Fin de Windows Server Update Services : quelles sont les alternatives ?

Microsoft a annoncé le 20 septembre dernier la dépréciation de Windows Server Update Services (WSUS) à compter de Windows Server 2025.

Pour être plus précis, Microsoft n’investira plus dans de nouvelles fonctionnalités, ne prendra plus en charge aucune demande d’évolution, mais les fonctionnalités actuelles et la publication des mises à jour de sécurité, quant à elle, sera toujours opérationnelle via ce canal.

Microsoft précise également qu’il n’existe actuellement aucun plan pour supprimer WSUS des versions de Windows Server (y compris Windows Server 2025). Microsoft continuera à s’assurer que la fonctionnalité WSUS telle qu’elle existe aujourd’hui fonctionne et les problèmes qui pourraient arriver seront bien entendus pris en charge.

La vision de Microsoft sur le sujet est très claire et pousse vers l’utilisation des services cloud. Nous allons voir dans cet article les alternatives possibles à WSUS pour le périmètre poste de travail et serveur, mais tout d’abord un peu d’historique sur WSUS.

Qu'est-ce que Windows Server Update Services ?

Windows Server Update Services est un rôle intégré à Windows Server depuis 2005. Il permet de gérer la distribution des mises à jour des produits Microsoft (Windows, Windows Server, Office) sur différents périmètres (poste de travail, serveur). Il offre un contrôle granulaire sur les mises à jour, permettant d'approuver ou de refuser les mises à jour, de forcer les dates d'installation et de générer des rapports détaillés sur la conformité des mises à jour de votre parc. C'est une fonctionnalité gratuite qui est intégrée à Windows Server qui lui est bien entendu sous licence.

Outre le coût, WSUS permet d’avoir un contrôle granulaire sur l’approbation et la planification de l’installation des mises à jour. Cependant, une infrastructure WSUS réclame beaucoup de maintenance, d’optimisation et est limitée techniquement par rapport aux solutions cloud, notamment en termes d’automatisation.

Les alternatives pour remplacer WSUS

Comme indiqué un peu plus haut, Microsoft encourage les organisations à entamer une transition vers ses outils de gestion cloud. Généralement, ces outils offrent des fonctionnalités avancées et un meilleur reporting que WSUS.

D’autres aspects sont également à prendre en compte lors du changement d’un outil tel que WSUS :

• Investissement : beaucoup d’organisations ont investi dans une infrastructure WSUS. Un investissement sera sans doute nécessaire pour la transition vers un outil cloud (licences, matériel).
• Coût : Le passage de WSUS vers une nouvelle solution pourrait entraîner une augmentation des coûts, tant en termes d’efforts de migration que de licensing pour les services cloud.
• Sécurité : Il est important de s’assurer que les correctifs de sécurité soient déployés efficacement. Il est aussi crucial de connaître le niveau de conformité de son parc informatique dans le but de voir si les éventuelles failles de sécurité sont bien corrigées.

Alternative à WSUS pour le périmètre poste de travail

Si vous disposez d’une infrastructure Microsoft Configuration Manager et que vous l’utilisez pour mettre à jour vos postes de travail, pas de panique, vous pouvez toujours passer par ce biais. La dépréciation de WSUS n’aura aucun impact sur ce produit, même si Microsoft recommande une transition vers Windows Update for Business / Windows Autopatch avec Microsoft Intune.

Nous allons faire un zoom rapide sur chacune des fonctionnalités que Microsoft propose en remplacement de WSUS pour ce périmètre.

Zoom sur Windows Update for Business

Windows Update for Business est un service gratuit disponible pour les éditions suivantes de Windows 10 et Windows 11 :

• Pro, y compris Pro pour les stations de travail
• Éducation
• Entreprise

Pour rappel, le 15 octobre 2025, c’est la fin de Windows 10. Pour en savoir plus sur le déploiement vers Windows 11 c'est ici.

Il permet de maintenir les postes de travail Windows à jour avec les dernières mises à jour de sécurité et de fonctionnalités Windows en se connectant directement au service Windows Update.

Les stratégies nécessaires à Windows Update for Business sont configurables via notre MDM préférée > Microsoft Intune 😊, par stratégie de groupe ou encore par SCCM.

Grâce à ces stratégies, vous pourrez avoir un contrôle sur le déploiement des mises à jour de sécurité et de fonctionnalités en créant des rings regroupant plusieurs appareils et en décalant l’application des mises à jour sur ceux-ci (voir schéma ci-dessus). Vous bénéficierez également de l’expérience utilisateur « Windows Update » en ce qui concerne les notifications de redémarrage.

