Objectif du module
Ce module vous permettra de comprendre comment les menaces numériques se construisent et pourquoi aucun individu, entreprise ou organisation, n’est à l’abri. Vous apprendrez à reconnaître les signaux faibles d’une attaque, à identifier les pratiques à risque dans votre quotidien et à adopter les bons réflexes pour réduire votre exposition. Enfin, vous découvrirez des méthodes simples et accessibles pour renforcer votre sécurité, protéger vos données et réagir efficacement en cas d’incident.
Les 11 bonnes pratiques
Apprendre à se protéger, c’est avant tout réaliser qu’on est vulnérable et réapprendre à naviguer dans un monde où la confiance ne se donne plus à la légère. Ne plus se dire que « ça n’arrive qu’aux autres », surtout quand on exerce un métier qui amène à être exposé médiatiquement ou sur les réseaux.
Les pratiques que nous vous listons ne visent pas à tout verrouiller, mais à vous aider, vous et votre éventuelle rédaction, à être un peu plus résilient que les autres. Car souvent, cela suffit à faire la différence et à vous éviter d’être la victime d’une cyberattaque.
1. Gérer les accès
Laisser l’accès à un drive ou à un outil partagé à des membres qui ont quitté la rédaction ou ne travaille plus avec vous, c’est comme laisser la clé sous le paillasson.
À terme, cela expose vos données à des suppressions accidentelles ou à des fuites. Pour éviter cela, pensez à supprimer systématiquement les accès à vos comptes ou drives partagés des personnes qui n’en ont plus l’utilité, et de temps à autre, à faire une revue complète des accès : qui a encore les clés, et qui ne devrait plus les avoir ?
De manière générale, il est préférable d’éviter d’invités des personnes extérieures sur votre drive s’il ne s’agit que d’un échange ponctuel. Dans ce cas privilégiez plutôt l’envoi direct du document par mail, ou si travailler de manière collaborative est indispensable, il est préférable de ne partager que l’accès au document de travail.
Attention, ne partagez jamais vos identifiants et mots de passe, même s’il s’agit d’identifiants professionnels et que vous les transmettez à l’un de vos collègues. Si vous n’avez pas le choix, pensez à changer le mot de passe dès que possible.
2. Des mots de passe solides
Un mot de passe, c’est souvent la première barrière entre un pirate et vos données. Mais beaucoup d’erreurs persistent : l’écrire sur un post-it, le sauvegarder dans le navigateur, ou encore utiliser le même de partout.
Mais quelles sont les caractéristiques d’un bon mot de passe ?
· Utiliser au moins 12 caractères.
· Utiliser majuscules, minuscules, chiffres et caractères spéciaux.
· Éviter les informations personnelles et professionnelles évidentes (noms de l’entreprise, dates de naissance).
· Utiliser des phrases entières comme mot de passe, ce qui permet de trouver un compromis entre la mémorisation du secret et sa robustesse. On parle alors de « phrase de passe » plutôt que de « mot de passe ». Par exemple, le mot de passe «Les3coucousqui_mangent » est considéré comme fort et est relativement facile à retenir, là où « 3BNaJj4H » est considéré comme très faible et peu facile à mémoriser.
· Utiliser des mots de passe distincts pour vos comptes personnels et professionnels.
Ces conseils, vous les avez surement déjà entendus, mais savez-vous pourquoi ? Pour comprendre ces prérequis, il faut une nouvelle fois prendre conscience des outils dont disposent les hackers pour cracker nos mots de passes.
Dans une « attaque par dictionnaire » par exemple, les hackers testent automatiquement des millions de combinaisons à partir de mots existants dans la langue française. Si votre mot de passe contient un mot commun ou un prénom, il sera trouvé en un instant.
Les « attaques par force brute », elles, essaient toutes les combinaisons possibles de caractère. Chaque symbole ajouté, qu’il s’agisse d’une lettre, d’une ponctuation ou d’un chiffre, multiplie le temps nécessaire pour percer la défense. D’où l’importance d’un mot de passe long.
S’ajoutent des méthodes plus ciblées, comme la devination (basée sur vos infos personnelles recueillies au préalable comme le nom de votre chien ou de votre époux/se) ou le bourrage d’identifiants, qui consiste à réutiliser un de vos mots de passe volés ailleurs.
Au vu de ces menaces, retenir un mot de passe long, complexe et unique pour chaque service peut rapidement paraître irréaliste. C’est là qu’interviennent les gestionnaires de mots de passe, conçus pour stocker et générer ces secrets en toute sécurité.
