Un mail “urgent” qui arrive à 17h58. Un outil gratuit “juste pour convertir un PDF”. Une clé USB prêtée entre deux réunions. Rien d’extraordinaire, et pourtant… c’est souvent là que les logiciels malveillants entrent. En entreprise, les malveillants ne cherchent pas seulement une faille technique : ils cherchent un automatisme humain. Comprendre les deux grandes catégories de malwares (ceux qui bloquent tout et ceux qui s’installent sans bruit) permet de protéger le système, les données, et surtout les utilisateurs, sans transformer les équipes en experts en cybersécurité.
A retenir
- Le mot virus est courant, mais il ne couvre pas tous les logiciels malveillants : parler en types et catégories accélère la réaction.
- Deux catégories dominent : malwares bruyants (blocage, chiffrement, sabotage) vs malwares furtifs (vol, contrôle, espionnage).
- Les utilisateurs sont ciblés parce qu’ils traitent des mails, des liens, des fichiers et des accès au système en continu.
- Un troie (et plus largement les chevaux de Troie) paraît légitime ; un ransomware se voit, mais souvent tard.
- Réduire les menaces demande à la fois des bases techniques (mises à jour, droits, sauvegardes, antivirus) et une culture de signalement sans jugement.
Les chiffres, eux, ne laissent plus beaucoup de place au doute : le Verizon DBIR rappelle année après année que “l’élément humain” (phishing, identifiants, erreurs) reste impliqué dans une part majeure des incidents. Et côté ransomware, le rapport Sophos – State of Ransomware documente des impacts très concrets : interruptions d’activité, délais de remise en route, coûts indirects (clients perdus, production stoppée, heures supplémentaires). En clair, ce n’est pas “un sujet IT”. C’est un sujet de facturation, de planning, de paie, de relation client. Et donc… de workplace. En 2026, une heure de coupure sur la messagerie ou l’ERP suffit parfois à désorganiser une équipe entière : réunions annulées, devis en attente, relances impossibles.
Ce que l’on appelle “virus” au bureau ne décrit pas tous les logiciels malveillants
Dans la vie pro, “j’ai un virus” sert à tout : un navigateur lent, une fenêtre bizarre, un PC qui chauffe. C’est pratique. Pourtant, un virus n’est qu’un type précis de logiciel malveillant. Le terme malware (et son pluriel malwares) désigne l’ensemble des logiciels malveillants : des programmes pensés pour infiltrer, tromper, voler des informations, chiffrer des données, ou perturber un système.
Cette nuance n’est pas un jeu de vocabulaire. Elle évite une bourde fréquente en informatique : traiter “au petit bonheur”. Car on ne se défend pas de la même manière selon la cible (poste, messagerie, ERP, caisse, partage réseau) et selon le comportement des malveillants. Concrètement, ces logiciels malveillants visent souvent :
- Le système : le rendre instable, inutilisable, ou impossible à démarrer.
- Les données : les chiffrer, les supprimer, les copier, ou les détourner.
- L’utilisateur : l’amener à cliquer, installer, ou valider une action risquée.
- Les usages web et la messagerie : là où transitent devis, factures, contrats, CV et informations clients.
Oui, un antivirus aide. Mais non, il ne suffit pas toujours. Certains malwares font du bruit (on les voit). D’autres restent invisibles (et c’est précisément leur force). Les deux existent, et les deux demandent des réflexes adaptés, y compris côté métiers. Un service RH n’a pas besoin de connaître les sigles ; il a besoin de savoir quoi faire quand un CV arrive en pièce jointe “bizarre”.
