Comment configurer le pare-feu Windows pour une sécurité maximale

Parlons du pare-feu Windows. Voici ce que la plupart des gens ne réalisent pas : c’est l’un de vos outils de sécurité les plus puissants, et il fonctionne déjà sur votre PC. Mais après des années à sécuriser des réseaux d’entreprise et à conseiller des particuliers, j’ai vu d’innombrables systèmes où il est mal configuré, laissant les utilisateurs vulnérables même s’ils pensent être protégés.

Ce guide vous montre comment configurer correctement le pare-feu Windows, pas les configurations d’entreprise complexes que je déployais pour les entreprises, mais une sécurité pratique qui fonctionne pour un usage quotidien. Combiné avec des paramètres de confidentialité appropriés, vous aurez une base solide qui bloque les vraies menaces sans casser vos programmes préférés.

Qu’est-ce que le pare-feu Windows ?

Le pare-feu Windows surveille et contrôle le trafic réseau entrant et sortant de votre ordinateur. Selon la documentation officielle de Microsoft, il :

• Bloque les connexions entrantes non autorisées
• Peut contrôler les connexions sortantes (avec des paramètres avancés)
• Fonctionne avec différents types de réseaux (Public, Privé, Domaine)
• S’intègre avec Windows Defender pour une protection améliorée

Vérification rapide de la sécurité

Avant de plonger dans la configuration, vérifiez que votre pare-feu est actif :

1. Ouvrez Sécurité Windows depuis le menu Démarrer
2. Cliquez sur Pare-feu et protection réseau
3. Assurez-vous que le pare-feu est ACTIVÉ pour les trois types de réseaux :
   • Réseaux de domaine
   • Réseaux privés
   • Réseaux publics

Attention : Ne désactivez jamais le pare-feu Windows à moins d’avoir une raison technique spécifique et une protection alternative.

Comprendre les profils réseau

Windows utilise trois profils réseau avec différents niveaux de sécurité. Le guide des meilleures pratiques de Microsoft explique comment chaque profil équilibre sécurité et fonctionnalité :

Réseaux de domaine

• Connecté à un domaine d’entreprise
• Géré par les administrateurs informatiques
• Le plus permissif (suppose un environnement de confiance)

Réseaux privés

• Réseaux domestiques et professionnels de confiance
• Niveau de sécurité moyen
• Permet le partage de fichiers et la découverte réseau

Réseaux publics

• Cafés, aéroports, hôtels
• Niveau de sécurité le plus élevé
• Bloque le partage de fichiers et la découverte réseau

Bonne pratique : Sélectionnez toujours “Public” lors de la connexion à des réseaux non fiables.

Voici ce que je dis à chaque client à propos des réseaux publics : j’ai vu des gens se faire voler leurs données dans des cafés parce qu’ils ont sélectionné “Privé” pour faire fonctionner le partage de fichiers. Ne faites pas ça. Si vous devez partager des fichiers, attendez d’être sur votre réseau domestique. Les cinq minutes d’inconvénient valent mieux que de gérer un compte compromis.

Configuration de base du pare-feu

Changer le profil réseau

Si Windows identifie incorrectement votre réseau :

1. Allez dans Paramètres > Réseau et Internet
2. Cliquez sur votre connexion réseau
3. Sous Type de profil réseau, choisissez :
   • Public pour les réseaux non fiables
   • Privé pour les réseaux domestiques

Autoriser des applications via le pare-feu

Certains programmes ont besoin d’un accès réseau pour fonctionner :

1. Ouvrez Sécurité Windows > Pare-feu et protection réseau
2. Cliquez sur Autoriser une application via le pare-feu
3. Cliquez sur Modifier les paramètres
4. Cochez les cases pour les applications de confiance :
   • Cochez Privé pour l’accès au réseau domestique
   • Cochez Public uniquement si nécessaire sur les réseaux non fiables
5. Cliquez sur OK pour enregistrer

Conseil de sécurité : N’autorisez les applications sur les réseaux publics que si c’est absolument nécessaire.

