personne qui a un probleme sur son PC

Deux catégories de logiciels malveillants en entreprise : pourquoi vos salariés sont la première porte d’entrée ?

Temps de lecture : 10 minutes

Un mail “urgent” qui arrive à 17h58. Un outil gratuit “juste pour convertir un PDF”. Une clé USB prêtée entre deux réunions. Rien d’extraordinaire, et pourtant… c’est souvent là que les logiciels malveillants entrent. En entreprise, les malveillants ne cherchent pas seulement une faille technique : ils cherchent un automatisme humain. Comprendre les deux grandes catégories de malwares (ceux qui bloquent tout et ceux qui s’installent sans bruit) permet de protéger le système, les données, et surtout les utilisateurs, sans transformer les équipes en experts en cybersécurité.

A retenir

  • Le mot virus est courant, mais il ne couvre pas tous les logiciels malveillants : parler en types et catégories accélère la réaction.
  • Deux catégories dominent : malwares bruyants (blocage, chiffrement, sabotage) vs malwares furtifs (vol, contrôle, espionnage).
  • Les utilisateurs sont ciblés parce qu’ils traitent des mails, des liens, des fichiers et des accès au système en continu.
  • Un troie (et plus largement les chevaux de Troie) paraît légitime ; un ransomware se voit, mais souvent tard.
  • Réduire les menaces demande à la fois des bases techniques (mises à jour, droits, sauvegardes, antivirus) et une culture de signalement sans jugement.

Les chiffres, eux, ne laissent plus beaucoup de place au doute : le Verizon DBIR rappelle année après année que “l’élément humain” (phishing, identifiants, erreurs) reste impliqué dans une part majeure des incidents. Et côté ransomware, le rapport Sophos – State of Ransomware documente des impacts très concrets : interruptions d’activité, délais de remise en route, coûts indirects (clients perdus, production stoppée, heures supplémentaires). En clair, ce n’est pas “un sujet IT”. C’est un sujet de facturation, de planning, de paie, de relation client. Et donc… de workplace. En 2026, une heure de coupure sur la messagerie ou l’ERP suffit parfois à désorganiser une équipe entière : réunions annulées, devis en attente, relances impossibles.

Ce que l’on appelle “virus” au bureau ne décrit pas tous les logiciels malveillants

Dans la vie pro, “j’ai un virus” sert à tout : un navigateur lent, une fenêtre bizarre, un PC qui chauffe. C’est pratique. Pourtant, un virus n’est qu’un type précis de logiciel malveillant. Le terme malware (et son pluriel malwares) désigne l’ensemble des logiciels malveillants : des programmes pensés pour infiltrer, tromper, voler des informations, chiffrer des données, ou perturber un système.

Cette nuance n’est pas un jeu de vocabulaire. Elle évite une bourde fréquente en informatique : traiter “au petit bonheur”. Car on ne se défend pas de la même manière selon la cible (poste, messagerie, ERP, caisse, partage réseau) et selon le comportement des malveillants. Concrètement, ces logiciels malveillants visent souvent :

  • Le système : le rendre instable, inutilisable, ou impossible à démarrer.
  • Les données : les chiffrer, les supprimer, les copier, ou les détourner.
  • L’utilisateur : l’amener à cliquer, installer, ou valider une action risquée.
  • Les usages web et la messagerie : là où transitent devis, factures, contrats, CV et informations clients.

Oui, un antivirus aide. Mais non, il ne suffit pas toujours. Certains malwares font du bruit (on les voit). D’autres restent invisibles (et c’est précisément leur force). Les deux existent, et les deux demandent des réflexes adaptés, y compris côté métiers. Un service RH n’a pas besoin de connaître les sigles ; il a besoin de savoir quoi faire quand un CV arrive en pièce jointe “bizarre”.

Les deux grandes catégories de malwares qui expliquent la majorité des incidents en entreprise

Sur le terrain, une classification simple fonctionne bien : deux catégories. D’un côté, les malveillants “bruyants” qui bloquent l’activité. De l’autre, les malveillants “furtifs” qui s’installent, observent et préparent la suite. Deux logiques, deux rythmes, deux façons de réagir. Et deux erreurs classiques : sous-estimer les signaux faibles, ou paniquer trop tard quand tout est déjà figé.