Les deux grandes catégories de malwares qui expliquent la majorité des incidents en entreprise
Sur le terrain, une classification simple fonctionne bien : deux catégories. D’un côté, les malveillants “bruyants” qui bloquent l’activité. De l’autre, les malveillants “furtifs” qui s’installent, observent et préparent la suite. Deux logiques, deux rythmes, deux façons de réagir. Et deux erreurs classiques : sous-estimer les signaux faibles, ou paniquer trop tard quand tout est déjà figé.
| Catégories | Objectif principal | Ce qui arrive au système | Ce qui arrive aux données | Signaux visibles côté utilisateurs | Décision métier immédiate |
|---|---|---|---|---|---|
| Malwares bruyants (bloquer / chiffrer / détruire) | Mettre l’entreprise à l’arrêt, créer une crise, parfois obtenir un paiement | Système indisponible, applis qui tombent, partages réseau inutilisables | Données chiffrées, supprimées ou inaccessibles | Alertes, extensions de fichiers modifiées, lenteurs extrêmes | Rétablir la continuité, limiter la propagation sur le réseau |
| Malwares furtifs (espionner / voler / contrôler) | Vol d’identifiants, exfiltration, préparation d’attaques ultérieures | Système “stable” en apparence, modifications discrètes | Données copiées progressivement, accès détournés | Petits dysfonctionnements, connexions étranges, règles mail inattendues | Sécuriser les comptes, vérifier les accès et les réseaux |
Catégorie 1 : les logiciels malveillants qui bloquent le travail (et déclenchent la panique)
Ici, l’objectif est simple : empêcher l’activité. Ces logiciels malveillants misent sur la pression : “tout de suite”, “urgence”, “plus rien ne marche”. Dans une PME, un cabinet, une boutique, une entreprise du BTP ou un service RH, le résultat est le même : planning inaccessible, facturation stoppée, dossiers clients inutilisables, fichiers illisibles. Quand la paie doit sortir dans 48 heures, ce n’est pas une histoire abstraite : c’est un mur.
Sur le système, l’effet est souvent brutal : services arrêtés, sessions qui bouclent, accès aux partages bloqué. Et côté données, c’est immédiat : elles deviennent inexploitables, parfois sur plusieurs appareils si la propagation touche le réseau. Un poste infecté peut suffire à contaminer un serveur de données mal segmenté. C’est rare que cela reste “un seul PC”. Autre réalité : beaucoup d’organisations s’en rendent compte au pire moment, quand une équipe essaie simplement d’ouvrir un dossier partagé avant une réunion client.
Exemples fréquents : ransomware, virus perturbateur, et ransomwares “en série”
Pour rester pédagogique, trois types reviennent souvent dans les retours d’incidents :
- Ransomware : il chiffre les données et réclame une rançon. Ce n’est pas “juste un virus” : c’est une chaîne de valeur criminelle, industrialisée. Et oui, on parle aussi de ransomwares au pluriel, parce que les variantes se multiplient.
- Virus “perturbateur” : certains virus se propagent via des échanges de fichiers, des partages, ou des supports amovibles, et rendent le travail instable.
- Des programmes destructeurs : parfois l’objectif n’est pas l’argent, mais le dommage (suppression, sabotage, arrêt de production). Là, la restauration peut coûter plus cher que l’attaque elle-même.
Petit piège vécu dans beaucoup d’équipes : croire que, parce que c’est visible, c’est “facile à gérer”. Pourtant, quand l’alerte apparaît, la propagation sur le réseau a parfois déjà commencé. Et là, chaque minute compte : un partage mappé sur 30 postes peut devenir un accélérateur. Autre erreur observée : vouloir “finir la tâche” avant de prévenir. Mauvais calcul.
Indices côté métier : ce qui doit déclencher l’alerte sans débat
Des fichiers qui changent de nom. Une extension inconnue. Un outil qui refuse soudain d’ouvrir une base. Des postes qui deviennent inutilisables en cascade. Ou un message qui parle de paiement. Ce sont des signaux “bruyants”, et c’est précisément pour cela qu’ils doivent déclencher un signalement immédiat, même si le réflexe naturel est de “redémarrer pour voir”. Autre détail : si l’écran affiche une “notice” en anglais maladroit, ce n’est pas un bug Windows, c’est souvent un scénario d’extorsion.
Conséquences : retards, clients qui attendent, production interrompue, factures non envoyées. Une entreprise ne perd pas seulement du temps, elle perd du cash. C’est l’objectif de ces malveillants : forcer une décision sous stress. Et quand la décision se prend dans l’urgence, les erreurs suivent : paiement précipité, effacement mal fait, relance d’un poste contaminé.