Bloquer une application

Pour empêcher un programme d’accéder à Internet :

1. Ouvrez Pare-feu Windows Defender avec fonctions avancées de sécurité
2. Cliquez sur Règles de trafic sortant dans le panneau de gauche
3. Cliquez sur Nouvelle règle dans le panneau de droite
4. Sélectionnez Programme, cliquez sur Suivant
5. Parcourez jusqu’au fichier .exe du programme
6. Sélectionnez Bloquer la connexion
7. Cochez tous les profils (Domaine, Privé, Public)
8. Nommez la règle et cliquez sur Terminer

Paramètres avancés du pare-feu

Accéder aux paramètres avancés :

1. Appuyez sur Windows + R
2. Tapez wf.msc et appuyez sur Entrée
3. Le Pare-feu Windows Defender avec fonctions avancées de sécurité s’ouvre

Créer des règles de trafic entrant

Bloquer des ports ou des adresses IP spécifiques :

Bloquer un port :

1. Cliquez sur Règles de trafic entrant > Nouvelle règle
2. Sélectionnez Port, cliquez sur Suivant
3. Choisissez TCP ou UDP
4. Entrez le numéro de port spécifique
5. Sélectionnez Bloquer la connexion
6. Appliquer à tous les profils
7. Nommez la règle de manière descriptive

Bloquer une adresse IP :

1. Créer une nouvelle règle de trafic entrant
2. Sélectionnez Personnalisé
3. Choisissez Tous les programmes
4. Sous Étendue, ajoutez l’adresse IP à bloquer
5. Sélectionnez Bloquer la connexion
6. Appliquer à tous les profils

Créer des règles de trafic sortant

Contrôler quels programmes peuvent accéder à Internet :

1. Cliquez sur Règles de trafic sortant > Nouvelle règle
2. Suivez un processus similaire aux règles de trafic entrant
3. Utilisez pour bloquer :
   • La télémétrie et le suivi (voir notre guide des paramètres de confidentialité pour plus de moyens de réduire la collecte de données)
   • Les mises à jour d’applications non souhaitées
   • Les programmes qui ne devraient pas accéder à Internet

Surveiller les connexions actives

Voir ce qui est actuellement connecté :

1. Dans le pare-feu avancé, cliquez sur Surveillance
2. Développez Pare-feu pour voir les règles actives
3. Développez Associations de sécurité pour les connexions VPN

Règles de sécurité recommandées

Bloquer les vecteurs d’attaque courants

Créez ces règles de trafic entrant pour une sécurité supplémentaire. Comme indiqué dans les conseils de sécurité SMB de Microsoft, le blocage des services réseau inutilisés réduit votre surface d’attaque. Dans mon travail de conseil, ce sont les premières règles que je crée sur chaque système que je configure :

Bloquer NetBIOS hérité (si non nécessaire sur le réseau) :

NetBIOS est un protocole des années 1980, pensez-y comme une porte dérobée déverrouillée dont les systèmes Windows modernes n’ont même plus besoin. La plupart des utilisateurs domestiques n’ont aucune raison légitime d’avoir NetBIOS ouvert, mais il est toujours actif par défaut.

• Bloquer les ports UDP 137, 138
• Bloquer le port TCP 139

Restreindre SMB/CIFS (si vous n’utilisez pas le partage de fichiers) :

• Bloquer le port TCP 445 du trafic Internet
• Note : Gardez activé sur les réseaux de confiance pour le partage de fichiers et la découverte réseau
• Si vous voulez désactiver complètement les services de partage de fichiers, consultez notre guide sur la désactivation des services Windows inutiles

Bloquer le Bureau à distance (si non utilisé) :

• Bloquer le port TCP 3389

Bloquer Telnet :

• Bloquer le port TCP 23

Activer la journalisation

Suivez les connexions bloquées et autorisées. Microsoft recommande d’activer la journalisation pour surveiller l’activité suspecte et résoudre les problèmes de connexion :

