Malware : définition, fonctionnement et moyens de protection

Un malware n’est pas un simple “virus informatique”. C’est une menace plus large, plus discrète, souvent plus coûteuse. Derrière ce mot, on retrouve tous les logiciels malveillants conçus pour perturber un système, voler des données, bloquer un appareil, espionner des utilisateurs ou prendre le contrôle d’un réseau.

Pour une entreprise, le sujet dépasse largement la technique. Un malware peut ralentir l’activité, exposer des données sensibles, compromettre des accès, bloquer des postes de travail ou ouvrir la porte à d’autres cyberattaques courantes. Le problème n’est donc pas seulement de “nettoyer un ordinateur infecté”. Il est de comprendre comment le logiciel malveillant est entré, pourquoi il n’a pas été détecté plus tôt, et comment éviter qu’il ne se propage à l’ensemble du parc informatique.

Le NIST (National Institute of Standards and Technology ) définit le malware comme un logiciel, micrologiciel ou code destiné à exécuter un processus non autorisé ayant un impact négatif sur la confidentialité, l’intégrité ou la disponibilité d’un système. Cette définition inclut notamment les virus, vers, chevaux de Troie, spywares et certaines formes d’adware.

Qu'est-ce qu'un malware ?

Le mot malware vient de l’anglais malicious software, que l’on traduit par logiciel malveillant. Il désigne tout logiciel conçu pour nuire à un système informatique, à un appareil, à un réseau ou à ses utilisateurs.

Un malware peut prendre plusieurs formes : fichier infecté, programme téléchargé, pièce jointe, script, extension de navigateur, application mobile, logiciel publicitaire, cheval de Troie ou encore ransomware. Son objectif dépend du type malware utilisé : voler des données, espionner l’activité d’un utilisateur, bloquer l’accès à un ordinateur, chiffrer des fichiers, afficher de fausses alertes, détourner la puissance de calcul d’un appareil ou permettre à un attaquant de rester caché dans un système.

La confusion la plus fréquente consiste à utiliser le mot “virus” pour parler de tous les malwares. En réalité, un virus est seulement un type de logiciel malveillant. Tous les virus informatiques sont des malwares, mais tous les malwares ne sont pas des virus. Un spyware, un ransomware ou un rootkit peuvent être très dangereux sans fonctionner comme un virus classique.

Dans une entreprise, un malware exploite souvent une faille simple : un logiciel non mis à jour, un mot de passe faible, un appareil non supervisé, une pièce jointe ouverte trop vite, un ancien compte utilisateur jamais désactivé, ou un poste qui n’applique pas les règles de sécurité. C’est pourquoi la lutte contre les logiciels malveillants ne repose pas uniquement sur un antivirus. Elle repose sur une combinaison de prévention, de détection, de pilotage du parc informatique et de réaction rapide.

Les différents types de logiciels malveillants :

Il existe de nombreux types malwares. Certains sont visibles immédiatement. D’autres restent cachés pendant des semaines. Certains cherchent à détruire. D’autres préfèrent observer, collecter, attendre le bon moment.

Comprendre les différents types logiciels malveillants permet de mieux identifier les risques, mais aussi de choisir les bons outils de cybersécurité, les bons réflexes et les bons niveaux de contrôle.

Spywares

Les spywares, ou logiciels espions, sont des logiciels malveillants conçus pour surveiller l’activité d’un utilisateur sans son accord. Ils peuvent collecter l’historique de navigation, les identifiants, les mots de passe, les captures d’écran, les informations bancaires, les documents consultés ou les données saisies dans des formulaires.

Un spyware peut s’installer après le téléchargement d’un logiciel douteux, via une extension de navigateur, un site web malveillant ou une pièce jointe infectée. Il peut aussi être déposé par un autre malware déjà présent sur l’appareil.

Le risque principal est le vol données. Pour une entreprise, cela peut signifier la compromission d’un compte email, d’un accès SaaS, d’un espace cloud ou d’un outil financier. Dans certains cas, l’attaquant ne cherche pas immédiatement à agir. Il observe les usages, cartographie les accès, puis prépare une attaque plus ciblée.