Bon à savoir :

• Vous pouvez activer également les mises à jour automatiques pour les drivers Windows et gérer leur approbation grâce à la fonctionnalité « Windows Driver Update Management » (plus d’infos : stratégie de mise à jour des pilotes Windows pour les appareils Windows 10 Windows 11 dans Intune).
• La mise à jour automatique des produits Office est également possible grâce à l’activation du paramètre « Microsoft Product Updates ».
• Si vous découvrez un problème lors du déploiement d’une mise à jour de qualité ou de fonctionnalité, il est possible de suspendre celle-ci pendant 35 jours pour empêcher d’autres appareils de l’installer jusqu’à ce que le problème soit résolu.
• Grâce à l’activation de la fonctionnalité « Windows Update for Business reports », gardez un œil sur la conformité de vos postes de travail. C’est même interconnectable avec PowerBI pour sortir des super dashboard dont vos équipes sécurité seront fans 😉 (plus d'infos : Tailor Windows Update for Business reports with Power BI | Windows IT Pro Blog)

Pour en savoir plus globalement sur Windows Update for Business, suivez ce guide : Windows Update for Business | Microsoft Learn.

Zoom sur Windows Autopatch

Windows Autopatch est une sorte de « surcouche » à Windows Update for Business. Il automatise les mises à jour de Windows, des applications Microsoft 365, de Microsoft Edge et de Microsoft Teams dans le but d’améliorer la conformité, la sécurité et la productivité au sein de votre entreprise et libère ainsi du temps à vos équipes informatiques qui peuvent se concentrer sur d’autres tâches à plus hautes valeurs ajoutées.

Windows Autopatch est un service cloud soumis à licence, il n’est disponible entre autre que sur les éditions Windows 10/11 Education A3/A5, Windows 10/11 Entreprise E3/E5.

En fonction du type de licence, vous bénéficierez de plus ou moins de fonctionnalités liés à ce service.

Bon à savoir :

• L’orchestration des mises à jour est déplacée vers Microsoft qui se charge de la planification de l'ensemble du processus de mise à jour.
• Lors de la mise en place d’Autopatch, des rings par défaut sont créer selon la logique suivante :
  • Déploiement ring Test > Gestion manuelle par l’IT (population pilote)Déploiement ring First > Gestion automatique comprenant 1% du parcDéploiement ring Fast > Gestion automatique comprenant 9% du parcDéploiement ring Broad > Gestion automatique comprenant entre 80 et 90% du parc
  • Déploiement ring N/A > Gestion manuelle par l’IT (population VIP ou poste critique par ex).
• Aussi lors de l’activation d’Autopatch, les postes de travail vont s’enregistrer automatiquement auprès du service si les prérequis sont respectés et ils seront assignés automatiquement à un ring. Plus d’infos ici : Device registration overview | Microsoft Learn ou là : Register your devices | Microsoft Learn
• Si Windows Autopatch détecte un problème significatif avec une mise en production, la mise en pause est automatique

Pour en savoir plus globalement sur Windows Autopatch, suivez ce guide : Windows Autopatch documentation | Microsoft Learn

Autre guide utile : Guide de déploiement de Windows Autopatch | Microsoft Learn qui vous expliquera les différences entre Windows Update for Business et Autopatch et vous guidera aussi pour passer d’une solution à une autre si jamais c’est un projet à venir chez vous.

Depuis septembre 2024, Windows Update for Business et Autopatch sont en cours d’unification sur la partie « Configuration / Stratégie », l’activation des fonctionnalités Autopatch reste soumise à licence Windows Entreprise (par exemple).

Pour finir, un petit comparatif entre ces deux solutions :

Le choix entre ces deux solutions dépendra du niveau de contrôle que vous voulez avoir sur la gestion de vos mises à jour (manuelle ou automatique en laissant la main à Microsoft pour laisser vos équipes IT du temps pour se consacrer à d’autres projets).

Un aspect financier est aussi à prendre en compte, en effet, il faudra prévoir un surcoût supplémentaire pour passer en Windows Entreprise si vous voulez utiliser Windows Autopatch.

Alternative à WSUS pour le périmètre serveur

Comme alternative à WSUS pour la gestion des Windows Serveur, Microsoft recommande l'utilisation d'Azure Update Manager mais il existe d’autres alternatives comme AWS Systems Manager Patch Manager.