Catégorie 2 : les malwares furtifs qui s’installent pour voler et durer
Ici, pas d’écran rouge. Pas de message spectaculaire. Le but est d’entrer, de rester, puis de collecter : identifiants, informations, accès à la messagerie, aux outils de gestion, aux espaces partagés. Progressivement. Parfois pendant des semaines. C’est d’ailleurs ce que souligne régulièrement l’ENISA Threat Landscape : l’attaque moderne alterne souvent intrusion, mouvement latéral, puis monétisation.
Un malware furtif peut servir à préparer une autre étape : une fraude au virement, un vol de base clients, ou le déclenchement d’un ransomware plus tard. Et le quotidien joue contre les équipes : on met ça sur le compte d’un bug, d’une mise à jour, d’un poste “fatigué”. Les malveillants, eux, préfèrent le silence. Autre point : en 2026, une messagerie SaaS compromise vaut parfois plus qu’un PC, parce qu’elle donne accès à des réinitialisations de mots de passe, des factures, des échanges sensibles.
Exemples concrets : troie, chevaux de Troie, rootkits, ver
Sans transformer les collaborateurs en analystes, quelques mots reviennent souvent et méritent d’être compris :
- Cheval de Troie : un troie se fait passer pour un logiciel normal (ou un document crédible) et ouvre une porte. Les chevaux de Troie adorent les téléchargements “hors circuit” et les pièces jointes pressées.
- Les rootkits : ils cherchent à se cacher profondément dans le système, pour rester invisibles plus longtemps. Rarement détectés “à l’œil”.
- Un ver : il peut se propager sur des réseaux sans attendre qu’un humain fasse dix actions. On le sous-estime parce qu’il paraît “ancien”, mais il continue d’exister.
- Des voleurs d’identifiants et backdoors : ils servent à piloter un poste et installer d’autres programmes ensuite, parfois sur plusieurs systèmes.
Dans une entreprise petite ou moyenne, un troie sur le poste “facturation” ou “direction” peut suffire à compromettre la messagerie, puis le reste du système. Et là, l’incident devient transversal : RH, finance, commerce, production. Le détail qui change tout : la personne touchée n’a souvent “rien fait de spécial”, juste ouvert un fichier crédible entre deux appels.
Signes faibles : ce qu’il faut noter avant que le poste soit infecté “pour de bon”
Des demandes de connexion répétées. Une validation MFA qui arrive alors que personne ne se connecte. Un navigateur qui change de réglages. Des règles de transfert dans la messagerie. Ou des mails qui partent “tout seuls”. Ce n’est pas un virus spectaculaire, mais c’est souvent le début d’une chaîne d’attaques. Dans les retours d’expérience, ces signaux sont souvent mentionnés… après coup. Dommage, parce qu’ils donnent une fenêtre d’action.
Autre point concret : si plusieurs utilisateurs signalent le même “petit problème” au même moment, ce n’est plus un bug isolé. C’est un motif d’enquête. Et oui, ça mérite une alerte interne, même si l’on n’est pas sûr. Dans une équipe, l’information circule vite ; autant l’utiliser dans le bon sens.
Pourquoi les salariés restent la première porte d’entrée ?
Ce n’est pas parce que les équipes “font n’importe quoi”. C’est parce qu’elles manipulent tout : devis, factures, CV, contrats, liens web, outils SaaS, fichiers partagés. Les logiciels malveillants l’ont compris : attaquer un pare-feu est plus difficile que d’exploiter une habitude de travail.
La réalité RH est simple : plus une organisation ajoute de friction (demande d’accès lente, outils validés difficiles à obtenir), plus les contournements augmentent. Et ces contournements, malheureusement, sont une route royale pour les malveillants. À ce titre, la prévention n’est pas seulement une question de sécurité : c’est aussi une question d’expérience employé. Une règle trop floue crée des débats ; une règle trop dure crée des “plans B”. Ce sont ces “plans B” qui coûtent cher.
Quatre scénarios de bureau qui reviennent tout le temps
- Le mail “presque normal” : une pièce jointe, un lien, une fausse page. L’urgence est l’arme. Et derrière, un troie ou un malware plus bruyant peut suivre.
- Le “petit logiciel” pratique : convertisseur, plugin, utilitaire. Téléchargé vite, sans validation. C’est le terrain préféré du cheval de Troie et de certains programmes malveillants.
