPT est suffisant et que la structure de partitionnement est compatible. Bien que l'outil soit conçu pour une conversion sur place, toute modification de partitionnement comporte des risques, et c'est pourquoi Il est recommandé d'effectuer une sauvegarde avant.

TPM 2.0 et Windows 11 : Vérification rapide

Bien que la puce TPM 2.0 ne soit pas nécessaire pour activer le démarrage sécurisé, elle l'est pour Windows 11. Si vous utilisez Windows 11, vérifiez que la puce est présente et activée. Exécutez la commande suivante : tpm.msc Vérifiez ensuite l'état : s'il indique « Prêt à l'emploi », tout va bien ; sinon, Activez cette option dans le BIOS/UEFI (Recherchez TPM, fTPM ou PTT selon le fabricant, généralement dans la section Sécurité ou Options avancées).

Sur de nombreux appareils modernes, le TPM est activé par défaut, mais il peut être désactivé après une mise à jour du micrologiciel ou une réinitialisation du système. Le chemin d'accès habituel est : Sécurité > TPM/fTPM/PTT, puis sélectionnez Les utilisateurs de l’app Smart Spaces avec Google Wallet profitent d’un accès mobile sans contact avec tout lecteur HID® Signo™ compatible NFC.Enregistrez les modifications avec F10 avant de quitter pour que l'activation soit effective.

Comment accéder au BIOS/UEFI : clés et chemin d’accès depuis Windows

Pour accéder au démarrage sécurisé, vous devez accéder au micrologiciel. La méthode la plus courante consiste à redémarrer l'ordinateur et à appuyer plusieurs fois sur une touche pendant l'autotest de démarrage (POST). Les touches les plus courantes sont : Suppr, F2, F10, F12 ou Échapbien que cela dépende du fabricant.

Si vous préférez le faire directement depuis le système, utilisez les options de démarrage avancées. Sous Windows 10, accédez à Paramètres > Mise à jour et sécurité > Récupération et appuyez sur redémarrer maintenant Dans les options de démarrage avancées. Sous Windows 11, accédez à Paramètres > Windows Update > Options avancées > Récupération, puis, dans les options de démarrage avancées, choisissez Redémarrer maintenant. Après le redémarrage, accédez à Dépannage > Options avancées > Paramètres du micrologiciel UEFI et confirmez.

Sur certains ordinateurs portables (notamment les ordinateurs portables de jeu), il est courant de maintenir le bouton enfoncé lorsque l'ordinateur est éteint. F2 lors de la mise sous tensionSur certaines consoles de jeux portables, la méthode peut consister à maintenir enfoncé le bouton de réduction du volume et à appuyer simultanément sur le bouton d'alimentation. Consultez le guide correspondant à votre modèle. si vous n'y arrivez pas du premier coup.

Emplacement du démarrage sécurisé dans le firmware et éléments à désactiver.

Une fois dans le BIOS/UEFI, recherchez l'option de démarrage sécurisé. Elle peut se trouver dans des onglets tels que : Sécurité, Démarrage, Avancé ou Authentificationselon que l'interface soit l'UEFI classique, « MyASUS dans UEFI » ou une autre couche du fabricant.

Avant d'activer le démarrage sécurisé, désactivez le CSM (module de prise en charge de la compatibilité) ou en mode hérité. Le démarrage sécurisé fonctionne uniquement en mode UEFI pur ; si le CSM est activé, désactivez-le. Ensuite, vérifiez la présence d’une option « Type de système d’exploitation » ; sur de nombreux firmwares, vous trouverez « Mode UEFI Windows » ou « Autre système d’exploitation ». Pour activer le démarrage sécurisé, choisissez l’option correspondante. UEFI Windows.

Avec le CSM désactivé et le type de système d'exploitation approprié sélectionné, localisez le commutateur DÉMARRAGE SÉCURISÉ (Cette option peut apparaître sous le nom de Contrôle du démarrage sécurisé.) Activez-la. Si le microprogramme vous invite à gérer les clés, installez les paramètres d'usine ou restaurez les clés par défaut ; cette base de données vous permet de valider les chargeurs de démarrage signés par Microsoft.

Enregistrez les modifications, quittez et vérifiez dans Windows

Une fois terminé, sauvegardez et quittez. Cela se fait généralement avec F10 Vous pouvez confirmer vos modifications (Accepter/OK/Confirmer) ou accéder à l'onglet Enregistrer et quitter et sélectionner « Enregistrer les modifications et quitter ». L'ordinateur redémarrera avec les nouveaux paramètres appliqués.

De retour sous Windows, répétez la requête à msinfo32 Pour confirmer, l'état du démarrage sécurisé devrait maintenant être « Activé ». S'il apparaît toujours comme « Non actif » ou « Désactivé », il se peut que des clés soient manquantes ou que le mode CSM soit toujours activé dans le micrologiciel.

