Virus et malware en entreprise : comment se défendre en 2026

TL;DR : Le « virus » classique ne représente que 5 % des menaces en 2026. Les trojans dominent (90 % des infections), suivis des ransomwares (incidents les plus coûteux) et des malwares fileless. La défense repose sur un EDR plutôt qu’un antivirus, la sécurité e-mail avec sandbox, des sauvegardes immuables, la segmentation réseau et la formation des employés. En cas d’infection : déconnecter immédiatement, ne pas allumer/éteindre, signaler à l’IT, ne pas payer de rançon.

Le terme « virus informatique » sert souvent en entreprise de désignation générique pour tout logiciel malveillant. Techniquement, c’est pourtant une catégorie étroite dans le concept plus large de malware — et en 2026, il ne représente qu’une infime fraction des menaces réelles. Cet article décompose le paysage des menaces et donne des recommandations concrètes pour les PME européennes.

Pour un contexte plus large sur la cyberdéfense, voir le pilier Cybersécurité des données d’entreprise.

Typologie des malwares : qui est qui

Virus (définition étroite)

Le sens originel — un programme qui se propage en s’attachant à d’autres fichiers et nécessite une action de l’utilisateur (ouverture du fichier infecté). Le virus PC classique des années 90 qui infectait les fichiers .exe sur disquette.

En 2026 : menace marginale. Les OS modernes disposent de contrôles anti-malware, les virus de fichiers sont généralement détectés à l’écriture.

Ver (Worm)

Malware auto-propagant — n’a pas besoin d’un fichier hôte, se propage via des vulnérabilités réseau. Exemples classiques : WannaCry (2017, exploitait la vulnérabilité EternalBlue du protocole SMB), NotPetya (2017, attaque dévastatrice contre Maersk).

En 2026 : après WannaCry/NotPetya, les systèmes d’exploitation réseau sont mieux patchés, mais reste une menace pour les infrastructures legacy (Windows Server 2012, passerelles VPN non mises à jour).

Trojan

Se déguise en logiciel légitime. Le vecteur d’entrée le plus fréquent en 2026 — l’utilisateur télécharge un logiciel « cracké », un « convertisseur PDF gratuit » ou ouvre une pièce jointe infectée. Le trojan, une fois exécuté, effectue une action malveillante (installe souvent un autre malware — ransomware, info-stealer).

Sous-catégories :

• Banker trojan — vole les identifiants bancaires. Exemples : Emotet, TrickBot, QakBot.
• RAT (Remote Access Trojan) — accès à distance de l’attaquant à l’appareil.
• Dropper — installe seulement un autre malware, lui-même est « propre ».

Ransomware

Le roi des cybermenaces en 2026. Chiffre les fichiers sur l’appareil et/ou le réseau, demande une rançon en échange de la clé de déchiffrement. Les ransomwares modernes ont souvent une double extorsion — si vous ne payez pas, les données sont publiées.

Principaux groupes de ransomwares actifs dans l’UE en 2025/2026 : LockBit (le plus actif), BlackCat / ALPHV, Cl0p, Royal, Akira. Ils ciblent les entreprises de taille moyenne avec un chiffre d’affaires de 10 à 100 millions d’EUR.

Préjudice moyen d’un incident ransomware pour une PME européenne : 80 000 à 350 000 EUR.

Spyware et stealer

• Spyware — collecte des données sur l’utilisateur (frappes clavier, captures d’écran, historique du navigateur).
• Info-stealer — spyware spécialisé dans l’exfiltration de credentials. Exemples : RedLine, Vidar, Raccoon. Après infection, l’attaquant vend vos identifiants d’entreprise sur le dark web (typiquement 5 à 50 USD par enregistrement).

Rootkit

Dissimule sa présence à un niveau profond du système d’exploitation. Persiste souvent même après une réinstallation du système (rootkits firmware). La détection nécessite des outils spécialisés (Microsoft Defender Offline scan, GMER, Malwarebytes Anti-Rootkit).

Malware fileless

Ne fonctionne qu’en RAM, n’a pas de fichier sur le disque — l’antivirus classique ne le détecte pas. Exploite des outils légitimes du système d’exploitation (PowerShell, WMI, MSHTA) pour des opérations malveillantes. En 2026, représente 30 % des attaques avancées.

Détection : exclusivement par EDR comportemental.

Cryptominer

Utilise la puissance de calcul des appareils d’entreprise pour miner des cryptomonnaies (généralement Monero) au profit de l’attaquant. Symptômes : ralentissement des appareils, consommation d’énergie accrue, usure du matériel. Moins dommageable que les ransomwares, mais souvent indicateur d’une compromission plus large.

Vecteurs d’entrée : comment le malware pénètre dans l’entreprise

En 2026, trois vecteurs dominent :

1. E-mail de phishing (60 % des incidents)

L’attaquant envoie un e-mail avec une pièce jointe infectée (souvent .zip, .iso, .docx ou .xlsm avec macro) ou un lien vers un exploit kit. L’ouverture ou l’activation de la macro lance le malware.