Zoom sur Azure Update Manager

Azure Update Manager est un service SAAS centralisé, fourni par Microsoft et qui permet de gérer les mises à jour de vos machines Windows Serveur ou Linux qu’elles soient hébergées dans le cloud Azure, localement dans vos datacenters ou sur d’autres plateformes cloud (via Azure ARC).

Azure Update Manager est disponible sans surcoût pour la gestion des machines virtuelles hébergée dans Azure et les machines virtuelles de type « Azure Stack HCI Arc-Enabled ».

Pour les serveurs gérés via Azure Arc directement, le prix est de 5$ par serveur et par mois.

Concernant la prise en charge des systèmes d’exploitation :

• Pour Microsoft : Windows Server 2022 / Windows Server 2019 / Windows Server 2016 / Windows Server 2012 R2 (ESU)
• Pour Linux : On peut citer des distrib comme Ubuntu, Red Hat Entreprise ou encore CentOS.

Azure Update Manager prend aussi en charge les images « custom » avec à-peu-près les mêmes prises en charge qu’au-dessus.

Pour plus d’infos sur la matrice de support, cliquez ici

Bon à savoir :

• Prise en charge du « hot patching » : Installation des mises à jour à chaud, le redémarrage du système distant n’est plus obligatoire.
• Centralisation : un seul endroit pour gérer le patching de tous types de serveurs.
• Tableau de bord assez complet permettant d’avoir en quelques secondes l’inventaire des machines et l’état des mises à jour.
• Flexibilité (Installation, planification, plage de maintenance)
• Rapport, compliance et alerting personnalisables.
• Contrôle d’accès granulaire sur les ressources (RBAC…).

Pour en savoir plus sur Azure Update Manager, suivez ce guide

Zoom sur AWS System Manager Patch Manager

Un petit tour vers la concurrence 😊

Patch Manager est une fonctionnalité d’AWS Systems Manager, elle permet d’automatiser le processus de gestion des mises à jour, notamment de sécurité. L’utilisation de Patch Manager est possible pour appliquer les mises à jour de sécurité sur les systèmes d’exploitation pris en charge ou les applications publiées par Microsoft.

Vous pouvez patcher, au choix, votre flotte de machines virtuelles AWS EC2, ou des serveurs on-premise.

Outre le coût d’AWS System Manager, (lien vers le calculateur ici) aucun frais supplémentaire n’est facturé pour l’utilisation de Patch Manager pour les systèmes d'exploitation pris en charge ou des applications Linux sur les instances Amazon EC2 ou sur site. Aucun coûts supplémentaires non plus pour le patching d’applications Microsoft sur les instances Amazon EC2.

Concernant la prise en charge des systèmes d’exploitation :

• Pour Microsoft : Windows Server 2022 / Windows Server 2019 / Windows Server 2016 / Windows Server 2012 R2  (ESU)
• Pour Linux : On peut citer des distributeurs comme Ubuntu, Red Hat Entreprise ou encore CentOS.
• Pour MacOS : De Big Sur à Sonoma pour les EC2 MacOS hébergés sur AWS.

Plus d’infos sur la matrice de support ici.

Bon à savoir :

• Automatisation des correctifs : Réduction de la charge grâce à l’automatisation du processus
• Centralisation : Un seul endroit pour gérer le patching de tous types de serveurs
• Flexibilité (Installation, planification, plage de maintenance)
• Conformité et reporting complet et personnalisable.

Pour en savoir plus+ sur AWS System Manager Patch Manager, cliquer ici.

Le choix entre ces deux solutions dépendra fortement du cloud provider auquel votre organisation a décidé de faire confiance. Au niveau fonctionnalité, celles-ci se ressemblent fortement et prennent en charge tout type d’hébergement. L’aspect coût a aussi son importance dans ce type de projet.

Conclusion

La dépréciation à venir de WSUS permettra aux organisations de moderniser leur infrastructure de patching OS Client / Serveur et aussi leur process en allant vers beaucoup plus d’automatisation laissant aux équipes IT un temps plus conséquent pour se consacrer, par exemple, à des projets qui ont plus de valeurs ajoutées.

Dans cet article, j’ai essayé de comparer deux solutions sur chaque périmètre vous permettant de vous faire votre propre avis sur le sujet en essayant d’être le plus complet possible.

N’hésitez pas à nous contacter si vous avez besoin d’informations supplémentaires 😊