- Les identifiants : réutilisation, partage, fatigue MFA. Un accès compromis ouvre le système sans casser la porte.
- Le nomadisme : télétravail, Wi-Fi, périphériques, synchronisations. Un appareil bouge, touche plusieurs réseaux, et augmente l’exposition. Et quand des appareils personnels se mélangent au pro, le risque monte encore.
Ajout utile : sur Windows, beaucoup d’incidents démarrent par un geste banal (macro, pièce jointe, exécutable “outil”). Windows n’est pas “le problème”, mais c’est une cible fréquente, donc les habitudes comptent encore plus. Et côté Mac, la fausse impression “je suis tranquille” pousse parfois à baisser la garde, ce qui fait le bonheur des campagnes d’hameçonnage.
Triage express : distinguer les deux catégories en 2 minutes (sans jargon)
Quand tout le monde s’agite, une question évite de partir dans tous les sens : est-ce que ça bloque l’activité maintenant, ou est-ce que ça semble espionner en silence ? Ce tri guide les priorités et réduit les mauvaises réactions. Et oui, “redémarrer pour voir” est parfois la pire idée. Un poste redémarré peut relancer un script, chiffrer plus loin, ou effacer des traces utiles à l’analyse.
| Question | Réponse typique | Catégorie probable | Risque principal | Réflexe côté utilisateur | Infos à transmettre |
|---|---|---|---|---|---|
| Les dossiers ou fichiers sont-ils inaccessibles, ou le poste est-il inutilisable ? | Oui, tout est bloqué | Malware bruyant : ransomware, virus perturbateur | Arrêt d’activité, propagation sur le réseau | Se déconnecter du réseau si possible, prévenir immédiatement selon la procédure | Heure, message, dernier mail, dernier logiciel installé, partages utilisés |
| Tout “marche”, mais il y a des comportements étranges (connexions, mails, réglages) ? | Oui, c’est bizarre mais pas bloquant | Malware furtif : troie, backdoor, rootkits | Vol d’identifiants, fuite de données, préparation d’attaques | Stopper les actions sensibles, signaler, sécuriser les comptes depuis un poste sain | Captures, URL, mails suspects, changements observés, comptes touchés |
Bonnes pratiques simples à partager entre collègues
Le but n’est pas de créer une entreprise bunker. Le but, c’est de réduire les opportunités des malveillants sans casser la productivité. Autrement dit : rendre le bon choix facile, et le mauvais choix moins probable. C’est exactement le type de démarche qui colle à une culture workplace saine : moins de stress, plus de clarté, des gestes répétables.
Hygiène “outil” : ce qui protège vraiment les systèmes et les données
- Mettre à jour régulièrement : OS, navigateur, suite bureautique, outils métier. Beaucoup d’attaques reposent sur l’exploitation de failles connues.
- Limiter les droits d’installation : tout le monde n’a pas besoin d’installer chaque logiciel. Une politique simple évite des programmes non maîtrisés.
- Tester les sauvegardes : restaurer un fichier, puis un dossier, puis un poste. Sinon, le jour J, la sauvegarde “existe” mais ne sert pas.
- Renforcer la messagerie : filtrage, blocage des pièces jointes risquées, sensibilisation aux mails pressants.
- Utiliser un antivirus maintenu et à jour : ce n’est pas magique, mais c’est une base de protection.
Une erreur vue trop souvent en PME : des sauvegardes connectées en permanence au réseau. Quand un ransomware passe, il chiffre aussi la sauvegarde. Résultat : tout tombe, tout de suite. Ce n’est pas un détail technique, c’est une condition de survie opérationnelle. Autre apprentissage fréquent : documenter “qui appeler” et “où trouver la procédure”, parce que le jour où ça arrive, personne n’a le temps de fouiller l’intranet.
Hygiène “humaine” : le meilleur levier, parce qu’il est immédiat
- Contrôler l’expéditeur réel d’un mail, pas seulement le nom affiché.
- Se méfier de l’urgence : “Pourquoi maintenant ?” est une question très efficace.
- Signaler vite, même en cas de doute. Les malveillants gagnent surtout quand l’alerte arrive trop tard.
