Gestion parc informatique
Formules audit informatique
Antivirus EDR
Offres fibre
Wifi Professionnel
Starlink connexion
Portail captif PfSense
VPN sécurité
Offre mobile pro
Standard téléphonique
Offres téléphonie d’entreprise
Studio
Infogérance pour votre PME
Cloud Backup
Sommaire
Un client de Montpellier m’a appelé en panique l’an dernier, vers 9h du matin, parce qu’un ransomware venait de chiffrer la moitié de ses postes via un simple .exe lancé depuis un mail. Bref. Comment empêcher l’exécution de fichier dans un parc informatique devient une question vitale, et on va voir ça ensemble, calmement, méthodiquement.
Pourquoi bloquer l’exécution dans un parc informatique ?
Franchement, la majorité des infections que je vois sur le terrain démarrent toujours pareil. Un utilisateur double-clique sur une pièce jointe, ou récupère un fichier louche dans son dossier Téléchargements, et le malware s’exécute tranquillement dans son contexte utilisateur. Pas besoin d’être admin. Pas besoin de cracker quoi que ce soit. Juste un clic.
Et c’est là que le bât blesse. Parce qu’on a beau former les équipes, faire des campagnes de phishing simulé, expliquer encore et encore qu’il ne faut pas cliquer n’importe où… il y aura toujours un Pierre, une Sophie, un commercial pressé qui ouvrira ce fichier. Le facteur humain reste le maillon faible, on le sait, on le répète, mais ça reste vrai.
Du coup, plutôt que de miser uniquement sur la prudence des utilisateurs, on bloque techniquement l’exécution. Et c’est franchement la base d’une politique de sécurité sérieuse pour une PME. Un bon prestataire en gestion de parc informatique va d’ailleurs systématiquement vous parler de ça lors d’un audit initial.
| Type de menace | Vecteur principal d’exécution |
|---|---|
| Ransomware | Pièce jointe .exe ou macro |
| Cheval de Troie | Téléchargement web non vérifié |
| Cryptojacker | Script PowerShell malveillant |
| Infostealer | Exécutable dans AppData utilisateur |
Les méthodes techniques pour empêcher l’exécution de fichier dans un parc informatique
Bon. Passons au concret. Il existe plusieurs approches, et chacune a ses forces et ses limites. Personnellement, je pense qu’il faut empiler les couches plutôt que de tout miser sur une seule. La sécurité, c’est comme un oignon (oui je sais, métaphore éculée), mais c’est exactement ça.
Voici les principales techniques que vous allez croiser sur le terrain. Certaines existent depuis Windows XP, d’autres sont apparues récemment avec les EDR nouvelle génération. Le choix dépendra surtout de votre taille, de votre budget et de votre niveau de maturité technique.
- Les stratégies de restriction logicielle dites SRP qui datent un peu mais fonctionnent encore
- AppLocker disponible sur Windows 10/11 Entreprise et Windows Server
- Windows Defender Application Control ou WDAC pour les environnements modernes
- Les solutions EDR avec contrôle applicatif intégré
- Les règles AppData et Téléchargements via GPO classiques
- Le contrôle d’extension de fichier au niveau du proxy ou du firewall
Allez, je vous montre un cas concret. Sur un parc de 80 postes que j’ai migré l’an dernier, on a combiné AppLocker en mode audit pendant trois semaines, puis bascule en application stricte. Résultat ? Zéro infection depuis. Et zéro ticket utilisateur sur ce sujet… enfin, presque zéro, il y a toujours un comptable qui veut installer son truc bizarre.
Configuration par GPO et stratégies de restriction logicielle
La GPO reste le couteau suisse de l’administrateur Windows. Pour empêcher l’exécution de fichier dans un parc informatique géré sous Active Directory, on passe par la console GPMC. Concrètement, vous créez une stratégie liée à votre OU contenant les postes utilisateurs, puis vous configurez les SRP ou AppLocker selon votre édition de Windows.
