Sommaire :
Découvrir qu’un poste de travail ou un serveur est infecté par un malware déclenche souvent une réaction instinctive : éteindre, supprimer, réinstaller. Pourtant, les premières minutes et les premières heures sont déterminantes. Une mauvaise manipulation peut effacer des preuves utiles, aggraver la propagation sur le réseau, ou laisser une porte dérobée active même après un nettoyage apparent. L’objectif, ici, est de vous guider à travers sept étapes immédiates, structurées et applicables, pour contenir l’incident, sécuriser vos données et préparer la remédiation dans de bonnes conditions.
Étape 1 : Isoler immédiatement la machine suspecte
La priorité absolue est la containment, c’est à dire empêcher le malware de se propager ou de continuer à communiquer avec son infrastructure de commande et contrôle. L’isolement doit être net et rapide. Déconnectez le poste du réseau (câble Ethernet retiré, Wi-Fi coupé, Bluetooth désactivé) et, si possible, retirez aussi l’accès VPN. L’idée n’est pas de « réparer » à ce stade, mais de stopper l’hémorragie : propagation latérale, exfiltration de données, chiffrement en cours ou ajout de nouvelles charges malveillantes.
Si l’incident concerne un serveur critique, l’isolement doit être coordonné : coupez l’accès réseau au niveau du switch, du VLAN ou du pare-feu plutôt que de procéder à des actions improvisées. Dans un contexte professionnel, documentez l’heure exacte de l’isolement et la personne ayant effectué l’action. Cette traçabilité sera utile pour l’analyse post incident.
Étape 2 : Ne pas redémarrer ou « nettoyer » sans stratégie
Redémarrer un système infecté peut sembler logique, mais cela peut aussi :
Supprimer des traces en mémoire vive, interrompre des processus utiles à l’analyse, déclencher un mécanisme d’auto défense du malware, ou relancer un chiffrement différé typique de certains ransomwares. De même, lancer des outils de nettoyage au hasard peut altérer l’état du système et compliquer la collecte d’indices.
La bonne approche consiste à stabiliser la situation : isoler, observer, noter. Si vous devez absolument éteindre un poste (par exemple si un chiffrement est en cours et que l’activité disque explose), privilégiez l’arrêt contrôlé uniquement après avoir évalué l’urgence. Dans le doute, l’isolement réseau est souvent plus sûr qu’un redémarrage précipité.
Étape 3 : Collecter les informations essentielles et préserver les preuves
Une réponse efficace dépend de votre capacité à comprendre ce qui s’est passé. Sans tomber dans une procédure forensique lourde, vous pouvez déjà rassembler des éléments clés :
Notez les symptômes observés (pop-ups, extensions de fichiers modifiées, lenteurs, alertes antivirus, demandes de rançon, connexions suspectes). Relevez l’heure de détection, le nom de la machine, l’utilisateur connecté, et toute action récente (installation de logiciel, pièce jointe ouverte, clé USB branchée, connexion RDP, etc.). Prenez des captures d’écran si nécessaire. Côté logs, conservez les journaux Windows (événements), les alertes EDR/antivirus, les logs proxy et pare-feu associés à la machine.
Si vous avez les compétences et les outils, une capture mémoire et une image disque peuvent être envisagées avant toute tentative de remédiation. À défaut, l’essentiel est d’éviter de détruire involontairement les preuves qui aideront à identifier le vecteur initial et à fermer la faille.
Étape 4 : Évaluer l’étendue de l’incident et rechercher la propagation
Une infection est rarement un événement isolé. La question n’est pas seulement « quel poste est infecté », mais « jusqu’où cela s’est propagé ». Commencez par identifier :
Les machines ayant communiqué avec l’hôte infecté, les partages réseau accessibles, les identifiants utilisés récemment, les connexions RDP ou SMB, et les services exposés. Dans un environnement d’entreprise, inspectez les contrôleurs de domaine, les serveurs de fichiers et les postes à privilèges. Un malware moderne cherche souvent à élever ses privilèges et à pivoter vers des cibles à forte valeur.
