La protection contre les malwares regroupe l'ensemble des mesures techniques et organisationnelles qui empêchent l'introduction, détectent la présence, et éliminent les logiciels malveillants. L'ISO 27002 mesure 8.7 recommande quatre contrôles principaux :

• Déploiement de solutions antimalware : installer et maintenir à jour des antivirus et solutions de détection sur tous les équipements (serveurs, postes de travail, smartphones)
• Analyse régulière : scanner automatiquement les fichiers, emails, téléchargements et systèmes pour détecter les infections
• Mise à jour des signatures : actualiser quotidiennement les bases de signatures virales pour détecter les menaces les plus récentes
• Formation et sensibilisation : éduquer les utilisateurs aux risques et aux comportements sécurisés pour éviter les infections

Ces exigences visent à créer une défense en profondeur contre les malwares, combinant protection technique et vigilance humaine.

Virus et vers

Virus : code malveillant qui s'attache à un fichier légitime et se propage lorsque le fichier est exécuté. **Vers** : malware autonome qui se propage automatiquement sur le réseau sans intervention humaine, exploitant les vulnérabilités des systèmes.

Impact : ralentissement des systèmes, corruption de fichiers, propagation rapide dans l'organisation.

Ransomware (rançongiciel)

Malware qui chiffre les données de l'organisation et exige le paiement d'une rançon pour fournir la clé de déchiffrement. Les ransomwares modernes volent également les données avant de les chiffrer pour faire pression (double extorsion).

Impact : perte totale d'accès aux données, interruption d'activité, risque de divulgation publique des données volées. Coût moyen d'une attaque ransomware : plusieurs centaines de milliers d'euros (rançon + interruption + remise en état).

Spyware et keylogger

Spyware : logiciel espion qui surveille les activités de l'utilisateur et transmet les informations à l'attaquant. **Keylogger** : enregistre toutes les frappes clavier pour capturer les mots de passe, numéros de carte bancaire, et informations confidentielles

Impact : vol d'identifiants, espionnage industriel, compromission des comptes.

Cheval de Troie (Trojan)

Malware déguisé en logiciel légitime qui, une fois installé, ouvre une porte dérobée permettant à l'attaquant de prendre le contrôle du système à distance.

Impact : accès non autorisé prolongé, installation d'autres malwares, exfiltration de données.

Antivirus sur tous les équipements

Postes de travail et serveurs : déployer un antivirus professionnel avec mise à jour automatique des signatures. L'antivirus doit analyser en temps réel tous les fichiers ouverts, téléchargés ou exécutés.

Smartphones et tablettes : utiliser les solutions de sécurité mobiles (incluses dans les MDM) pour détecter les applications malveillantes et les comportements suspects.

Serveurs de messagerie : scanner tous les emails entrants et sortants pour détecter et bloquer les pièces jointes infectées et les liens malveillants.

Solutions EDR (Endpoint Detection and Response)

Les solutions EDR complètent les antivirus traditionnels en analysant le comportement des processus pour détecter les menaces inconnues (zero-day). Un EDR peut identifier qu'un processus Word tente de chiffrer massivement des fichiers (comportement typique d'un ransomware) même si le malware n'est pas encore dans les bases de signatures.

Avantage : détection des malwares inconnus, analyse comportementale, capacité de réponse automatique (isolation du poste infecté).

Filtrage web et DNS

Bloquer l'accès aux sites web connus pour distribuer des malwares et aux domaines utilisés par les malwares pour communiquer avec leurs serveurs de contrôle. Le filtrage DNS empêche un malware installé de se connecter à son serveur de commande.

Sandbox (bac à sable)

Exécuter les fichiers suspects dans un environnement isolé (sandbox) pour observer leur comportement avant de les autoriser sur le réseau. Si un fichier reçu par email se comporte de manière malveillante dans la sandbox, il est bloqué.

Mises à jour quotidiennes automatiques

Les bases de signatures virales doivent être mises à jour automatiquement plusieurs fois par jour. Un antivirus avec des signatures obsolètes ne peut pas détecter les nouvelles menaces.

Vérification : contrôler régulièrement que toutes les machines reçoivent bien les mises à jour. Un poste qui n'a pas été mis à jour depuis plusieurs jours est vulnérable.

Analyses planifiées

En complément de l'analyse en temps réel, programmer des analyses complètes hebdomadaires de tous les systèmes pour détecter les infections dormantes ou les malwares qui auraient échappé à la détection initiale.

Gestion centralisée

Utiliser une console de gestion centralisée pour surveiller l'état de protection de tous les équipements, déployer les mises à jour, visualiser les alertes, et réagir rapidement aux infections détectées.

Indicateurs à surveiller : nombre d'équipements protégés vs non protégés, nombre de menaces détectées et bloquées par jour, équipements avec signatures obsolètes.

Les vecteurs d'infection les plus fréquents

Emails de phishing : La majorité des infections commencent par un email de phishing contenant une pièce jointe malveillante ou un lien vers un site compromis. Former les utilisateurs à reconnaître les emails suspects : expéditeur inconnu, demande urgente, fautes d'orthographe, pièce jointe inattendue.

Sites web compromis : visiter un site légitime compromis peut installer automatiquement un malware (drive-by download) sans que l'utilisateur ne fasse rien. Maintenir les navigateurs à jour et utiliser le filtrage web.

Clés USB et supports externes : une clé USB trouvée ou apportée de l'extérieur peut contenir des malwares. Interdire l'utilisation de supports externes non autorisés, ou les scanner systématiquement avant usage.

Téléchargements : télécharger des logiciels depuis des sources non officielles expose à des versions infectées. Autoriser uniquement les téléchargements depuis des sources approuvées.

Comportements sécurisés à enseigner

Ne jamais ouvrir de pièce jointe non attendue, même si l'expéditeur semble connu (vérifier d'abord). Ne jamais cliquer sur un lien dans un email suspect. Vérifier l'URL avant de saisir des identifiants. Ne jamais désactiver l'antivirus. Signaler immédiatement tout comportement anormal de l'ordinateur (lenteur soudaine, fenêtres qui s'ouvrent seules, fichiers inaccessibles).

Tests de phishing simulés

Organiser régulièrement des campagnes de phishing simulé pour évaluer la vigilance des collaborateurs et identifier ceux qui nécessitent une formation complémentaire. Transformer chaque clic sur un faux phishing en opportunité de formation immédiate.

• Pas d'antivirus sur certains équipements : laisser des postes, serveurs ou smartphones sans protection crée des points d'entrée pour les malwares. Protéger 100% des équipements.
• Signatures obsolètes : un antivirus non mis à jour depuis plusieurs jours ou semaines ne peut pas détecter les nouvelles menaces. Automatiser et vérifier les mises à jour.
• Ignorer les alertes antivirus : désactiver l'antivirus parce qu'il "gêne" ou bloquer systématiquement les alertes sans analyser expose l'organisation. Prendre au sérieux chaque alerte.
• Pas de formation des utilisateurs : compter uniquement sur la technique sans former les utilisateurs laisse la porte ouverte au phishing. Former régulièrement et sensibiliser.

La protection contre les malwares combine des solutions techniques (antivirus, EDR, filtrage web, sandbox) et la formation des utilisateurs. Tous les équipements doivent être protégés avec des signatures à jour, et les analyses doivent être automatiques et régulières.

Les utilisateurs constituent la première ligne de défense contre les malwares : les former à reconnaître les emails de phishing, les sites suspects et les comportements à risque réduit considérablement les infections. Une gestion centralisée permet de surveiller l'état de protection, de détecter les équipements non protégés, et de réagir rapidement aux infections.