Le principe est simple. On définit des règles de chemin, de hachage ou d’éditeur. Tout ce qui ne correspond pas à une règle d’autorisation est bloqué. Et ça marche redoutablement bien… à condition de bien préparer le terrain en amont. Sinon, vous bloquez la moitié des applications métier dès le lundi matin, croyez-moi sur parole.
| Type de règle GPO | Cas d’usage recommandé |
|---|---|
| Règle de chemin | Bloquer AppData et Téléchargements |
| Règle de hachage | Cibler un exécutable précis |
| Règle de certificat | Autoriser un éditeur de confiance |
| Règle de zone | Filtrer selon la zone Internet |
Petit conseil de terrain, comment dire… commencez toujours en mode audit. Vous laissez tourner deux à trois semaines, vous regardez les logs, vous identifiez tout ce qui serait bloqué, et vous ajustez. Personne ne supporte une coupure brutale, et votre DSI vous remerciera. Ah oui, pensez aussi aux exceptions pour vos logiciels comptables, ils adorent se nicher dans des chemins exotiques.
AppLocker et WDAC pour un contrôle moderne
AppLocker est apparu avec Windows 7 Entreprise et reste très utilisé. C’est l’évolution logique des SRP, avec une granularité bien supérieure. On peut autoriser une version précise d’un logiciel, bloquer les scripts PowerShell, contrôler les fichiers MSI, vraiment tout. Et ça se pilote nickel via GPO.
WDAC, ou Windows Defender Application Control, c’est encore au-dessus. Plus moderne, plus puissant, et compatible avec les architectures Intune et MEM. La courbe d’apprentissage est plus rude, on va pas se mentir, mais le résultat final tient la route face aux menaces actuelles, même les plus sophistiquées comme les attaques living-off-the-land.
- AppLocker permet de bloquer les exécutables par éditeur ou par version précise
- WDAC offre une protection au niveau du noyau Windows pour plus de robustesse
- Les deux solutions supportent un mode audit avant le mode bloquant
- WDAC fonctionne très bien avec les politiques signées numériquement
- AppLocker reste compatible avec Windows 10/11 Entreprise et Server
Un truc important que beaucoup oublient. Les deux solutions doivent absolument être testées dans un environnement de pré-production avant déploiement massif. Je me souviens d’un déploiement chez un client lyonnais en 2022, on avait zappé cette étape… résultat, le logiciel ERP refusait de tourner sur 30 postes le mardi matin. Bonjour l’ambiance.
L’antivirus EDR moderne comme couche complémentaire
Les EDR de nouvelle génération ne se contentent plus de comparer des signatures. Ils analysent le comportement des processus en temps réel, détectent les chaînes d’exécution suspectes, et peuvent bloquer un fichier inconnu avant même qu’il ne fasse de dégâts. C’est franchement bluffant comparé aux antivirus d’il y a dix ans.
Combiner un EDR avec vos règles AppLocker, c’est ceinture et bretelles. L’un bloque techniquement, l’autre analyse comportementalement. Pour aller plus loin sur ce sujet, jetez un oeil à notre guide sur les solutions EDR pour PME, qui détaille les critères de choix pour votre entreprise.
| Solution | Point fort principal |
|---|---|
| SRP classiques | Simplicité et compatibilité large |
| AppLocker | Granularité par éditeur |
| WDAC | Protection au niveau noyau |
| EDR moderne | Détection comportementale temps réel |
Déployer ces protections sur tout votre parc informatique
Déployer ce type de politique sur un parc de 5 postes, c’est faisable un samedi pluvieux. Sur 50 postes… ça commence à demander de la méthode. Et sur 200 postes répartis sur plusieurs sites, là, il faut vraiment du pro. Parce que les erreurs se paient cash, en interruption de service et en perte de confiance.
La démarche que je recommande, basée sur des dizaines de déploiements, suit toujours le même fil rouge. On audit l’existant, on cartographie les applications légitimes, on déploie en mode audit, on analyse les logs, puis on bascule progressivement par groupes d’utilisateurs pilotes. Le bon sens, en somme, mais appliqué rigoureusement.
- Réaliser un inventaire complet des applications métier en production
- Identifier les chemins d’installation atypiques utilisés par certains logiciels
- Préparer une liste blanche d’éditeurs et certificats de confiance
- Tester sur un groupe pilote représentatif des usages réels
- Documenter chaque exception accordée pour faciliter la maintenance future
- Former les administrateurs locaux aux procédures de levée d’alerte
Et puis bon, il faut être honnête, ce genre de projet demande des compétences pointues sur Active Directory, sur les GPO, sur PowerShell. Si votre informaticien interne gère déjà tout seul l’imprimante, le wifi et la sauvegarde, lui rajouter AppLocker, c’est lui demander d’apprendre le chinois en quinze jours. Mauvais plan.
