Votre ordinateur vous ment. Vous entrez dans le BIOS, vous voyez clairement que la protection est activée, mais une fois sur Windows, le verdict tombe : Secure Boot Enabled But Not Active. C’est frustrant. Cette situation arrive souvent lors d'une tentative d'installation de Windows 11 ou quand vous voulez lancer un jeu exigeant comme Valorant qui réclame cette barrière de sécurité. On se sent bloqué devant une porte qui affiche "ouvert" mais qui refuse de bouger d'un iota.
Le problème ne vient pas d'une panne matérielle. Il s'agit presque toujours d'un conflit de configuration entre le micrologiciel de votre carte mère et la structure de votre disque système. Pour que cette technologie fonctionne, il faut une harmonie parfaite entre trois éléments : le mode UEFI, la table de partition GPT et les clés de sécurité d'usine. Si l'un de ces piliers manque à l'appel, votre système reste vulnérable. Découvrez plus sur un sujet similaire : cet article connexe.
Pourquoi votre système affiche Secure Boot Enabled But Not Active
Le micrologiciel moderne, nommé UEFI, a remplacé le vieux BIOS il y a plus de dix ans. Pourtant, beaucoup de PC tournent encore avec un pied dans le passé grâce au mode de compatibilité CSM. C’est là que le bât blesse. Si le CSM est activé, la protection ne peut pas démarrer, car elle exige un environnement purement moderne. C'est la raison principale pour laquelle vous voyez cet état contradictoire.
Le conflit entre UEFI et CSM
Le module de support de compatibilité, ou CSM, permet de simuler un ancien BIOS pour les vieux systèmes d'exploitation. Mais la sécurité moderne demande une rupture nette. Quand vous lisez le message Secure Boot Enabled But Not Active, votre machine vous indique que l'option est cochée dans les réglages, mais que le système tourne actuellement sur un mode qui interdit son exécution. Vous ne pouvez pas avoir le beurre et l'argent du beurre. Pour activer la protection, le CSM doit disparaître. Les Numériques a analysé ce crucial sujet de manière approfondie.
La question des clés de sécurité d'usine
Parfois, le souci est plus subtil. La carte mère possède une base de données de clés signatures. Sans ces clés, le démarrage sécurisé n'a aucune référence pour vérifier si votre système est authentique. Si vous avez récemment réinitialisé votre BIOS ou mis à jour le firmware, ces clés sont peut-être passées en mode "Setup" au lieu du mode "User". Tant que ces signatures ne sont pas installées ou restaurées, la fonction reste en attente, totalement inerte malgré son état activé.
Comment passer de l'état Secure Boot Enabled But Not Active à un système protégé
Pour régler ça, on commence par vérifier l'état du disque dur. Windows ne peut pas démarrer en mode sécurisé si votre disque utilise le format MBR, qui est l'ancienne norme. Vous avez besoin du format GPT. Si vous ignorez ce détail, vous risquez de ne plus pouvoir démarrer votre PC après avoir changé les réglages dans le BIOS. C'est l'erreur classique qui envoie les utilisateurs paniqués chez le dépanneur du coin.
Convertir son disque sans tout perdre
Avant de toucher au BIOS, vérifiez votre gestion de disque. Faites un clic droit sur le bouton démarrer, allez dans la Gestion des disques, puis faites un clic droit sur votre disque principal pour voir ses propriétés. Si vous voyez "Secteur de démarrage principal (MBR)", vous devez convertir le disque. Microsoft propose un outil intégré nommé MBR2GPT. C'est une manipulation rapide mais délicate. Elle permet de transformer la structure de vos données pour les rendre compatibles avec l'UEFI sans effacer vos photos de vacances ou vos documents de travail.
Manipulation dans le BIOS
Une fois le disque prêt, redémarrez et mitraillez la touche Suppr ou F2. Cherchez l'onglet Sécurité ou Boot. La première étape consiste à désactiver le CSM. C'est non négociable. Ensuite, assurez-vous que le mode de démarrage est réglé sur "Windows UEFI Mode" plutôt que "Other OS". Si l'état reste inactif, cherchez une option appelée "Restore Factory Keys" ou "Install Default Secure Boot Keys". Cela force la carte mère à charger les certificats nécessaires pour valider le démarrage de Windows. Sauvegardez et quittez.
L'impact réel sur la sécurité et les performances
On entend parfois que cette protection ralentit le PC. C’est faux. L'impact sur les performances est totalement imperceptible pour l'utilisateur moyen comme pour le joueur pro. Cette technologie vérifie simplement la signature numérique des pilotes et du chargeur de démarrage avant de leur donner les clés de la maison. C’est une protection contre les rootkits, ces malwares vicieux qui s'installent avant même que votre antivirus ne soit réveillé.
