Protéger ses documents ne se limite pas à « faire attention ». Sous Windows 10/11, la fonction Accès contrôlé aux dossiers (Windows Security) agit comme un pare-feu d’écriture : seules les applications approuvées peuvent modifier vos emplacements sensibles (Documents, Bureau, projets, archives). En pratique, cette barrière stoppe les chiffrages non souhaités, les macros trop zélées et les outils inconnus qui tentent d’écraser vos fichiers. L’idée clé : partir d’une liste de dossiers réellement vitaux, autoriser explicitement les logiciels de confiance, et surveiller le journal pour détecter les tentatives bloquées. En cas de faux positif, on ajoute l’exécutable à la liste blanche, pas le dossier entier. Bien paramétrée, la protection reste invisible au quotidien : vos apps habituelles travaillent normalement, tandis que tout binaire suspect se heurte à un refus net. Et si vous combinez cette barrière avec des sauvegardes simples, vous neutralisez 90 % des risques sans lourdeur.
Activer et cibler les dossiers essentiels
Ouvrez Sécurité Windows > Protection contre les virus et menaces > Protection contre les ransomwares et activez Accès contrôlé aux dossiers. Par défaut, Windows protège les bibliothèques utilisateur (Documents, Images, Vidéos, Bureau). Ajoutez vos répertoires métiers : C:\Projets, D:\Clients, dossiers cloud synchronisés (OneDrive, SharePoint, Dropbox) et emplacements de travail locaux. Règle d’or : mieux vaut protéger trop peu au départ, puis étendre, que tout verrouiller d’un coup. En environnement partagé, excluez les caches temporaires (compilations, node_modules, rendus) pour éviter des blocages incessants. Vous préférez le script ? En PowerShell administrateur, activez en une ligne :
Set-MpPreference -EnableControlledFolderAccess Enabled
puis ajoutez des dossiers :
Add-MpPreference -ControlledFolderAccessProtectedFolders « D:\Clients »
Astuce : commencez par AuditMode (-EnableControlledFolderAccess AuditMode) pendant 24–48 h afin d’observer ce qui serait bloqué, sans interrompre la production ; basculez ensuite en Enabled.
Autoriser les apps légitimes et lire le journal des blocages
Au premier blocage, ne désactivez pas la protection : identifiez l’exécutable à autoriser. Dans Sécurité Windows > Protection contre les ransomwares > Autoriser une application, ajoutez le binaire concerné (C:\Program Files\…\app.exe). En PowerShell :
Add-MpPreference -ControlledFolderAccessAllowedApplications « C:\Chemin\MonApp.exe »
Cette approche fine garde le dossier durci tout en rétablissant le flux de travail. Pour comprendre « qui tente quoi », ouvrez Observateur d’événements > Journaux des applications et services > Microsoft > Windows > Windows Defender > Operational : vous y verrez les écritures refusées (processus, chemin, horodatage) et pourrez corriger au scalpel. Sur un poste d’équipe, centralisez ces journaux (SIEM, Defender for Business) pour repérer rapidement une vague de tentatives. Bon réflexe : quand vous mettez à jour un logiciel (suite bureautique, outil de DAO), vérifiez s’il a changé d’exécutable et, si nécessaire, ré-autorisez-le. Un ajout précis vaut mieux qu’une exception trop large.
Renforcer la résilience : sauvegardes, règles et scripts « filet de sécurité »
Aucune barrière n’exonère de sauvegardes versionnées. Activez Historique des fichiers ou la rétention OneDrive (versions et Corbeille) pour pouvoir remonter avant un incident. Programmez un export hebdomadaire vers un disque externe ou un partage réseau en accès lecture seule depuis le poste : même si une app dérape, la copie froide reste intacte. Côté surface d’attaque, désactivez l’exécution automatique de macros non signées, bloquez les extensions à risque dans le navigateur et limitez les droits d’écriture des comptes locaux. Standardisez la configuration via un script de poste :
- AuditMode 48 h, 2) lecture du journal et liste blanche minimale, 3) Enabled + ajout des dossiers métiers, 4) vérification de la restauration (fichier témoin). Rejouez ce script lors d’un onboarding ou d’un renouvellement PC. Enfin, consignez vos choix (dossiers protégés, apps autorisées, date de dernière revue) : en cas d’alerte, vous saurez exactement quoi vérifier, qui a demandé une exception et pourquoi.