Défense :

• Passerelle e-mail avec anti-phishing et sandbox pour les pièces jointes (Microsoft Defender for Office 365, Proofpoint, Mimecast)
• Macros désactivées par défaut dans les applications Office
• Réécriture des URL (les clics passent par un proxy de sécurité)
• Formation des employés

2. Exploitation de vulnérabilités logicielles (25 %)

L’attaquant exploite une vulnérabilité non corrigée dans le logiciel de l’entreprise — le plus souvent :

• Passerelles VPN (Fortinet, Pulse Secure, SonicWall — cibles récurrentes)
• Serveurs e-mail (Exchange ProxyShell, ProxyLogon)
• Applications web (plugin vulnérable, injection SQL)
• Bugs de pilotes sous Windows / macOS

Défense :

• Cycle de correctifs mensuel
• Remplacement sans exception des logiciels en fin de vie
• Scan de vulnérabilités (Tenable Nessus, Qualys, Rapid7)

3. Identifiants compromis (15 %)

L’attaquant obtient un mot de passe (via phishing, info-stealer, ou une fuite d’une autre service) et se connecte de façon légitime. Sans 2FA, aucune défense ne peut intercepter cela.

Défense :

• 2FA / passkey obligatoire
• Gestionnaire de mots de passe (élimine la réutilisation)
• Surveillance du dark web pour les identifiants divulgués (Have I Been Pwned, SpyCloud)

EDR vs. antivirus classique

La décision technologique la plus importante pour la sécurité des endpoints en 2026.

Aspect	Antivirus (basé sur signatures)	EDR (basé sur le comportement)
Détection des menaces connues	Oui (~95 %)	Oui (~98 %)
Menaces zero-day	Faible (~30 %)	Bonne (~80 %)
Malware fileless	Non	Oui
Analyse comportementale ransomware	Limitée	Oui
Chronologie forensique post-incident	Minimale	Complète
Isolation à distance de l’endpoint	Non	Oui (1 clic)
Capacité de threat hunting	Non	Oui
Prix (par poste / mois)	2 à 5 EUR	5 à 15 EUR

Fournisseurs EDR recommandés pour les PME européennes :

• Microsoft Defender for Endpoint (souvent inclus dans M365 E5) — meilleur rapport qualité-prix pour les entreprises déjà dans l’écosystème Microsoft
• CrowdStrike Falcon — segment premium
• SentinelOne — fort en réponse autonome
• ESET PROTECT — bon rapport qualité-prix, connu en Europe centrale
• Bitdefender GravityZone — fort dans le segment PME européen

Défense contre les ransomwares : approche en 7 couches

Les ransomwares sont en 2026 la catégorie d’incidents la plus coûteuse. La défense doit être en couches.

Couche 1 : Prévention à l’entrée

• Sécurité e-mail avec sandbox
• Filtrage web (blocage des domaines malveillants)
• Gestion des correctifs
• 2FA sur tous les accès

Couche 2 : Protection des endpoints

• EDR avec détection comportementale des ransomwares
• Liste blanche d’applications (Microsoft Defender Application Control)
• Fonctionnalités risquées désactivées (PowerShell remoting sur les postes de travail, macros venant d’Internet)

Couche 3 : Segmentation réseau

• Séparation des serveurs de production, du réseau de bureau, de l’IoT
• Pas de partages administratifs larges (\\serveur\admin$)
• Microsegmentation dans l’environnement cloud

Couche 4 : Durcissement des identités

• Privileged Access Management (PAM) — mots de passe pour les comptes admin dans un coffre-fort
• Accès admin juste-à-temps (droits d’admin seulement quand nécessaire)
• 2FA sur tous les comptes admin (passkey idéalement)

Couche 5 : Sauvegardes 3-2-1-1-0

La défense la plus importante. Sans sauvegarde immuable fonctionnelle, un ransomware peut mettre fin à l’activité.

• 3 copies des données
• 2 médias différents
• 1 hors site
• 1 immuable / air-gapped
• 0 erreur lors du test de reprise (1× par an)

Couche 6 : Détection et réponse

• SOC 24/7 ou MDR (Managed Detection and Response)
• Détection d’anomalies sur les indicateurs de ransomware (modifications massives de fichiers, patterns de chiffrement)
• Runbook de réponse aux incidents avec étapes préparées

Couche 7 : Cyber-assurance

La cyber-assurance couvre une partie des dommages directs, les frais juridiques, les obligations de notification et parfois la rançon. Prix : 5 000 à 25 000 EUR par an pour une entreprise de taille moyenne.