CatégoriesObjectif principalCe qui arrive au systèmeCe qui arrive aux donnéesSignaux visibles côté utilisateursDécision métier immédiate
Malwares bruyants (bloquer / chiffrer / détruire)Mettre l’entreprise à l’arrêt, créer une crise, parfois obtenir un paiementSystème indisponible, applis qui tombent, partages réseau inutilisablesDonnées chiffrées, supprimées ou inaccessiblesAlertes, extensions de fichiers modifiées, lenteurs extrêmesRétablir la continuité, limiter la propagation sur le réseau
Malwares furtifs (espionner / voler / contrôler)Vol d’identifiants, exfiltration, préparation d’attaques ultérieuresSystème “stable” en apparence, modifications discrètesDonnées copiées progressivement, accès détournésPetits dysfonctionnements, connexions étranges, règles mail inattenduesSécuriser les comptes, vérifier les accès et les réseaux

Catégorie 1 : les logiciels malveillants qui bloquent le travail (et déclenchent la panique)

Ici, l’objectif est simple : empêcher l’activité. Ces logiciels malveillants misent sur la pression : “tout de suite”, “urgence”, “plus rien ne marche”. Dans une PME, un cabinet, une boutique, une entreprise du BTP ou un service RH, le résultat est le même : planning inaccessible, facturation stoppée, dossiers clients inutilisables, fichiers illisibles. Quand la paie doit sortir dans 48 heures, ce n’est pas une histoire abstraite : c’est un mur.

Sur le système, l’effet est souvent brutal : services arrêtés, sessions qui bouclent, accès aux partages bloqué. Et côté données, c’est immédiat : elles deviennent inexploitables, parfois sur plusieurs appareils si la propagation touche le réseau. Un poste infecté peut suffire à contaminer un serveur de données mal segmenté. C’est rare que cela reste “un seul PC”. Autre réalité : beaucoup d’organisations s’en rendent compte au pire moment, quand une équipe essaie simplement d’ouvrir un dossier partagé avant une réunion client.

Exemples fréquents : ransomware, virus perturbateur, et ransomwares “en série”

Pour rester pédagogique, trois types reviennent souvent dans les retours d’incidents :

  • Ransomware : il chiffre les données et réclame une rançon. Ce n’est pas “juste un virus” : c’est une chaîne de valeur criminelle, industrialisée. Et oui, on parle aussi de ransomwares au pluriel, parce que les variantes se multiplient.
  • Virus “perturbateur” : certains virus se propagent via des échanges de fichiers, des partages, ou des supports amovibles, et rendent le travail instable.
  • Des programmes destructeurs : parfois l’objectif n’est pas l’argent, mais le dommage (suppression, sabotage, arrêt de production). Là, la restauration peut coûter plus cher que l’attaque elle-même.

Petit piège vécu dans beaucoup d’équipes : croire que, parce que c’est visible, c’est “facile à gérer”. Pourtant, quand l’alerte apparaît, la propagation sur le réseau a parfois déjà commencé. Et là, chaque minute compte : un partage mappé sur 30 postes peut devenir un accélérateur. Autre erreur observée : vouloir “finir la tâche” avant de prévenir. Mauvais calcul.

Indices côté métier : ce qui doit déclencher l’alerte sans débat

Des fichiers qui changent de nom. Une extension inconnue. Un outil qui refuse soudain d’ouvrir une base. Des postes qui deviennent inutilisables en cascade. Ou un message qui parle de paiement. Ce sont des signaux “bruyants”, et c’est précisément pour cela qu’ils doivent déclencher un signalement immédiat, même si le réflexe naturel est de “redémarrer pour voir”. Autre détail : si l’écran affiche une “notice” en anglais maladroit, ce n’est pas un bug Windows, c’est souvent un scénario d’extorsion.

Conséquences : retards, clients qui attendent, production interrompue, factures non envoyées. Une entreprise ne perd pas seulement du temps, elle perd du cash. C’est l’objectif de ces malveillants : forcer une décision sous stress. Et quand la décision se prend dans l’urgence, les erreurs suivent : paiement précipité, effacement mal fait, relance d’un poste contaminé.