Le guide de la CNIL est très utile si vous souhaitez consulter toutes les recommandations relatives aux authentifications pour tous les types d’accès, allant du déverrouillage d’un ordinateur, l’accès à des comptes à privilèges, à l’accès à des applications web etc.
📚 Les recommandations relatives à l’authentification multifacteur et aux mots de passe de l’ANSSI.
3. Le gestionnaire de mots de passe
Un gestionnaire de mots de passe fonctionne comme un coffre-fort numérique : tous vos identifiants y sont enregistrés dans une base de données chiffrée, c’est-à-dire illisible sans une clé.
Cette clé devient votre mot de passe maître, le seul que vous devez retenir.
Dès que vous l’entrez, le gestionnaire déverrouille votre coffre et remplit automatiquement vos identifiants sur les sites ou applications que vous utilisez. Cela permet d’avoir des mots de passe longs, uniques et complexes pour chaque compte, sans jamais les mémoriser.
Les outils comme Proton, Bitwarden, Dashlane ou 1Password stockent vos données chiffrées dans un cloud sécurisé. Cela permet d’y accéder depuis plusieurs appareils (ordinateur, smartphone, tablette) et de synchroniser vos mots de passe en temps réel. Le chiffrement s’effectue localement, avant l’envoi : même le service hébergeur ne peut lire vos données.
À l’inverse, un outil comme KeePassXC fonctionne hors ligne. La base de mots de passe est conservée uniquement sur votre machine, dans un fichier chiffré que vous gérez vous-même. C’est une option appréciée pour ceux qui veulent garder un contrôle total et ne pas confier leurs données à un service en ligne, mais cela demande plus de vigilance pour les sauvegardes.
Dans tous les cas, ces gestionnaires réduisent considérablement le risque d’oubli, de réutilisation de mots de passe ou d’erreur humaine. En bref, ils apportent à la cybersécurité un peu de simplicité sans compromis sur la protection.
4. L’authentification multifacteur (MFA)
Imaginez maintenant qu’un pirate parvienne à trouver votre mot de passe. Sans la double authentification, il aurait accès à tout ; avec elle, il se heurte à une seconde barrière. Une clé temporaire, générée à chaque connexion, souvent sous forme de code envoyé par SMS ou via une application dédiée, vient compléter le mot de passe.
Même si vos identifiants sont compromis, l’attaquant resterait bloqué. C’est une mesure simple à mettre en place mais redoutablement efficace.
5. Sécurité physique
La cybersécurité ne se limite pas aux attaques en ligne : elle commence aussi dans le monde réel. Un ordinateur volé ou simplement laissé sans surveillance peut livrer, en quelques secondes, un trésor d’informations personnelles ou professionnelles. Veillez donc à verrouiller votre écran dès que vous quittez votre poste, même pour aller prendre un café, et de manière générale, ne laissez pas votre ordinateur ou votre smartphone sans surveillance.
Dans les lieux publics ou les transports comme les cafés, espaces de coworking, trains… pensez à installer un filtre de confidentialité sur votre écran. Il s’agit d’un film fin et transparent qui réduit considérablement l’angle de vision : seules les personnes en face de l’appareil peuvent lire l’affichage. Autrement dit, votre voisin de siège dans le train ne verra qu’un écran noir, là où vous, vous continuez à travailler normalement. Ce simple accessoire évite bien des indiscrétions.
Avant tout déplacement à l’étranger, adoptez une autre bonne habitude : sauvegardez vos données, puis nettoyez vos appareils. Moins ils contiennent d’informations sensibles, moins les risques sont grands en cas de perte ou de vol. Et pour les échanges confidentiels, que ce soit un appel ou une discussion en public, ayez le réflexe de vous isoler, la sécurité, c’est aussi savoir quand et où parler.
6. Les mises à jour
Encore une fois, c’est une petite musique que l’on croit connaître, mais que beaucoup préfèrent encore ignorer. Lorsqu’on vous rappelle de faire vos mises à jour, ce n’est pas pour vous imposer un nouveau design ou une fonctionnalité gadget.
Dans la grande majorité des cas, ces mises à jour servent surtout à corriger des failles de sécurité fraîchement découvertes. Et il faut le savoir : les hackers, eux, scrutent attentivement ces correctifs dès leur publication pour exploiter les appareils qui ne sont pas encore à jour. Chaque jour gagné pour eux, c’est une porte ouverte pour attaquer.