Procédure en cas d’infection : 5 étapes immédiates

Si vous avez des soupçons ou la certitude qu’un appareil est infecté :

1. Déconnecter immédiatement du réseau — débranchez le câble ethernet, désactivez le Wi-Fi. Objectif : arrêter la propagation et la communication avec le serveur de commande et contrôle de l’attaquant.
2. Ne pas allumer ni éteindre l’appareil — préservez l’état de la RAM pour l’analyse forensique. De nombreux indices importants (arbre de processus, connexions réseau, clés de déchiffrement) ne se trouvent que dans la RAM.
3. Signalement immédiat à l’IT — par téléphone, via un autre appareil, via Slack/Teams depuis un autre ordinateur. Jamais depuis l’appareil infecté.
4. Ne pas utiliser d’autres systèmes d’entreprise depuis l’appareil — ne saisissez pas de mots de passe, ne vérifiez pas vos e-mails. Si vous avez saisi des identifiants au cours des dernières heures, changez-les immédiatement depuis un autre appareil.
5. L’équipe IT effectue :
   • L’analyse forensique (étendue de la compromission, indicateurs d’attaque)
   • L’isolation du réseau
   • La réinitialisation des identifiants de l’utilisateur
   • L’image forensique du disque (pour une éventuelle enquête ultérieure)
   • La reprise depuis la sauvegarde ou la réinstallation de l’OS

En cas de ransomware : NE PAS payer la rançon

Les autorités (ANSSI, CERT-FR, Europol) déconseillent le paiement pour trois raisons :

1. Vous n’avez aucune garantie de recevoir une clé fonctionnelle — 35 % des payeurs ne reçoivent rien ou seulement une clé partielle.
2. Cela finance les prochaines attaques — les groupes de ransomwares évoluent avec leurs revenus.
3. Peut enfreindre les réglementations sur les sanctions UE — si le groupe figure sur la liste de sanctions (LockBit, certains acteurs d’origine russe), le paiement constitue une violation des sanctions.

Mieux vaut investir dans la reprise depuis une sauvegarde et dans la prévention pour l’avenir.

Obligations de notification

En cas d’incident grave, vous avez des obligations légales de signalement :

• RGPD art. 33 — incident présentant un risque pour les droits des personnes concernées : notification à la CNIL dans les 72 heures
• RGPD art. 34 — risque élevé : notification des personnes concernées
• NIS2 — secteurs régulés : alerte précoce à l’ANSSI dans les 24h, notification officielle dans les 72h
• DORA — secteur financier : régulateur financier national (AMF, ACPR en France)
• Contractuelles — les clients ont souvent une notification de 24 à 72h dans les contrats

Préparez des modèles de notifications à l’avance pour ne pas perdre des heures critiques lors d’un incident.

Modulario et la défense contre les malwares

Modulario intègre des mesures qui préviennent de nombreux vecteurs d’infection :

• Hébergement UE avec infrastructure certifiée ISO 27001 — surveillance de sécurité, EDR sur tous les serveurs
• Sauvegardes chiffrées avec immuabilité de 7 jours — ransomware depuis l’infrastructure du fournisseur pratiquement exclu
• Sandbox pour les téléchargements de fichiers — les pièces jointes téléchargées sont analysées
• Rate limiting et détection d’anomalies dans l’API
• Journal d’audit de chaque action pour la traçabilité forensique après un incident

Pour des mesures de cyberdéfense d’entreprise plus larges, voir le pilier Cybersécurité des données d’entreprise et l’article Sécurité sur Internet pour les entreprises.

Questions fréquentes

Quelle est la différence entre un virus et un malware ? Le malware est le terme générique pour tout code malveillant — virus, trojans, ransomwares, spywares, vers. Un virus est un type spécifique de malware qui se propage en s’attachant à d’autres fichiers et nécessite une action de l’utilisateur (ouverture). En 2026, le virus classique n’est qu’une petite partie des menaces — les trojans (90 % des infections) et les ransomwares dominent.

Un antivirus classique me suffit-il ? En 2026, non. Les antivirus classiques basés sur les signatures ne détectent que les menaces connues et résistent à 60 à 70 % des attaques. Les systèmes EDR (Endpoint Detection and Response) modernes utilisent la détection comportementale qui capture aussi les menaces inconnues (zero-day). Pour un déploiement en entreprise, un EDR (Microsoft Defender for Endpoint, CrowdStrike, SentinelOne, ESET PROTECT) est le standard obligatoire, l’antivirus classique est insuffisant.

Que faire si un ordinateur est infecté ? Cinq étapes immédiates : (1) déconnecter l’appareil du réseau (câble ethernet + Wi-Fi) pour empêcher la propagation du malware, (2) ne pas allumer ni éteindre l’appareil — préserver l’état pour l’analyse forensique, (3) signaler immédiatement au service IT ou via le canal interne #security-incident, (4) NE PAS saisir de mots de passe ni se connecter à d’autres services depuis l’appareil, (5) l’équipe IT effectue l’analyse forensique, l’isolation et la reprise. Pour les ransomwares : NE PAS payer la rançon — cela n’aide généralement pas, finance les attaquants et peut en plus enfreindre les réglementations sur les sanctions.