Catégorie 2 : les malwares furtifs qui s’installent pour voler et durer

Ici, pas d’écran rouge. Pas de message spectaculaire. Le but est d’entrer, de rester, puis de collecter : identifiants, informations, accès à la messagerie, aux outils de gestion, aux espaces partagés. Progressivement. Parfois pendant des semaines. C’est d’ailleurs ce que souligne régulièrement l’ENISA Threat Landscape : l’attaque moderne alterne souvent intrusion, mouvement latéral, puis monétisation.

Un malware furtif peut servir à préparer une autre étape : une fraude au virement, un vol de base clients, ou le déclenchement d’un ransomware plus tard. Et le quotidien joue contre les équipes : on met ça sur le compte d’un bug, d’une mise à jour, d’un poste “fatigué”. Les malveillants, eux, préfèrent le silence. Autre point : en 2026, une messagerie SaaS compromise vaut parfois plus qu’un PC, parce qu’elle donne accès à des réinitialisations de mots de passe, des factures, des échanges sensibles.

Exemples concrets : troie, chevaux de Troie, rootkits, ver

Sans transformer les collaborateurs en analystes, quelques mots reviennent souvent et méritent d’être compris :

  • Cheval de Troie : un troie se fait passer pour un logiciel normal (ou un document crédible) et ouvre une porte. Les chevaux de Troie adorent les téléchargements “hors circuit” et les pièces jointes pressées.
  • Les rootkits : ils cherchent à se cacher profondément dans le système, pour rester invisibles plus longtemps. Rarement détectés “à l’œil”.
  • Un ver : il peut se propager sur des réseaux sans attendre qu’un humain fasse dix actions. On le sous-estime parce qu’il paraît “ancien”, mais il continue d’exister.
  • Des voleurs d’identifiants et backdoors : ils servent à piloter un poste et installer d’autres programmes ensuite, parfois sur plusieurs systèmes.

Dans une entreprise petite ou moyenne, un troie sur le poste “facturation” ou “direction” peut suffire à compromettre la messagerie, puis le reste du système. Et là, l’incident devient transversal : RH, finance, commerce, production. Le détail qui change tout : la personne touchée n’a souvent “rien fait de spécial”, juste ouvert un fichier crédible entre deux appels.

Signes faibles : ce qu’il faut noter avant que le poste soit infecté “pour de bon”

Des demandes de connexion répétées. Une validation MFA qui arrive alors que personne ne se connecte. Un navigateur qui change de réglages. Des règles de transfert dans la messagerie. Ou des mails qui partent “tout seuls”. Ce n’est pas un virus spectaculaire, mais c’est souvent le début d’une chaîne d’attaques. Dans les retours d’expérience, ces signaux sont souvent mentionnés… après coup. Dommage, parce qu’ils donnent une fenêtre d’action.

Autre point concret : si plusieurs utilisateurs signalent le même “petit problème” au même moment, ce n’est plus un bug isolé. C’est un motif d’enquête. Et oui, ça mérite une alerte interne, même si l’on n’est pas sûr. Dans une équipe, l’information circule vite ; autant l’utiliser dans le bon sens.

Pourquoi les salariés restent la première porte d’entrée ?

Ce n’est pas parce que les équipes “font n’importe quoi”. C’est parce qu’elles manipulent tout : devis, factures, CV, contrats, liens web, outils SaaS, fichiers partagés. Les logiciels malveillants l’ont compris : attaquer un pare-feu est plus difficile que d’exploiter une habitude de travail.

La réalité RH est simple : plus une organisation ajoute de friction (demande d’accès lente, outils validés difficiles à obtenir), plus les contournements augmentent. Et ces contournements, malheureusement, sont une route royale pour les malveillants. À ce titre, la prévention n’est pas seulement une question de sécurité : c’est aussi une question d’expérience employé. Une règle trop floue crée des débats ; une règle trop dure crée des “plans B”. Ce sont ces “plans B” qui coûtent cher.

Quatre scénarios de bureau qui reviennent tout le temps

  • Le mail “presque normal” : une pièce jointe, un lien, une fausse page. L’urgence est l’arme. Et derrière, un troie ou un malware plus bruyant peut suivre.
  • Le “petit logiciel” pratique : convertisseur, plugin, utilitaire. Téléchargé vite, sans validation. C’est le terrain préféré du cheval de Troie et de certains programmes malveillants.
  • Les identifiants : réutilisation, partage, fatigue MFA. Un accès compromis ouvre le système sans casser la porte.
  • Le nomadisme : télétravail, Wi-Fi, périphériques, synchronisations. Un appareil bouge, touche plusieurs réseaux, et augmente l’exposition. Et quand des appareils personnels se mélangent au pro, le risque monte encore.