Sur le plan pratique, lancez un scan réseau depuis une machine saine, vérifiez les alertes sur les autres postes, et analysez les logs de sécurité pour repérer des authentifications inhabituelles. Cette étape permet de décider si l’incident est limité à une machine ou s’il s’agit d’un compromis plus large nécessitant une réponse coordonnée.
Étape 5 : Protéger les comptes et sécuriser l’authentification
Une infection implique souvent un risque de vol d’identifiants. Les malware de type infostealer et les chevaux de Troie bancaires sont conçus pour récupérer mots de passe, cookies, jetons de session et informations navigateur. Dès que la machine est isolée, il est prudent de :
Révoquer les sessions actives lorsque c’est possible, changer les mots de passe des comptes utilisés sur la machine (en commençant par les comptes administrateurs), et activer ou renforcer l’authentification multifacteur. Attention : le changement de mot de passe doit être fait depuis un poste sain, jamais depuis la machine suspecte. Dans un contexte pro, pensez aussi aux comptes de service, aux clés API, aux accès cloud (Microsoft 365, Google Workspace) et aux coffres de mots de passe.
Cette étape limite les dégâts en cas d’exfiltration, et réduit les risques de réinfection via des accès légitimes détournés.
Étape 6 : Analyser la cause racine et planifier la remédiation
Nettoyer sans comprendre le point d’entrée revient souvent à traiter un symptôme. L’analyse de cause racine vise à identifier le vecteur initial : phishing, téléchargement piégé, vulnérabilité non corrigée, accès distant exposé, mot de passe compromis, extension navigateur malveillante, etc.
À partir de là, vous pouvez décider de la stratégie de remédiation : nettoyage approfondi avec EDR, restauration depuis sauvegarde, ou réinstallation complète. Dans de nombreux cas, surtout après une compromission sérieuse, la réinstallation et la restauration contrôlée des données sont plus fiables qu’un nettoyage partiel. La remédiation doit inclure la mise à jour du système, des applications, la fermeture des ports inutiles, la correction des configurations faibles et le durcissement de la sécurité (moindre privilège, segmentation réseau, politiques de scripts, filtrage mail).
Pour aller plus loin sur les bonnes pratiques de protection et de gestion des données, vous pouvez vous appuyer sur des ressources spécialisées comme sos-computer-france.com.
Étape 7 : Restaurer, surveiller et documenter l’incident
Une fois la machine remise en état, la phase de surveillance est indispensable. Beaucoup de malwares laissent des mécanismes de persistance : tâches planifiées, services, clés de registre, comptes locaux ajoutés, règles pare-feu modifiées, scripts au démarrage. Après restauration ou réinstallation, vérifiez que :
Les mises à jour sont à jour, l’antivirus ou l’EDR est opérationnel, les journaux de sécurité remontent correctement, et qu’aucun comportement anormal n’apparaît (pics réseau, nouveaux processus inconnus, connexions sortantes suspectes). Surveillez particulièrement les comptes et les accès externes durant plusieurs jours. Dans un environnement d’entreprise, un suivi centralisé (SIEM, EDR) facilite la détection d’une récidive.
Enfin, documentez l’incident : chronologie, systèmes touchés, données potentiellement exposées, décisions prises, actions de remédiation, et mesures préventives. Cette documentation n’est pas qu’administrative : elle sert à améliorer les procédures, à former les équipes, et à réduire le temps de réaction lors du prochain événement.
Renforcer votre posture après l’incident
Une infection doit être traitée comme un signal d’alerte utile. Après l’urgence, investissez dans la prévention : sauvegardes testées et isolées, segmentation réseau, gestion des correctifs, filtrage des emails, contrôle des droits administrateur, et sensibilisation des utilisateurs aux scénarios de phishing. Mettez en place une procédure de réponse à incident simple, avec des responsabilités claires, et des étapes standardisées.
En appliquant ces sept étapes de façon méthodique, vous réduisez le risque de propagation, vous améliorez la qualité de la remédiation et vous reprenez le contrôle plus rapidement, sans sacrifier la compréhension de l’attaque ni la sécurité à long terme.