1. Faites un clic droit sur Pare-feu Windows Defender (en haut de l’arborescence)
2. Sélectionnez Propriétés
3. Pour chaque onglet de profil :
   • Cliquez sur Personnaliser sous Journalisation
   • Définissez Enregistrer les paquets perdus sur Oui
   • Définissez Enregistrer les connexions réussies sur Oui
   • Notez l’emplacement du fichier journal
4. Cliquez sur OK pour enregistrer

Consultez les journaux à : C:\Windows\System32\LogFiles\Firewall\pfirewall.log

Paramètres de notification du pare-feu

Contrôler quand Windows demande la permission :

1. Allez dans Sécurité Windows > Pare-feu et protection réseau
2. Cliquez sur Paramètres de notification du pare-feu (ou Paramètres avancés)
3. Pour chaque type de réseau, configurez :
   • M’avertir lorsque le pare-feu bloque une nouvelle application
   • Bloquer toutes les connexions entrantes pour une sécurité maximale
     • ATTENTION : Bloque même les applications explicitement autorisées, peut casser la connectivité réseau, le VPN, le partage de fichiers et l’accès à distance
     • À utiliser uniquement temporairement dans des environnements hostiles

Troubleshooting Common Issues

Avertissements ID d'événement 2042 (Windows 11 24H2)

Si vous voyez des erreurs ID d’événement 2042 dans l’Observateur d’événements après les récentes mises à jour de Windows 11 :

• Il s’agit d’un problème de journalisation cosmétique connu dans Windows 11 24H2
• Votre pare-feu fonctionne toujours normalement
• Microsoft reconnaît que ce n’est pas un problème fonctionnel
• Aucune action requise, c’est juste un faux avertissement

Le programme ne peut pas se connecter à Internet

Si un programme légitime ne peut pas accéder à Internet :

1. Vérifiez si le pare-feu Windows le bloque
2. Examinez les journaux du pare-feu pour les connexions bloquées
3. Créez une exception pour le programme
4. Testez avec le pare-feu temporairement désactivé (pour confirmer que c’est la cause)

Le multijoueur du jeu ou de l'application ne fonctionne pas

Les jeux en ligne nécessitent souvent l’ouverture de ports spécifiques :

1. Recherchez les ports requis pour votre jeu
2. Créez des règles de trafic entrant autorisant ces ports
3. N’autorisez que sur le réseau privé si possible
4. Testez la connexion après avoir appliqué les règles

Problèmes d'accès à distance (RDP ou VPN)

Pour les problèmes de connexion Bureau à distance ou VPN :

1. Vérifiez que les règles d’accès à distance sont activées dans le pare-feu
2. Vérifiez le profil réseau (devrait être Privé ou Domaine)
3. Confirmez que le port 3389 (RDP) ou les ports VPN sont ouverts
4. Testez depuis un emplacement distant pour vérifier l’accès

Meilleures pratiques du pare-feu

À faire :

• Gardez le pare-feu activé en permanence
• Utilisez le profil Public pour les réseaux non fiables
• Examinez régulièrement les applications autorisées
• Activez la journalisation pour surveiller l’activité suspecte
• Mettez à jour Windows régulièrement pour les améliorations du pare-feu
• N’autorisez que les applications nécessaires via le pare-feu

À ne pas faire :

• Désactiver le pare-feu pour “résoudre” les problèmes de connexion (trouvez la vraie cause)
• Autoriser des programmes inconnus via le pare-feu
• Utiliser le même niveau de sécurité pour tous les réseaux
• Ignorer les notifications du pare-feu (enquêtez sur chacune)
• Ouvrir des ports inutilement
• Désactiver pour “de meilleures performances de jeu” (impact négligeable)

Pare-feu tiers

Le pare-feu Windows est suffisant pour la plupart des utilisateurs, mais certains préfèrent les options tierces :

Avantages des pare-feu tiers :

• Contrôle plus granulaire
• Meilleures interfaces utilisateur
• Fonctionnalités avancées (contrôle d’application, IDS/IPS)
• Surveillance du trafic réseau

Inconvénients :

• Coût supplémentaire
• Peut entrer en conflit avec le pare-feu Windows
• Impact potentiel sur les performances
• Courbe d’apprentissage

Ma recommandation : On me demande souvent si le pare-feu Windows est vraiment suffisant. Après des années de tests et de déploiement du pare-feu Windows et d’options tierces, voici ma réponse honnête : le pare-feu Windows est excellent pour la plupart des utilisateurs domestiques. Ne considérez les solutions tierces que si vous avez besoin de fonctionnalités avancées spécifiques ou d’une gestion centralisée pour plusieurs PC.