Ransomwares

Le ransomware, ou rançongiciel, est l’un des types de malwares les plus connus. Il bloque l’accès à un appareil ou chiffre les fichiers d’un système, puis réclame le paiement d’une rançon pour restaurer l’accès aux données. Cybermalveillance.gouv.fr rappelle qu’un ransomware peut arriver via une pièce jointe frauduleuse, un lien malveillant reçu par email, un site compromis ou une intrusion informatique.

Le ransomware est particulièrement critique pour les entreprises, car il touche directement la continuité d’activité. Les fichiers deviennent inaccessibles, les équipes ne peuvent plus travailler, les outils métiers sont parfois bloqués, et les sauvegardes peuvent être ciblées. Certaines attaques combinent chiffrement et exfiltration : les données sont copiées avant d’être bloquées, puis utilisées comme moyen de pression.

Le bon réflexe n’est pas seulement d’avoir un logiciel antivirus. Il faut aussi disposer de sauvegardes isolées, d’une gestion stricte des accès, d’un monitoring des appareils, d’un inventaire fiable et de procédures d’urgence testées.

Rootkit

Un rootkit est un logiciel malveillant conçu pour rester caché dans un système tout en donnant à l’attaquant des privilèges élevés. Il peut permettre de modifier des fichiers, masquer des activités, désactiver certains outils de détection ou maintenir un accès persistant à un appareil infecté.

Le danger du rootkit tient à sa discrétion. Là où un adware ou un scareware se voit rapidement, un rootkit cherche précisément à ne pas être détecté. Il peut rester actif même après certaines opérations de nettoyage si le système n’est pas restauré correctement.

En entreprise, ce type logiciel malveillant est particulièrement préoccupant sur les postes administrateurs, les serveurs, les machines critiques et les appareils ayant accès à des données sensibles.

Virus

Un virus informatique est un programme malveillant capable de se copier et d’infecter d’autres fichiers ou programmes. Le NIST décrit un virus comme un programme pouvant se répliquer et infecter un ordinateur, parfois en corrompant ou supprimant des données, ou en utilisant des emails pour se propager.

Un virus a généralement besoin d’une action humaine pour se déclencher : ouverture d’un fichier, exécution d’un programme, activation d’une macro, installation d’un logiciel infecté. Une fois actif, il peut modifier des fichiers, ralentir l’ordinateur, perturber le système d’exploitation ou se diffuser à d’autres utilisateurs.

Même si le mot “virus” est souvent utilisé comme synonyme de malware, il faut garder la distinction. Un virus est une catégorie précise de logiciels malveillants, avec une logique de propagation spécifique.

Vers IT

Un ver informatique, ou worm, est un malware capable de se propager automatiquement d’un appareil à un autre, souvent via un réseau entreprise. Contrairement au virus, il n’a pas toujours besoin d’être attaché à un fichier existant ni d’une action utilisateur après son lancement initial.

Les vers IT sont dangereux parce qu’ils peuvent se diffuser très vite. Ils exploitent souvent une vulnérabilité, une mauvaise configuration ou des systèmes informatiques non corrigés. Dans un environnement mal segmenté, un seul appareil infecté peut devenir le point de départ d’une propagation massive.

Le risque est encore plus fort lorsque les postes de travail, serveurs, imprimantes, équipements réseau ou appareils connectés ne sont pas correctement inventoriés. Ce que l’on ne voit pas est difficile à protéger.

Cheval de Troie

Le cheval de Troie, ou Trojan, est un logiciel malveillant qui se présente comme un programme légitime. Il peut ressembler à un outil utile, une application connue, une mise à jour, un document professionnel ou un fichier attendu.