Ajout utile : sur Windows, beaucoup d’incidents démarrent par un geste banal (macro, pièce jointe, exécutable “outil”). Windows n’est pas “le problème”, mais c’est une cible fréquente, donc les habitudes comptent encore plus. Et côté Mac, la fausse impression “je suis tranquille” pousse parfois à baisser la garde, ce qui fait le bonheur des campagnes d’hameçonnage.

Triage express : distinguer les deux catégories en 2 minutes (sans jargon)

Quand tout le monde s’agite, une question évite de partir dans tous les sens : est-ce que ça bloque l’activité maintenant, ou est-ce que ça semble espionner en silence ? Ce tri guide les priorités et réduit les mauvaises réactions. Et oui, “redémarrer pour voir” est parfois la pire idée. Un poste redémarré peut relancer un script, chiffrer plus loin, ou effacer des traces utiles à l’analyse.

QuestionRéponse typiqueCatégorie probableRisque principalRéflexe côté utilisateurInfos à transmettre
Les dossiers ou fichiers sont-ils inaccessibles, ou le poste est-il inutilisable ?Oui, tout est bloquéMalware bruyant : ransomware, virus perturbateurArrêt d’activité, propagation sur le réseauSe déconnecter du réseau si possible, prévenir immédiatement selon la procédureHeure, message, dernier mail, dernier logiciel installé, partages utilisés
Tout “marche”, mais il y a des comportements étranges (connexions, mails, réglages) ?Oui, c’est bizarre mais pas bloquantMalware furtif : troie, backdoor, rootkitsVol d’identifiants, fuite de données, préparation d’attaquesStopper les actions sensibles, signaler, sécuriser les comptes depuis un poste sainCaptures, URL, mails suspects, changements observés, comptes touchés

Bonnes pratiques simples à partager entre collègues

Le but n’est pas de créer une entreprise bunker. Le but, c’est de réduire les opportunités des malveillants sans casser la productivité. Autrement dit : rendre le bon choix facile, et le mauvais choix moins probable. C’est exactement le type de démarche qui colle à une culture workplace saine : moins de stress, plus de clarté, des gestes répétables.

Hygiène “outil” : ce qui protège vraiment les systèmes et les données

  • Mettre à jour régulièrement : OS, navigateur, suite bureautique, outils métier. Beaucoup d’attaques reposent sur l’exploitation de failles connues.
  • Limiter les droits d’installation : tout le monde n’a pas besoin d’installer chaque logiciel. Une politique simple évite des programmes non maîtrisés.
  • Tester les sauvegardes : restaurer un fichier, puis un dossier, puis un poste. Sinon, le jour J, la sauvegarde “existe” mais ne sert pas.
  • Renforcer la messagerie : filtrage, blocage des pièces jointes risquées, sensibilisation aux mails pressants.
  • Utiliser un antivirus maintenu et à jour : ce n’est pas magique, mais c’est une base de protection.

Une erreur vue trop souvent en PME : des sauvegardes connectées en permanence au réseau. Quand un ransomware passe, il chiffre aussi la sauvegarde. Résultat : tout tombe, tout de suite. Ce n’est pas un détail technique, c’est une condition de survie opérationnelle. Autre apprentissage fréquent : documenter “qui appeler” et “où trouver la procédure”, parce que le jour où ça arrive, personne n’a le temps de fouiller l’intranet.

Hygiène “humaine” : le meilleur levier, parce qu’il est immédiat

  • Contrôler l’expéditeur réel d’un mail, pas seulement le nom affiché.
  • Se méfier de l’urgence : “Pourquoi maintenant ?” est une question très efficace.
  • Signaler vite, même en cas de doute. Les malveillants gagnent surtout quand l’alerte arrive trop tard.

Point culture d’équipe : punir un utilisateur qui signale décourage les autres. À l’inverse, remercier un signalement (même si c’était une fausse alerte) accélère les bons réflexes. Et cette vitesse-là vaut cher. Dans les organisations qui progressent, le signalement devient un réflexe banal, au même titre qu’un incident sécurité sur un chantier.