Tester votre pare-feu

Vérifiez que votre pare-feu fonctionne :

1. Visitez ShieldsUP! sur grc.com
2. Cliquez sur Proceed
3. Cliquez sur All Service Ports
4. Attendez que l’analyse soit terminée
5. Le résultat devrait montrer la plupart/tous les ports comme “Stealth”

Note : Certains ports peuvent afficher “Closed” au lieu de “Stealth” - les deux sont sécurisés.

Quand réinitialiser le pare-feu

Si les règles du pare-feu deviennent désordonnées ou problématiques :

1. Ouvrez Pare-feu Windows Defender
2. Cliquez sur Restaurer les paramètres par défaut dans le panneau de gauche
3. Confirmez pour réinitialiser tous les paramètres du pare-feu
4. Reconfigurez les règles importantes

Attention : Cela supprime toutes les règles personnalisées. Documentez d’abord les règles importantes.

Conclusion

Un pare-feu Windows correctement configuré offre une excellente protection contre les menaces réseau. En suivant ce guide, vous avez sécurisé votre PC contre la plupart des attaques réseau tout en maintenant la fonctionnalité des programmes légitimes.

N’oubliez pas de :

• Garder le pare-feu toujours activé
• Utiliser les profils réseau appropriés
• Examiner les applications autorisées trimestriellement
• Surveiller les journaux du pare-feu pour détecter les activités suspectes
• Mettre à jour Windows régulièrement

Guides connexes :

• Guide complet de sécurité Windows
• Guide des paramètres de confidentialité pour Windows 11 - Contrôlez la collecte de données et la télémétrie
• Désactiver les services Windows inutiles - Réduisez la surface d’attaque et améliorez les performances
• Guide de configuration de Windows Defender - Configuration complète de l’antivirus

---

Foire aux questions

Quelle est la différence entre les profils réseau Public et Privé ?

Les réseaux privés sont destinés aux environnements de confiance comme votre domicile ou votre bureau. Windows active la découverte réseau, le partage de fichiers et d’autres fonctionnalités permettant aux appareils de communiquer. Ce profil est plus permissif car vous contrôlez qui est sur le réseau.

Les réseaux publics sont destinés aux cafés, aéroports, hôtels, partout où il y a des utilisateurs inconnus. Windows bloque le partage de fichiers et la découverte réseau, rendant votre PC invisible aux autres. La plupart du trafic entrant est bloqué même si vous avez créé des règles d’autorisation.

Bonne pratique : Choisissez toujours Public pour les réseaux que vous ne contrôlez pas. Oui, c’est moins pratique, mais j’ai vu trop de violations de données se produire parce que quelqu’un a choisi Privé dans un café pour faire fonctionner le partage de fichiers. Les cinq minutes d’inconvénient valent mieux que de gérer un système compromis.

Dois-je désactiver le pare-feu Windows si j'ai un antivirus tiers ?

Non, vous devriez garder le pare-feu Windows activé même avec un antivirus tiers. Voici pourquoi : l’antivirus et les pare-feu servent des objectifs différents. L’antivirus analyse les fichiers à la recherche de malwares, tandis que les pare-feu contrôlent le trafic réseau.

Si votre suite de sécurité tierce inclut son propre composant pare-feu, elle gérera automatiquement les paramètres du pare-feu Windows pour la compatibilité, vous n’avez rien à désactiver manuellement. Si votre logiciel tiers ne fournit qu’un antivirus (pas de pare-feu), vous avez définitivement besoin du pare-feu Windows actif pour la protection réseau.

La plateforme de filtrage Windows (qui sous-tend le pare-feu) est requise pour le réseau et les politiques de sécurité dans Windows, donc le service de pare-feu reste actif même si vous avez un logiciel de sécurité tiers.