Son objectif est de tromper l’utilisateur. Une fois installé, le cheval troie peut ouvrir une porte dérobée, installer d’autres logiciels malveillants, voler des données, donner un accès distant à l’attaquant ou préparer une attaque plus large. Fortinet rappelle que les chevaux de Troie semblent innocents, mais peuvent créer des portes dérobées permettant à d’autres logiciels malveillants avancés d’obtenir un accès distant.

Dans une entreprise, un cheval de Troie peut entrer par courrier électronique, messagerie collaborative, téléchargement, faux outil métier ou pièce jointe. Le risque augmente lorsque les utilisateurs disposent de droits administrateurs trop larges sur leur poste.

Enregistreurs de frappe

Les enregistreurs de frappe, ou keyloggers, sont des logiciels malveillants qui capturent ce qu’un utilisateur tape sur son clavier. Ils peuvent enregistrer des identifiants, mots de passe, codes, messages, informations bancaires ou données confidentielles.

Le keylogger est souvent utilisé pour compromettre des accès. Une fois les identifiants récupérés, l’attaquant peut se connecter à des outils SaaS, à une messagerie, à un espace cloud ou à un compte administrateur. Dans certains cas, l’utilisateur ne remarque rien : son appareil fonctionne normalement, mais ses informations sont collectées en arrière-plan.

La protection passe par la détection, mais aussi par des mesures de fond : authentification multifacteur, gestionnaire de mots de passe, limitation des droits, surveillance des connexions inhabituelles et révocation rapide des accès lors des offboardings.

Cryptojacking

Le cryptojacking consiste à utiliser la puissance de calcul d’un appareil ou d’un système pour miner de la cryptomonnaie à l’insu de l’utilisateur. L’objectif n’est pas forcément de voler des fichiers, mais d’exploiter les ressources informatiques de la victime.

Les signes peuvent être discrets : ordinateur lent, ventilateurs qui tournent fortement, batterie qui se vide rapidement, hausse de la consommation CPU, performances dégradées. Sur un parc informatique complet, le cryptojacking peut entraîner des coûts indirects : baisse de productivité, usure accélérée des appareils, surconsommation énergétique, ralentissements applicatifs.

Ce type d’attaque montre bien qu’un malware ne cherche pas toujours à détruire. Parfois, il cherche simplement à utiliser vos ressources.

Scareware

Le scareware repose sur la peur. Il affiche de fausses alertes de sécurité pour pousser l’utilisateur à télécharger un faux antivirus, payer une fausse licence ou contacter un faux support technique.

Exemple classique : une fenêtre indique que l’ordinateur est infecté par plusieurs virus et qu’il faut cliquer immédiatement pour supprimer logiciels malveillants. En réalité, l’alerte elle-même est une manipulation. En cliquant, l’utilisateur peut installer un logiciel malveillant fichier, fournir des informations bancaires ou donner un accès à distance à un attaquant.

Le scareware est efficace parce qu’il joue sur l’urgence. En entreprise, la sensibilisation des utilisateurs reste donc essentielle : personne ne doit installer un outil de sécurité ou appeler un numéro d’assistance depuis une fenêtre pop-up non vérifiée.

Adware

L’adware, ou logiciel publicitaire, affiche des publicités intrusives, modifie parfois la page d’accueil du navigateur, ajoute des barres d’outils ou redirige l’utilisateur vers des sites web malveillants.

Tous les logiciels publicitaires ne sont pas forcément destructeurs, mais certains peuvent collecter des données, dégrader les performances, exposer l’utilisateur à d’autres attaques logiciels malveillants ou servir de porte d’entrée à des menaces plus sérieuses. Le NIST inclut d’ailleurs certaines formes d’adware parmi les exemples de code malveillant.

En entreprise, un adware n’est pas un simple inconfort utilisateur. Il peut révéler un manque de contrôle sur les installations logicielles, les extensions navigateur, les droits utilisateurs et la conformité des postes.

Quelles peuvent être les conséquences d’une attaque par malware ?

Les conséquences d’une attaque par malware varient selon le type logiciel malveillant, le niveau de privilège obtenu, la rapidité de détection et la capacité de l’entreprise à isoler l’appareil infecté.