Que faire si « Non actif » s’affiche : réinitialiser les touches et forcer le mode approprié

Il existe des scénarios où, malgré l'activation de l'UEFI et du démarrage sécurisé, l'état affiche "Inactif"Sur les cartes mères modernes, la solution classique consiste à activer le contrôle de démarrage sécurisé et à restaurer les clés par défaut d'usine, puis à les enregistrer.

Sur les ordinateurs portables, les PC tout-en-un ou les consoles de jeux avec UEFI classique : accédez à Sécurité > Démarrage sécurisé et configurez Contrôle de démarrage sécurisé activéEnsuite, accédez à Gestion des clés. Commencez par utiliser « Réinitialiser en mode configuration » pour effacer les bases de données, confirmez par Oui, puis sélectionnez Restaurer les clés d'usineEnregistrez les modifications (F10) et redémarrez.

Sur les appareils dotés de « MyASUS dans l'UEFI », la procédure est équivalente : activer le contrôle du démarrage sécurisé, accéder à la gestion des clés et effectuer un nettoyage. Réinitialiser le mode de configuration Enfin, installez les clés à l'aide de l'option « Restaurer les clés d'usine ». Enregistrez les modifications et redémarrez pour que l'état soit mis à jour.

Sur les ordinateurs de bureau, certains firmwares nécessitent de modifier le mode de démarrage sécurisé. Personnalisé Pour gérer les clés : ouvrez la Gestion des clés, exécutez « Effacer les clés de démarrage sécurisé », confirmez, puis choisissez « Installer les clés de démarrage sécurisé par défaut ». N’oubliez pas de fermer avec F10 ou de cliquer sur « Enregistrer les modifications et quitter » pour que l’état passe à Utilisateur/Actif le cas échéant.

Remarques spécifiques concernant l'interface : mode avancé et navigation

De nombreux BIOS UEFI possèdent un mode basique et un mode avancé. Si vous ne voyez pas les options ci-dessus, appuyez sur Appuyez sur F7 pour passer en mode avancé Vérifiez ensuite à nouveau les onglets Sécurité et Démarrage. La navigation peut se faire à l'aide des touches fléchées et de la touche Entrée, de la souris ou du pavé tactile, selon le système.

L'interface peut varier légèrement selon les modèles et les versions du micrologiciel. Ne soyez pas surpris de trouver le chemin d'accès sous la forme Sécurité > Démarrage sécurisé > Contrôle du démarrage sécurisé ou sous une autre forme. Démarrage > Démarrage sécurisé > Type de système d'exploitationL’objectif est le même : désactiver le CSM, choisir Windows UEFI et s’assurer que les clés de démarrage sécurisé sont chargées.

BitLocker et chiffrement des appareils : évitez les mauvaises surprises lors du redémarrage

Si vous utilisez BitLocker ou le chiffrement de périphérique, la modification des paramètres de démarrage critiques (CSM, Secure Boot, TPM) peut amener Windows à… clé de récupération Au prochain démarrage, gardez-le à portée de main avant de toucher au BIOS/UEFI pour éviter tout blocage.

Si vous préférez désactiver temporairement le chiffrement, consultez d'abord les recommandations officielles de Microsoft afin d'éviter toute perte de données. Sur les systèmes d'entreprise, il est conseillé de coordonner ces modifications avec le service ou l'organisation concerné(e). l'équipe informatique se conformer aux politiques et maintenir la sécurité.

Solution alternative pour activer l'UEFI et convertir les partitions sans réinstallation

Si vous utilisiez le mode Legacy/CSM et que votre disque était formaté en MBR, la méthode la plus simple consiste à le convertir en GPT à l'aide de l'utilitaire. mbr2gpt Passez ensuite en mode UEFI dans le BIOS. N'oubliez pas de valider au préalable avec mbr2gpt /validate et ensuite l'exécuter mbr2gpt /convert avec l'identifiant de disque correct.

Un détail souvent négligé : la fenêtre d’invite de commandes devrait afficher commercialSi vous n'exécutez pas la console avec des privilèges élevés, les commandes peuvent échouer sans message clair, vous obligeant à répéter les étapes.

Quand désactiver temporairement le démarrage sécurisé

Certains outils de diagnostic, images de maintenance et systèmes d'exploitation ne fonctionnent pas lorsque la vérification de signature est activée. Dans ce cas, vous pouvez désactiver temporairement le démarrage sécurisé, utiliser les fonctionnalités nécessaires, puis le réactiver. Activez-le dès que vous aurez terminé..