Pourquoi le pare-feu Windows continue-t-il de bloquer mes jeux ou applications ?

Cela se produit lorsque les applications tentent d’accepter des connexions réseau entrantes mais n’ont pas de règles de pare-feu configurées. Les jeux avec multijoueur, les clients torrent et les logiciels d’accès à distance déclenchent couramment des blocages de pare-feu.

Pour le corriger :

1. Allez dans Sécurité Windows > Pare-feu et protection réseau > Autoriser une application via le pare-feu
2. Cliquez sur Modifier les paramètres, trouvez votre application dans la liste
3. Cochez Privé pour l’accès au réseau domestique
4. Ne cochez Public que si vous avez besoin que l’application fonctionne sur des réseaux non fiables (généralement inutile pour les jeux)

Pour les jeux, vous devrez peut-être aussi créer des règles de trafic entrant pour des ports spécifiques, consultez la documentation du jeu pour les numéros de port requis. Le pare-feu n’essaie pas de ruiner votre expérience de jeu ; il bloque les connexions entrantes suspectes jusqu’à ce que vous les autorisiez explicitement.

Le pare-feu Windows ralentira-t-il mon Internet ou mes performances de jeu ?

Non. Le pare-feu Windows a un impact négligeable sur les performances du matériel moderne. Il fonctionne au niveau de la pile réseau avec une surcharge CPU minimale, on parle de microsecondes de latence que vous ne remarquerez jamais.

J’ai testé cela de manière approfondie dans des environnements de jeu, et il n’y a aucune différence mesurable de ping, de bande passante ou de FPS entre le pare-feu activé et désactivé. Si vous rencontrez un Internet lent ou des ralentissements de jeu, le pare-feu n’est pas la cause, regardez plutôt votre connexion FAI, la configuration du routeur ou les processus en arrière-plan.

Désactiver votre pare-feu pour de “meilleures performances” est du théâtre de sécurité qui vous expose à de vraies menaces réseau pour zéro bénéfice réel.

Comment savoir si le pare-feu Windows me protège réellement ?

Vous pouvez tester votre pare-feu en utilisant des outils d’analyse de ports en ligne :

1. Visitez ShieldsUP! sur grc.com
2. Cliquez sur Proceed, puis All Service Ports
3. Attendez que l’analyse soit terminée
4. Les résultats devraient montrer la plupart des ports comme “Stealth” (invisible) ou “Closed” (protégé)

Si vous voyez de nombreux ports affichés comme “Open”, cela indique des problèmes de sécurité potentiels. Examinez vos règles de pare-feu et supprimez les exceptions inutiles.

Vous pouvez également activer la journalisation du pare-feu (couverte dans ce guide) pour voir quelles connexions le pare-feu Windows bloque. Examinez le journal à C:\Windows\System32\LogFiles\Firewall\pfirewall.log pour voir les tentatives de connexion bloquées. Si vous êtes en ligne, vous verrez probablement des dizaines de sondes bloquées quotidiennement. C’est votre pare-feu qui travaille.

Quels ports dois-je bloquer pour une meilleure sécurité ?

Si vous n’utilisez pas de services réseau spécifiques, le blocage de ces vecteurs d’attaque courants améliore la sécurité :

NetBIOS (protocole hérité, rarement nécessaire) : ports UDP 137, 138 et port TCP 139

Partage de fichiers SMB/CIFS (si non nécessaire) : port TCP 445, mais gardez-le ouvert sur les réseaux privés si vous utilisez le partage de fichiers

Bureau à distance (si non utilisé) : port TCP 3389

Telnet (obsolète, non sécurisé) : port TCP 23

Cependant, ne commencez pas simplement à bloquer des ports au hasard. Le pare-feu Windows bloque déjà les connexions entrantes par défaut à moins que vous ne les ayez explicitement autorisées. Concentrez-vous sur la suppression des règles “autoriser” inutiles plutôt que de créer des règles de blocage. La section “Règles de sécurité recommandées” du guide couvre cela en détail.

Puis-je utiliser le pare-feu Windows pour empêcher un programme d'accéder à Internet ?