La première conséquence est opérationnelle. Un poste peut devenir inutilisable, un serveur peut être ralenti, un outil métier peut être bloqué, un réseau peut être saturé. Dans le cas d’un ransomware, l’activité peut s’arrêter brutalement.

La deuxième conséquence est financière. Il y a le coût de l’incident, mais aussi les coûts invisibles : temps perdu par les équipes, intervention d’urgence, restauration des systèmes, perte de productivité, interruption commerciale, remplacement de matériel, audit post-incident, accompagnement juridique ou communication de crise.

La troisième conséquence concerne les données. Un malware peut permettre le vol données, l’exfiltration de fichiers clients, la compromission d’informations RH, financières, commerciales ou stratégiques. Une fuite de données peut aussi créer des obligations réglementaires, notamment en matière de conformité RGPD.

La quatrième conséquence est la perte de confiance. Clients, partenaires, investisseurs ou collaborateurs peuvent s’interroger sur la capacité de l’entreprise à protéger ses systèmes informatiques. Pour des organisations en croissance, la cybersécurité devient un sujet de crédibilité business, pas seulement un sujet technique.

L’ANSSI indiquait qu’en 2024, elle avait traité 4 386 événements de sécurité, soit une hausse de 15 % par rapport à l’année précédente, et que la menace cybercriminelle liée notamment aux rançongiciels et aux fuites de données constituait un risque quotidien pour les organisations françaises.

Comment reconnaître une infection par malware ?

Un malware n’est pas toujours visible. Certains logiciels malveillants sont conçus pour rester discrets. D’autres déclenchent au contraire des signaux évidents. Dans les deux cas, il faut savoir repérer les symptômes.

Un appareil infecté peut devenir lent, chauffer anormalement ou redémarrer sans raison. Des fenêtres pop-up peuvent apparaître. Des logiciels inconnus peuvent s’installer. Le navigateur peut rediriger vers des sites web inhabituels. Des fichiers peuvent disparaître, changer d’extension ou devenir impossibles à ouvrir. Des messages d’erreur peuvent se multiplier.

D’autres signaux doivent alerter : activité réseau inhabituelle, antivirus désactivé, espace disque qui se remplit sans explication, comptes connectés depuis des lieux inconnus, emails envoyés sans action de l’utilisateur, demandes de connexion suspectes, ou hausse soudaine de consommation CPU.

Pour une entreprise, le vrai sujet est la détection à l’échelle du parc. Un collaborateur peut ne pas signaler un ralentissement. Un appareil peut rester hors supervision. Un poste distant peut être infecté sans que l’équipe IT le voie immédiatement. C’est pourquoi le monitoring, l’inventaire, les logiciels antivirus managés et le pilotage en temps réel sont essentiels.

Un malware détecté tôt reste un incident maîtrisable. Un malware détecté trop tard peut devenir une crise.

Comment se protéger contre les malwares ?

Se protéger contre les malwares ne consiste pas à empiler des outils. Il faut une approche structurée : réduire les points d’entrée, détecter rapidement, limiter la propagation, restaurer proprement et garder une visibilité continue sur les appareils.

Bonnes pratiques de cybersécurité

La première règle est simple : maintenir les systèmes à jour. De nombreuses attaques logiciels malveillants exploitent des vulnérabilités déjà connues, pour lesquelles des correctifs existent. Un système d’exploitation non mis à jour, un navigateur obsolète, un VPN exposé ou une application métier oubliée peuvent devenir une porte d’entrée.

La deuxième règle : limiter les droits. Tous les utilisateurs n’ont pas besoin d’être administrateurs de leur poste. Moins les droits sont larges, moins le malware peut agir profondément dans le système.

La troisième règle : sécuriser les accès. L’authentification multifacteur, les mots de passe robustes, la révocation rapide des comptes lors des départs et le modèle zero trust réduisent fortement le risque de compromission. Le modèle zero trust repose sur une idée simple : ne jamais faire confiance par défaut, toujours vérifier.