Point culture d’équipe : punir un utilisateur qui signale décourage les autres. À l’inverse, remercier un signalement (même si c’était une fausse alerte) accélère les bons réflexes. Et cette vitesse-là vaut cher. Dans les organisations qui progressent, le signalement devient un réflexe banal, au même titre qu’un incident sécurité sur un chantier.
Plan d’actions “workplace” : exercices courts, mesurables, réutilisables
Les formations longues une fois par an ? Utile, mais souvent oubliée. Ce qui marche progressivement, ce sont des formats courts, répétés, concrets. Une sorte de “routine”, comme pour la sécurité au travail. Et oui, c’est aussi une façon de protéger la charge mentale des utilisateurs. Une équipe qui sait quoi faire hésite moins, panique moins, et perd moins de temps.
| Exercice | Durée | Objectif | Public | Indicateurs concrets | Résultat attendu |
|---|---|---|---|---|---|
| Simulation de phishing interne (bienveillante) | 15 minutes (test + débrief) | Réduire les clics et augmenter le signalement | Toute l’entreprise | Taux de clic, taux de signalement, délai de signalement | Moins d’entrées pour logiciels malveillants via mails |
| Atelier “pièces jointes et liens” (cas réels) | 20 minutes | Reconnaître les signaux d’attaques courantes | RH, commerce, admin, support | Capacité à repérer 3 signaux sur 5, check-list appliquée | Moins d’ouvertures risquées, moins de poste infecté |
| Routine comptes : mots de passe, MFA, gestionnaire | 15 minutes | Réduire la réutilisation et la fatigue MFA | Tous utilisateurs | Adoption gestionnaire, baisse des resets, baisse des validations MFA inattendues | Moins de prise de contrôle par troie et voleurs d’identifiants |
| Check-list “poste nomade” (avant déplacement) | 15 minutes | Limiter les risques liés aux réseaux externes | Managers, terrain, freelances | VPN utilisé, mises à jour faites, périphériques maîtrisés | Réduction des menaces sur appareil et messagerie |
Choisir des priorités selon le contexte de l’entreprise (sinon, on s’éparpille)
Toutes les entreprise n’ont pas les mêmes risques. Une structure qui traite des données de santé, des informations RH, ou des paiements est plus exposée qu’un environnement plus léger. Trois questions suffisent pour agir sans usine à gaz :
- Quelles données seraient les plus graves à perdre, ou à voir fuiter ?
- Quels postes sont les plus exposés (direction, compta, RH, support client) ?
- Quels outils ne doivent jamais s’arrêter (facturation, caisse, ERP, planning) ?
Ensuite, on décide. Liste courte de logiciels autorisés. Process rapide de validation. Politique claire pour les appareils et supports amovibles. Et une phrase simple pour signaler. Ce sont des mesures “workplace” autant que des mesures de sécurité. Dans les petites structures, un canal unique (ticket, adresse mail dédiée, numéro) évite les pertes d’info. Dans les équipes plus grandes, un relais par service fait gagner du temps.
Les deux grandes catégories de malwares se vivent très concrètement en entreprise : soit un logiciel malveillant bloque tout (et l’activité se fige), soit un malware s’installe en silence (et les accès, les données et les comptes se dégradent sans bruit). Dans les deux cas, la première porte d’entrée reste souvent un geste du quotidien : un mail, un lien web, un outil téléchargé, une validation trop rapide. Outiller les utilisateurs avec des réflexes simples, et aider l’entreprise à choisir des logiciels et des règles qui n’encouragent pas les contournements, sont les moyens les plus efficaces . La meilleure protection n’est pas la méfiance permanente ; c’est une organisation qui rend le bon comportement facile, répétable, et valorisé. Et quand ce cadre existe, la DSI respire, les métiers avancent, et les incidents coûtent moins cher, tout simplement.
Sources
- https://www.verizon.com/business/resources/reports/dbir/
- https://www.sophos.com/en-us/content/state-of-ransomware
- https://www.microsoft.com/en-us/security/business/security-intelligence-report
- https://www.enisa.europa.eu/publications/enisa-threat-landscape
- https://attack.mitre.org/