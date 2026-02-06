Microsoft a commencé à intégrer Sysmon au sein de Windows 11, l'un des outils les plus populaires de la suite SysInternals. Même si cette intégration est pour le moment réservée aux versions de Windows 11 accessibles via le programme Windows Insider, cela donne l'occasion de tester de façon concrète.

Un nouvel atout pour la sécurité de Windows

Connu sous le nom complet de System Monitor, Sysmon est depuis longtemps l'un des outils les plus prisés de la suite Microsoft Sysinternals. Il agit comme un service système et un pilote, capable de surveiller l'activité de Windows de façon poussée et d'enregistrer cette activité dans le journal des événements du système. Sysmon va plus loin que la journalisation native de Windows, notamment en permettant une surveillance granulaire : création de fichiers exécutables, altération de processus, création d'une connexion réseau, etc....

Jusqu'ici, les équipes techniques devaient déployer manuellement l'exécutable de Sysmon afin de pouvoir en profiter. L'intégration native de Sysmon en tant que fonctionnalité prête à l'emploi et activable facilement a été annoncée en novembre 2025 par Microsoft.

"Windows intègre nativement la fonctionnalité Sysmon. La fonctionnalité Sysmon vous permet de capturer les événements système qui peuvent aider à détecter les menaces, et vous pouvez utiliser des fichiers de configuration personnalisés pour filtrer les événements que vous souhaitez surveiller.", précise l'équipe du programme Windows Insider.

Comment activer Sysmon sur Windows 11 ?

Bien que Sysmon soit désormais une fonctionnalité intégrée "out-of-the-box" au sein de Windows 11, celle-ci est désactivée par défaut. D'ailleurs, Microsoft prévient : "Si vous avez déjà installé Sysmon à partir du site Web, vous devez le désinstaller avant d'activer le Sysmon intégré."

Pour activer cette fonctionnalité, vous pouvez utiliser l'interface graphique (Paramètres > Système > Fonctionnalités facultatives), ou directement une ligne de commande à exécuter dans la console PowerShell ou l'invite de commande.

Activer la fonctionnalité Sysmon de Windows :

Dism /Online /Enable-Feature /FeatureName:Sysmon

Une fois la fonctionnalité activée, il est nécessaire d'exécuter la commande suivante pour instancier Sysmon sur la machine locale :

sysmon -i

Pour la suite, rien ne change : vous devez associer à Sysmon votre fichier de configuration pour qu'il sache quelles actions sont à journaliser dans l'Observateur d'événements de Windows. "La documentation sera bientôt ajoutée à Windows.", précise Microsoft, tout en indiquant que Sysmon reste Sysmon : rien n'a changé au niveau de ses fonctionnalités.

Enfin, sachez que cette nouveauté est actuellement déployée pour les Insiders via les canaux Beta (Build 26220.7752) et Dev (Build 26300.7733). L'intégration dans une version stable de Windows 11 arrivera surement un peu plus tard cette année.

Si vous souhaitez en savoir plus sur Sysmon, que ce soit pour le déploiement ou la configuration et ses capacités de détection, consultez ces deux tutoriels :

Qu'en pensez-vous ?