La quatrième règle : sensibiliser les utilisateurs. Beaucoup d’infections commencent par un courrier électronique, des pièces jointes mails, un lien de phishing, un faux document ou une fausse alerte. La cybersécurité ne dépend pas uniquement de l’équipe IT. Elle dépend aussi de la capacité des collaborateurs à reconnaître les signaux faibles.

La cinquième règle : sauvegarder intelligemment. Les sauvegardes doivent être régulières, isolées, testées et restaurables. CISA recommande de maintenir des sauvegardes chiffrées hors ligne des données critiques et de tester régulièrement leur disponibilité et leur intégrité en scénario de reprise.

Enfin, il faut piloter. Un parc informatique suivi dans Excel, avec des appareils non inventoriés et des logiciels non maîtrisés, crée des angles morts. La protection contre les malwares passe par une gestion du parc informatique rigoureuse : inventaire, mises à jour, conformité, supervision, gestion des accès, onboarding et offboarding IT.

Outils et solutions de protection

Les outils de protection doivent couvrir plusieurs couches. Un antivirus reste utile, mais il ne suffit plus toujours. Les logiciels antivirus modernes doivent être complétés par de la détection comportementale, des alertes centralisées, une gestion des correctifs, un contrôle des applications, une protection email, une supervision réseau et des procédures de réponse à incident.

Les outils de cybersécurité les plus utiles sont ceux qui donnent de la visibilité. Quels appareils sont à jour ? Quels postes n’ont plus d’antivirus actif ? Quels logiciels sont installés ? Quels utilisateurs ont des droits administrateurs ? Quels appareils n’ont pas communiqué depuis plusieurs jours ? Quels comptes restent actifs après un départ ?

C’est ici que la cybersécurité rejoint le pilotage IT. Une plateforme tout-en-un, connectée au parc, aux utilisateurs et aux outils RH, permet de réduire les zones d’ombre. Avec des connecteurs SIRH, des automatisations et un pilotage en temps réel, l’entreprise limite les oublis qui créent souvent les incidents : accès non révoqués, appareils non récupérés, systèmes non patchés, logiciels non conformes.

Pour les organisations en croissance, l’enjeu n’est pas seulement d’acheter un outil. Il est de construire une gouvernance simple : qui supervise, qui reçoit les alertes, qui agit, qui valide les exceptions, qui restaure, qui documente. La sécurité devient alors un outil d’aide à la décision et d’orchestration pour les entreprises, pas une contrainte ajoutée au quotidien.

En cas d’attaque, comment supprimer un malware ?

Lorsqu’un malware est détecté, la priorité est d’éviter la propagation. Il ne faut pas improviser. Un mauvais réflexe peut effacer des preuves, relancer l’infection ou contaminer d’autres appareils.

La suppression logiciels malveillants doit suivre une procédure claire : isoler, analyser, nettoyer, restaurer, contrôler, puis documenter. Dans le cas d’un ransomware, Cybermalveillance.gouv.fr recommande notamment de couper les connexions à Internet du réseau attaqué, identifier et déconnecter les machines touchées, alerter le service ou prestataire informatique et ne pas payer la rançon.

Les étapes de suppression

La première étape consiste à isoler l’appareil infecté. Il faut le déconnecter du réseau, du Wi-Fi, du VPN et des supports partagés. L’objectif est d’empêcher le malware de communiquer ou de se propager.

La deuxième étape consiste à préserver les éléments utiles à l’analyse. Il ne faut pas supprimer trop vite tous les fichiers suspects sans comprendre ce qui s’est passé. Les journaux, alertes, messages reçus, fichiers téléchargés et horaires d’activité peuvent aider à identifier le point d’entrée.

La troisième étape consiste à lancer une analyse avec un outil fiable : antivirus, anti-malware, EDR ou solution de détection adaptée. Les fichiers malveillants détectés doivent être mis en quarantaine ou supprimés selon les recommandations de l’outil et de l’équipe IT.