Ne téléchargez jamais vos mises à jour ailleurs que sur les sites officiels, activez l’installation automatique quand c’est possible, et si votre appareil est trop vieux pour en bénéficier, il est temps d’envisager un remplacement. Mieux vaut investir un peu que risquer de tout perdre.
Et surtout, oubliez les systèmes d’exploitation ou logiciels « craqués » : ils peuvent sembler économiques sur le moment, mais ils bloquent l’accès à ces correctifs vitaux et laissent votre appareil exposé à la moindre faille connue.
7. Sauvegarder ses données
Une panne, un vol, un incendie ou une attaque par ransomware peut tout effacer. Sans sauvegarde, il ne reste plus qu’à constater les dégâts.
Identifiez donc ce qui compte le plus (comptabilité, documents administratifs, recherches pour un article etc) et sauvegardez-les régulièrement, sur un disque externe ou dans un service cloud. Idéalement, gardez aussi une copie « hors ligne » et chiffrée. En cas de blocage, vous pourrez tout restaurer en quelques clics.
8. Chiffrer ses données
Le chiffrement, c’est transformer vos fichiers en code illisible sans mot de passe, ce qui peut s’avérer très utile si votre ordinateur ou votre clé USB est perdue ou volée.
Des logiciels comme VeraCrypt permettent de créer un “coffre-fort” numérique : un simple dossier qui renferme vos documents, accessible uniquement avec votre mot de passe. Pour transmettre ce mot de passe, faites-le toujours par un autre canal, de préférence de vive voix.
D’ailleurs, connaissez-vous le chiffrement de César ? C’est l’une des plus anciennes méthodes de cryptage, utilisée par Jules César lui-même pour protéger ses messages militaires. Le principe est simple : on décale chaque lettre de l’alphabet d’un certain nombre de positions. Par exemple, avec un décalage de trois, A devient D, B devient E, C devient F, et ainsi de suite. Ainsi, le mot ROME deviendrait URPH. Pour déchiffrer le message, il suffit de connaître la clé : ici, le décalage de trois.
Bien sûr, cette méthode est aujourd’hui purement symbolique tant elle est facile à casser, mais elle illustre parfaitement le principe de base du chiffrement : transformer une information en code inexploitable sans la clé de lecture.
9. Antivirus et pare-feu actifs
Sur Internet, les logiciels malveillants (virus, vers, cheval de Troie, logiciel espion, etc.) représentent un risque important. Ils sont distribués par de nombreux vecteurs dont vous pouvez vous protéger grâce à un antivirus dont vous suivez les recommandations (mise à jour des bases virales, suppression ou mise en quarantaine des fichiers suspects).
Selon votre système d’exploitation, différentes options sont possibles :
- Sur Windows, vous pouvez activer Windows Defender qui est déjà intégré et qui est suffisant pour la plupart des usagés ;
- Sur MAC, installez Malwarebytes (la version gratuite devrait suffire) ;
- Sur Linux, installez ClamAv.
Un pare-feu bien configuré bloquera également les connexions non désirées depuis et vers votre ordinateur. Windows, Linux Ubuntu et Mac OS incluent en standard des pare feu dans leur système d’exploitation. Vous n’avez rien à installer, vérifiez simplement que celui-ci est activé.
- Pare-feu et protection réseau dans l’application Sécurité Windows
- Uncomplicated Firewall Ubuntu
- Bloquer les connexions au Mac avec un coupe-feu
Attention cependant, l’utilisation de ces outils ne sera efficace qu’à condition d’y associer quelques bonnes pratiques :
N’utilisez jamais un service ou un équipement inconnu ou abandonné (une clé USB par exemple). Si on doit vous transmettre un dossier ou un document, préférez les services de transferts de documents sécurisés. Il en existe énormément, certains payants, d’autres gratuits. Avant de faire votre choix, veillez à ce que le chiffrement soit réalisé de bout-à-bout et idéalement que la solution soit européenne.
Enfin, de manière générale, n’installez sur vos appareils que des applications provenant des magasins d’applications officiels (Microsoft Store, App Store…).
10. Séparer sa vie privée et sa vie pro
La frontière entre vie professionnelle et vie personnelle devient de plus en plus poreuse, ce qui génère de nouveaux risques.
Si vous êtes journaliste indépendant et que vous utilisez le même ordinateur et le même téléphone pour votre travail que dans votre vie personnelle, alors le risque que vos informations personnelles se retrouvent utilisées à mauvais escient n’en sera que plus grand.
