Comment fonctionne un antivirus traditionnel
Un antivirus à signature compare les fichiers de votre ordinateur à une base de données de codes malveillants connus. Quand il trouve une correspondance, il met le fichier en quarantaine ou le supprime.
Ce mécanisme a très bien fonctionné dans les années 2000-2010, quand les malwares étaient livrés en quantité limitée et que leur diffusion prenait des semaines. Les éditeurs avaient le temps d'analyser, de produire une signature, et de la pousser à tous leurs clients.
Ce qui a changé en 10 ans
Trois évolutions ont rendu cette approche caduque pour la majorité des menaces actuelles :
- Le polymorphisme. Les malwares modernes se modifient automatiquement à chaque exécution. La signature change, mais le comportement reste le même. L'antivirus voit un fichier qu'il ne reconnaît pas et le laisse passer.
- Les attaques sans fichier (fileless). L'attaquant n'écrit rien sur le disque. Il utilise des outils légitimes déjà présents (PowerShell, WMI, scripts batch) pour exécuter ses actions. Aucun fichier malveillant à analyser.
- Les attaques par identifiants volés. Pas de malware du tout. L'attaquant se connecte avec un mot de passe d'employé acheté sur un forum. Pour l'antivirus, c'est juste un utilisateur normal qui ouvre une session.
Ce que voit (et ne voit pas) un antivirus en 2026
Concrètement, sur une PME de 15 collaborateurs typique :
- Un antivirus à signature à jour bloquera environ les malwares standards et les pièces jointes manifestement malveillantes. C'est utile, ne le supprimez pas.
- Il ne verra pas un ransomware moderne (chiffrement progressif, comportemental).
- Il ne verra pas un attaquant qui a volé les identifiants Microsoft 365 d'un commercial et lit ses emails depuis Bucarest.
- Il ne verra pas un poste contaminé qui exfiltre lentement votre base clients vers un serveur extérieur.
Ce qu'il faut ajouter
1. Un EDR ou un XDR
Un EDR (Endpoint Detection and Response) remplace l'antivirus classique. Il détecte les comportements anormaux : une appli bureautique qui chiffre soudainement vos fichiers, un poste qui scanne tout le réseau interne, PowerShell qui télécharge un script depuis un domaine inconnu.
Un XDR va plus loin : il corrèle les signaux des postes, du réseau, du cloud et de la messagerie pour repérer les attaques multi-vecteurs.
Pour une PME, l'EDR est un investissement de quelques dizaines d'euros par poste et par an. Il est la seule mesure technique qui ait un impact comparable à la MFA sur la réduction du risque.
2. La MFA partout
L'antivirus ne protège pas contre les identifiants volés. La MFA oui. Activez-la sur la messagerie, le VPN, l'Active Directory, les comptes admin Microsoft 365, et — c'est essentiel — sur tous les services tiers (banque en ligne, plateformes RH, comptabilité).
3. Une journalisation centralisée
Sans logs centralisés, vous ne pouvez ni détecter ni enquêter. Un SIEM léger ou simplement la journalisation Microsoft 365 + Active Directory exportée régulièrement suffit pour une PME. L'important est de pouvoir répondre à la question : qui s'est connecté, depuis où, quand, et qu'a-t-il fait ?
4. Des sauvegardes immuables
L'EDR détecte un ransomware tôt — mais pas toujours assez tôt. Si la prévention échoue, c'est la sauvegarde immuable, hors ligne, qui vous remet sur pied. Une sauvegarde non testée n'en est pas une.
À retenir
Ce que Scryptoura fait pour vous
Notre Diagnostic Découverte évalue ce que vous avez en place aujourd'hui : antivirus, EDR éventuel, journalisation, sauvegardes. Si une couche manque, on vous le dit avec un plan d'action priorisé. Pas de pression commerciale : si vous avez déjà ce qu'il faut, on vous le confirme.