Plan d’actions “workplace” : exercices courts, mesurables, réutilisables

Les formations longues une fois par an ? Utile, mais souvent oubliée. Ce qui marche progressivement, ce sont des formats courts, répétés, concrets. Une sorte de “routine”, comme pour la sécurité au travail. Et oui, c’est aussi une façon de protéger la charge mentale des utilisateurs. Une équipe qui sait quoi faire hésite moins, panique moins, et perd moins de temps.

ExerciceDuréeObjectifPublicIndicateurs concretsRésultat attendu
Simulation de phishing interne (bienveillante)15 minutes (test + débrief)Réduire les clics et augmenter le signalementToute l’entrepriseTaux de clic, taux de signalement, délai de signalementMoins d’entrées pour logiciels malveillants via mails
Atelier “pièces jointes et liens” (cas réels)20 minutesReconnaître les signaux d’attaques courantesRH, commerce, admin, supportCapacité à repérer 3 signaux sur 5, check-list appliquéeMoins d’ouvertures risquées, moins de poste infecté
Routine comptes : mots de passe, MFA, gestionnaire15 minutesRéduire la réutilisation et la fatigue MFATous utilisateursAdoption gestionnaire, baisse des resets, baisse des validations MFA inattenduesMoins de prise de contrôle par troie et voleurs d’identifiants
Check-list “poste nomade” (avant déplacement)15 minutesLimiter les risques liés aux réseaux externesManagers, terrain, freelancesVPN utilisé, mises à jour faites, périphériques maîtrisésRéduction des menaces sur appareil et messagerie

Choisir des priorités selon le contexte de l’entreprise (sinon, on s’éparpille)

Toutes les entreprise n’ont pas les mêmes risques. Une structure qui traite des données de santé, des informations RH, ou des paiements est plus exposée qu’un environnement plus léger. Trois questions suffisent pour agir sans usine à gaz :

  • Quelles données seraient les plus graves à perdre, ou à voir fuiter ?
  • Quels postes sont les plus exposés (direction, compta, RH, support client) ?
  • Quels outils ne doivent jamais s’arrêter (facturation, caisse, ERP, planning) ?

Ensuite, on décide. Liste courte de logiciels autorisés. Process rapide de validation. Politique claire pour les appareils et supports amovibles. Et une phrase simple pour signaler. Ce sont des mesures “workplace” autant que des mesures de sécurité. Dans les petites structures, un canal unique (ticket, adresse mail dédiée, numéro) évite les pertes d’info. Dans les équipes plus grandes, un relais par service fait gagner du temps.

Les deux grandes catégories de malwares se vivent très concrètement en entreprise : soit un logiciel malveillant bloque tout (et l’activité se fige), soit un malware s’installe en silence (et les accès, les données et les comptes se dégradent sans bruit). Dans les deux cas, la première porte d’entrée reste souvent un geste du quotidien : un mail, un lien web, un outil téléchargé, une validation trop rapide. Outiller les utilisateurs avec des réflexes simples, et aider l’entreprise à choisir des logiciels et des règles qui n’encouragent pas les contournements, sont les moyens les plus efficaces . La meilleure protection n’est pas la méfiance permanente ; c’est une organisation qui rend le bon comportement facile, répétable, et valorisé. Et quand ce cadre existe, la DSI respire, les métiers avancent, et les incidents coûtent moins cher, tout simplement.

Sources

  • https://www.verizon.com/business/resources/reports/dbir/
  • https://www.sophos.com/en-us/content/state-of-ransomware
  • https://www.microsoft.com/en-us/security/business/security-intelligence-report
  • https://www.enisa.europa.eu/publications/enisa-threat-landscape
  • https://attack.mitre.org/
Image Arrondie

Quelques mots sur l'auteur

Je m'appelle Jean-Edouard et je suis passionné d’informatique depuis mon enfance. J’ai exploré la bureautique et les nouvelles technologies pour en comprendre les enjeux. Fort d’une expérience en entreprise, j’ai lancé ce blog afin de partager mes connaissances et proposer des conseils pratiques. Mon objectif : rendre l’univers numérique plus accessible à tous.

Articles similaires