Si vous installez Linux et que l'option « Autre système d'exploitation » était sélectionnée dans votre BIOS, il est normal de voir des messages ou des erreurs liés à l'UEFI hérité. La solution consiste généralement à configurer le mode UEFI, à désactiver le CSM et, si vous souhaitez conserver Windows, Vérifiez que le disque système est au format GPT. et que les clés de démarrage sécurisé sont chargées. Dans certains cas sous Linux, des chargeurs de démarrage signés sont nécessaires ; sinon, la seule option est de démarrer avec le démarrage sécurisé désactivé.

Exemples de menus courants par type d'équipement

Ordinateurs portables et ordinateurs tout-en-un : ordinateur éteint, maintenez la touche F2 enfoncée pendant la mise sous tension pour accéder au menu de configuration. Une fois dans le menu, passez en mode avancé avec la touche appropriée. F7Accédez à Sécurité > Démarrage sécurisé et ajustez les paramètres de démarrage sécurisé. Si l'option n'apparaît pas, vérifiez également l'onglet Démarrage, et plus particulièrement le type de système d'exploitation (Windows UEFI ou autre système d'exploitation).

Dans MyASUS sous UEFI : la navigation est très similaire, seule l’interface change. Accédez aux Paramètres avancés, puis à Sécurité > Démarrage sécurisé, activez le contrôle et gérez les clés à partir de là. Gestion des clés Si le statut reste « Non actif », n'oubliez pas d'enregistrer avec F10.

Ordinateurs de bureau : sur certains modèles, la touche d’entrée est Supr (Del)Accédez à Démarrage > Démarrage sécurisé et, si la gestion des clés est activée, définissez le mode sur Personnalisé pour effacer et installer les clés par défaut (Installer les clés de démarrage sécurisé par défaut). Vérifiez également que le CSM est désactivé et activez-le.

Vérification finale et dépannage

Après chaque modification du BIOS, enregistrez et redémarrez. Sous Windows, rouvrez le BIOS. msinfo32 Pour confirmation : le mode BIOS est bien réglé sur UEFI et le démarrage sécurisé est activé. En cas de problème et si l’ordinateur ne démarre pas, restaurez le firmware et désactivez temporairement le démarrage sécurisé ou rétablissez le dernier paramètre utilisé pour restaurer le fonctionnement.

Erreurs typiques révélant le problème : si le message « Non actif » persiste, des clés sont manquantes ; si l’option de démarrage sécurisé n’est pas visible, vous êtes en mode d’affichage simplifié et devez passer en mode avancé ; si Windows ne démarre pas après la conversion au format GPT, le microprogramme est peut-être toujours présent. CSM/Hérité Au lieu d'utiliser l'UEFI, ajustez ces trois points et le problème est presque toujours résolu.

Consultez toujours la documentation du fabricant. Bien que l'objectif soit le même pour toutes les marques, la terminologie et la procédure exacte varient. Il n'est pas rare que l'option « Type de système d'exploitation » soit celle qui… activé ou désactivé Démarrage sécurisé en dessous (Windows UEFI = actif, Autre système d'exploitation = inactif).

• Vérifiez dans msinfo32 que vous êtes en mode UEFI et contrôlez l'état du démarrage sécurisé. Si vous êtes en mode Legacy, convertissez-le en GPT et passez à UEFI dans le firmware.

• Désactivez le CSM dans le BIOS. Définissez le type de système d'exploitation sur Windows UEFI et activez le démarrage sécurisé. Si vous y êtes invité, installe les clés par défaut ou les restaurer à partir de la Gestion des clés.

• Si l'état indique « Non actif », effectuez une réinitialisation en utilisant l'option « Réinitialiser en mode de configuration » et réinstallez les clés d'usine. Sur les ordinateurs de bureau, vous devrez peut-être passer en mode personnalisé pour gérer les clés. enregistrer avec F10.

• Utilisez le module TPM 2.0 si vous utilisez Windows 11 et tenez compte de BitLocker : notez la clé de récupération avant de modifier le firmware. En cas de problème, rétablissez la dernière modification. essayer à nouveau.

Avec UEFI, GPT et CSM désactivés et les clés d'usine chargées, le démarrage sécurisé sera opérationnel et votre ordinateur ne démarrera que les logiciels de confiance. Il est important de vérifier ce paramètre, notamment après une mise à jour du BIOS, car ces modifications peuvent parfois réinitialiser les paramètres de démarrage ou effacer la base de données des clés. Une fois le processus compris (msinfo32 pour les diagnostics, mbr2gpt si nécessaire, paramètres de sécurité/démarrage et gestion des clés), Réactiver le démarrage sécurisé En quelques minutes, vous bénéficiez d'une sécurité renforcée sans sacrifier les performances.

Article connexe:

Comment activer le démarrage sécurisé dans Windows 11 : un guide complet étape par étape