Pour sécuriser au mieux vos usages numériques dans ces différents environnements, évitez d’utiliser vos moyens personnels (téléphone mobile, clé USB, etc.) à des fins professionnelles et inversement. Si ce n’est pas possible, vous pouvez réaliser des espaces séparés notamment sur votre téléphone.
Sur android il s’agira de créer un « profil professionnel » ou un « espace privé » et sur iphone, soit votre entreprise est en mesure de créer un MDM (Mobile Device Management), ce qui permettra aux appli pro d’être isolées dans un espace managé, sans accès à vos données personnelles. Soit il faut réaliser une organisation manuelle en essayant de séparer les applis pro et perso.
Par exemple, en choisissant deux types de comptes mail (outlook pour le pro, apple mail pour le perso) cela permet de limiter les risques. De même, n’utilisez pas votre adresse email professionnelle pour vous inscrire sur des sites Internet à titre personnel et réciproquement.
Pour savoir si une fuite de données est en lien avec votre adresse de messagerie ou votre numéro de téléphone, vous pouvez régulièrement vérifier sur le site haveibeenpwned.com, ou même vous inscrire pour être notifié dans le futur si votre adresse apparait.
11. Se sensibiliser au Phishing
Enfin, une bonne manière d’améliorer sa résilience envers les menaces cyber, c’est de se former. Parmi les menaces auxquelles tout utilisateur d’un ordinateur ou smartphone est le plus exposé, c’est le phishing.
Le phishing, c’est une technique de fraude en ligne où des attaquants se font passer pour des entités de confiance (comme des banques, des services en ligne ou des collègues). L’attaquant utilise des adresses mails trouvées sur internet. Les campagnes de phishing classiques sont très généralistes. Le but est de tromper les victimes et les inciter à divulguer des informations sensibles, telles que des mots de passe, des numéros de carte de crédit ou d’autres données personnelles. En général, on peut facilement voir que le mail ou le sms qu’on reçoit ne nous est pas vraiment destiné et le piège est donc facilement évitable.
Cependant, il existe ce que l’on appelle le « spearphishing », qui est plus difficile à discerner car l’attaquant possède déjà vos informations personnelles et connaît les services que vous utilisez. Il va donc se servir de ces informations pour mieux vous tromper. Il se peut aussi qu’il utilise l’adresse email d’une de vos connaissances, d’un proche ou d’un collègue, ce qui a tendance à affaiblir notre vigilance.
Les emails ne sont pas la seule source de menaces. Vous pouvez aussi bien être contacté par sms ou par appel téléphonique, et avec l’arrivée de l’Intelligence Artificielle les possibilités d’usurper non seulement l’identité, mais aussi la voix et le visage est de plus en plus aisé.
Les chatbots IA utilisés pour des attaques de phishing sont également capables de créer des conversations complexes et crédibles, exploitant des failles humaines de manière efficace.
Les utilisateurs sont de plus en plus habitués à interagir avec des chatbots pour obtenir des services rapides, ce qui permet aux cybercriminels d’exploiter cette confiance en se faisant passer pour des agents de support officiels.
Voici donc quelques bonnes pratiques à conserver :
- Veiller à remettre en cause la véracité des informations reçues, peu importe le moyen de communication, afin d’obtenir confirmation que l’interlocuteur est légitime ;
- Ne jamais communiquer d’informations sensibles par messagerie ou téléphone ;
- Contrôler si l’adresse email de l’expéditeur n’est pas une adresse détournée (changement d’un caractère, .fr au lieu de .com etc) ;
- Positionner le curseur de votre souris sur un lien douteux avant de cliquer dessus afin d’afficher l’URL sur lequel vous allez être redirigé ;
- Vérifier l’adresse du site qui s’affiche dans votre navigateur.
Enfin, plusieurs signes comme les fautes d’orthographe, les offres trop alléchantes ou encore les contenus qui s’appuient sur la peur peuvent indiquer que c’est un mail de phishing.
En cas de doute, n’hésitez pas à contacter l’organisme ou la personne concernée par un autre biais et ne pas hésiter à signaler le mail ou le numéro si le doute persiste.
Enfin, si vous êtes victime d’une attaque informatique vous pouvez contacter votre CSIRTrégional cert.ssi.gouv.fr/csirt/csirt-territoriaux et l’assistance du service publique cybermalveillance.gouv.fr.
Ce module a été rédigé par Claire Pétillot, auditrice en cybersécurité chez Advens et diplômée Ingénieure en Télécommunications à l'Institut national des sciences appliquées (INSA) de Lyon.