Les erreurs classiques à éviter absolument
J’en vois passer, des erreurs, et certaines reviennent tout le temps. La pire ? Activer une politique de blocage sans phase d’audit préalable. Ça plante des outils métier, ça génère 50 tickets en deux heures, et la confiance dans le service informatique en prend un coup pendant des mois. Évitez. Vraiment.
Autre erreur fréquente, oublier les exceptions pour les outils de mise à jour automatique. Les applications type Adobe, Chrome, ou certains ERP utilisent des chemins temporaires pour s’auto-installer. Si vous bloquez bêtement tout ce qui sort de Program Files, vous cassez ces mises à jour, et vous accumulez de la dette de sécurité. Paradoxal mais classique.
Pour revenir sur ce point dont je parlais plus tôt, le mode audit doit vraiment tourner suffisamment longtemps. Trois semaines minimum, idéalement un mois complet pour capter aussi les usages mensuels (clôture comptable, paie, reporting). On a vu trop d’entreprises basculer trop tôt et le regretter amèrement. La sécurité dans une clinique privée, par exemple, demande encore plus de précaution comme on l’explique dans notre article sur les points sécurité prioritaires en milieu médical.
Enfin, et c’est peut-être le plus important, ne négligez pas la documentation. Chaque exception, chaque règle, chaque cas particulier doit être tracé quelque part. Parce que dans six mois, quand votre prestataire change ou que votre admin part en congés, personne ne se souviendra pourquoi tel chemin a été autorisé. La doc, c’est pas glamour, mais ça sauve des vies (informatiques) régulièrement.
Sécuriser votre parc informatique contre l’exécution de fichiers malveillants demande méthode et expertise. Confiez ce chantier critique à Newlink, votre partenaire de confiance pour une sécurité durable et adaptée à votre PME.
Contactez Newlink dès maintenant !FAQ
Peut-on bloquer les fichiers exécutables uniquement pour les utilisateurs non-administrateurs ?
Oui, c’est même la configuration recommandée par défaut. Dans les SRP comme dans AppLocker, vous pouvez appliquer les règles à tous les utilisateurs sauf les administrateurs locaux. Ça permet de maintenir une flexibilité pour les équipes IT tout en protégeant les postes utilisateurs standards des risques liés aux exécutables douteux.
Quelle différence entre AppLocker et Windows Defender Application Control ?
AppLocker fonctionne au niveau de la session utilisateur tandis que WDAC opère au niveau du noyau Windows. WDAC offre donc une protection plus robuste contre les attaques avancées et les contournements. AppLocker reste plus simple à configurer et convient parfaitement pour la majorité des PME qui débutent avec le contrôle applicatif.
Le blocage d’exécution ralentit-il les postes utilisateurs ?
Très peu, voire pas du tout dans la pratique courante. Les moteurs de contrôle applicatif modernes sont optimisés pour vérifier les exécutables sans impact perceptible sur les performances. Sur un parc moderne avec SSD et 16 Go de RAM, vos utilisateurs ne verront strictement aucune différence au quotidien dans leur usage habituel.
Faut-il un EDR si on a déjà AppLocker configuré correctement ?
Oui, fortement recommandé. AppLocker bloque selon des règles définies à l’avance, mais ne détecte pas les comportements suspects de processus déjà autorisés. L’EDR complète parfaitement le dispositif en surveillant les enchaînements d’actions anormaux. Les deux couches se renforcent mutuellement pour une défense en profondeur réellement efficace contre les menaces actuelles.
Combien de temps dure un déploiement complet sur un parc de 100 postes ?
Comptez environ six à dix semaines en moyenne, audit inclus. La phase d’inventaire prend une à deux semaines, la phase d’audit en mode silencieux entre trois et quatre semaines, et la bascule progressive deux à trois semaines de plus. Tout dépend évidemment de la complexité de votre parc applicatif et du nombre de logiciels métier exotiques à recenser.