Les exigences de Windows 11 et des jeux modernes
Microsoft a rendu cette fonction obligatoire pour son dernier système. Ce n'est pas un caprice. L'idée est de créer un socle de sécurité matériel standardisé sur tout le parc informatique mondial. L'agence française ANSSI recommande d'ailleurs l'utilisation de mécanismes de démarrage sécurisé pour protéger l'intégrité des systèmes d'information. Si vous voulez jouer à des titres comme Valorant sur Windows 11, le système anti-triche Vanguard refuse de se lancer s'il détecte que la fonction est inactive. C'est un moyen radical de s'assurer que personne ne triche en modifiant le noyau du système.
Le rôle du TPM 2.0 dans l'équation
Le démarrage sécurisé travaille souvent main dans la main avec le module de plateforme sécurisée, le fameux TPM 2.0. Si l'un est mal configuré, l'autre peut poser problème. Pour vérifier tout ça sous Windows, tapez msinfo32 dans votre barre de recherche. Regardez la ligne "État du démarrage sécurisé". Si elle indique "Désactivé" alors que vous avez tout fait, c'est que les clés n'ont pas été chargées correctement. Vous pouvez aussi consulter les pages de support officielles de Microsoft pour obtenir des détails sur les exigences matérielles spécifiques à chaque version de l'OS.
Erreurs courantes lors de la configuration
Beaucoup de gens activent l'option et se retrouvent face à un écran noir ou un retour automatique dans le BIOS. Cela arrive quand on oublie que le processeur graphique doit aussi être compatible. Les très vieilles cartes graphiques ne supportent pas l'UEFI. Si votre GPU date d'avant 2013, il y a de fortes chances qu'il bloque tout le processus. Dans ce cas, désactiver le CSM coupera simplement l'affichage.
Le piège du mode utilisateur
Un autre piège concerne le mode de déploiement. Dans certains BIOS sophistiqués, vous avez le choix entre "User Mode" et "Setup Mode". Si vous restez en "Setup Mode", la protection ne s'activera jamais vraiment. Elle attend que vous finalisiez la configuration des clés. Il faut passer en "User Mode" pour que la machine considère que la chaîne de confiance est établie. C'est une nuance technique qui cause énormément de messages de support technique inutiles.
Le cas des PC portables
Sur les portables de marque Acer, HP ou Dell, le menu est parfois bridé. Vous devrez peut-être définir un mot de passe superviseur dans le BIOS pour débloquer l'accès aux options de sécurité grisees. C'est une sécurité supplémentaire pour éviter qu'un utilisateur lambda ne casse la configuration de démarrage par erreur. Une fois le mot de passe créé, les options deviennent modifiables, et vous pouvez enfin corriger cet état inactif.
Guide pratique pour corriger le tir
N'attendez pas une mise à jour miracle de Windows pour régler ce problème. Ça n'arrivera pas. La solution est entre vos mains, dans les entrailles du micrologiciel. Voici la marche à suivre pour s'en sortir proprement.
- Vérifiez la table de partition. Ouvrez une invite de commande en mode administrateur. Tapez
diskpart, puislist disk. Si vous ne voyez pas d'astérisque sous la colonne GPT pour votre disque système, vous devez convertir. Utilisez l'outilmbr2gpt /validate /allowFullOSpuismbr2gpt /convert /allowFullOS. Attention, cette opération est généralement sûre mais une sauvegarde de vos fichiers importants est toujours une bonne idée. - Accédez au BIOS. Redémarrez votre PC. Cherchez l'option CSM et désactivez-la. Si votre BIOS est en français, cela peut s'appeler "Module de compatibilité". Réglez le mode de démarrage sur UEFI.
- Gérez les clés de sécurité. Allez dans la section Secure Boot. Si l'état reste inactif, cherchez "Key Management". Choisissez l'option pour restaurer les clés d'usine par défaut. C'est l'étape qui débloque la situation dans 90 % des cas difficiles.
- Vérifiez le résultat. Une fois de retour sous Windows, utilisez la commande
msinfo32. L'état doit maintenant être affiché comme "Activé". Si c'est le cas, vous êtes paré pour Windows 11 et les jeux les plus exigeants.
Régler ce souci améliore la résilience de votre machine face aux attaques de bas niveau. C'est un peu de travail manuel, certes, mais c'est le prix à payer pour une machine moderne et réellement protégée. On ne peut pas laisser une option aussi puissante dormir dans un état d'inactivité permanente. Vous avez désormais toutes les clés en main pour dompter votre matériel. Prenez le temps de bien lire chaque menu de votre BIOS, car les noms changent d'un fabricant à l'autre, d'Asus à MSI en passant par Gigabyte. La logique reste pourtant identique : pureté de l'UEFI, partition GPT et clés signatures valides. Si vous respectez ce trio, le message d'erreur disparaîtra pour de bon.