La quatrième étape consiste à changer les mots de passe, surtout si un spyware, un cheval de Troie, un keylogger ou un vol d’identifiants est suspecté. Les sessions actives doivent être révoquées, les comptes sensibles vérifiés et les accès administrateurs contrôlés.

La cinquième étape consiste à vérifier l’ensemble du réseau entreprise. Un seul appareil nettoyé ne suffit pas si le malware s’est propagé ailleurs. Il faut contrôler les autres postes, les serveurs, les comptes, les partages de fichiers, les sauvegardes et les journaux de connexion.

Nécessité de restaurer un système propre

Dans certains cas, supprimer le malware ne suffit pas. Si l’infection est profonde, si un rootkit est suspecté, si les fichiers système sont compromis ou si l’on ne peut pas garantir l’intégrité de l’appareil, il faut restaurer un système propre.

Restaurer proprement signifie repartir d’une image saine, réinstaller le système d’exploitation, appliquer les correctifs, réinstaller les logiciels nécessaires, restaurer uniquement les données validées et vérifier que l’appareil respecte les politiques de sécurité.

La restauration ne doit pas réintroduire le problème. Une sauvegarde peut contenir des fichiers infectés. Un compte compromis peut redonner accès à l’attaquant. Un logiciel non corrigé peut rouvrir la même faille. C’est pourquoi la reprise doit intégrer une phase de contrôle : analyse des sauvegardes, validation des accès, mise à jour des systèmes, contrôle antivirus et surveillance renforcée.

Après l’incident, il faut documenter. Quel était le point d’entrée ? Quel appareil a été touché ? Quelles données ont été exposées ? Combien de temps l’attaque est-elle restée active ? Quelles mesures doivent être renforcées ? Ce retour d’expérience transforme l’incident en amélioration concrète du pilotage IT.

Exemples d’attaques par logiciel malveillant connues

Plusieurs attaques par logiciel malveillant montrent à quel point les malwares peuvent dépasser le cadre d’un simple ordinateur infecté.

WannaCry, apparu en 2017, est un exemple de ransomware à propagation rapide. Il a touché de nombreuses organisations dans le monde en exploitant des systèmes Windows non corrigés. Ce cas rappelle une règle simple : les mises à jour de sécurité ne sont pas une formalité. Elles peuvent éviter une crise.

NotPetya, également apparu en 2017, a été présenté au départ comme un ransomware, mais son impact était largement destructeur. Il a paralysé de grandes organisations en rendant des systèmes inutilisables. Cet exemple montre qu’un malware peut se faire passer pour une attaque financière tout en ayant des effets proches du sabotage.

Emotet est un autre exemple connu. D’abord identifié comme cheval de Troie bancaire, il a évolué vers une infrastructure utilisée pour diffuser d’autres logiciels malveillants. Il illustre bien la logique des attaques modernes : un malware peut être une première étape, puis servir à installer d’autres menaces logiciels malveillants.

Stuxnet est souvent cité comme exemple de malware ciblant des systèmes industriels. Il a démontré qu’un code malveillant pouvait avoir des effets sur des équipements physiques, et pas seulement sur des fichiers ou des ordinateurs.

Ces exemples ont un point commun : ils exploitent rarement un seul défaut. Ils profitent d’un ensemble de faiblesses : systèmes non corrigés, manque de segmentation, droits trop larges, absence de supervision, sauvegardes vulnérables, processus de sécurité incomplets.

C’est précisément là que les entreprises doivent porter leur attention. La protection contre les malwares ne repose pas sur un outil magique. Elle repose sur une IT visible, gouvernée, documentée et pilotée. Un parc maîtrisé, des accès contrôlés, des appareils supervisés, des sauvegardes testées et des utilisateurs sensibilisés réduisent fortement le risque.

Le malware est un risque technique. Mais sa prévention est un sujet de direction : continuité d’activité, coûts évités, conformité, confiance client et capacité à scaler sans friction.