Oui, vous pouvez créer des règles de trafic sortant pour bloquer des programmes spécifiques :

1. Ouvrez Pare-feu Windows Defender avec fonctions avancées de sécurité (appuyez sur Windows+R, tapez wf.msc)
2. Cliquez sur Règles de trafic sortant > Nouvelle règle
3. Sélectionnez Programme, parcourez jusqu’au fichier .exe
4. Choisissez Bloquer la connexion
5. Appliquez à tous les profils (Domaine, Privé, Public)
6. Nommez la règle de manière descriptive

C’est utile pour bloquer la télémétrie, empêcher les mises à jour non désirées ou arrêter les programmes qui ne devraient pas accéder au réseau. J’utilise cette technique pour empêcher certaines applications de téléphoner à la maison tout en leur permettant de fonctionner localement.

Note : Certains programmes sont intelligents et ont plusieurs exécutables ou mécanismes de mise à jour, vous devrez donc peut-être plusieurs règles pour bloquer complètement l’accès réseau.

Pourquoi mon VPN est-il bloqué par le pare-feu Windows ?

Les applications VPN déclenchent fréquemment des alertes du pare-feu Windows car elles modifient le routage réseau et créent des adaptateurs réseau virtuels. C’est un comportement normal, pas une menace de sécurité.

Pour corriger le blocage VPN :

1. Lorsque le pare-feu Windows affiche l’alerte de sécurité pour votre VPN, cliquez sur Autoriser l’accès
2. Ou autorisez-le manuellement : Sécurité Windows > Autoriser une application via le pare-feu
3. Trouvez votre client VPN, cochez les réseaux Privé et Public
4. Assurez-vous que les ports de votre VPN sont ouverts (ports VPN courants : UDP 500, 4500 et TCP 1723)

Si votre VPN ne fonctionne toujours pas après l’avoir autorisé via le pare-feu, vérifiez si “Bloquer toutes les connexions entrantes” est activé pour les réseaux publics. Ce paramètre bloque même les applications explicitement autorisées et cassera la fonctionnalité VPN. Désactivez-le dans les paramètres de notification du pare-feu.

Le pare-feu Windows est-il suffisant, ou ai-je besoin d'un pare-feu tiers ?

Pour la plupart des utilisateurs domestiques, le pare-feu Windows est absolument suffisant. J’ai déployé à la fois le pare-feu Windows et des solutions tierces dans des environnements d’entreprise, et voici mon évaluation honnête : le pare-feu Windows offre une excellente protection pour une utilisation domestique typique.

Quand le pare-feu Windows est suffisant :

• Vous êtes un utilisateur domestique avec des besoins de sécurité standard
• Vous n’avez pas besoin d’un contrôle granulaire par application du trafic sortant
• Vous êtes à l’aise avec l’interface Windows
• Vous voulez une protection intégrée sans logiciel supplémentaire

Quand envisager un tiers :

• Vous avez besoin de surveillance et d’analyses de trafic avancées
• Vous voulez des interfaces plus faciles à utiliser pour les règles complexes
• Vous avez besoin de fonctionnalités de détection/prévention d’intrusion
• Vous gérez plusieurs PC et voulez un contrôle centralisé

Les pare-feu tiers comme ZoneAlarm, Comodo ou GlassWire offrent plus de fonctionnalités mais ajoutent de la complexité, des coûts et des conflits potentiels. Commencez avec le pare-feu Windows correctement configuré (en utilisant ce guide), et n’explorez les options tierces que si vous avez des exigences avancées spécifiques.

---

Référence rapide

Activer/Désactiver le pare-feu : Sécurité Windows > Pare-feu et protection réseau

Autoriser une application : Sécurité Windows > Autoriser une application via le pare-feu

Règles avancées : Appuyez sur Windows+R, tapez wf.msc

Voir les journaux : C:\Windows\System32\LogFiles\Firewall\pfirewall.log

Tester le pare-feu : Visitez grc.com/shieldsup

Restez protégé et maintenez un scepticisme sain à propos des programmes demandant un accès réseau !