Les 10 bonnes pratiques pour protéger sa vie numérique

Objectifs du module :

Ce module vous permettra de comprendre comment les menaces numériques se construisent et pourquoi aucune organisation, même associative, n’est à l’abri. Vous apprendrez à reconnaître les signaux faibles d’une attaque, à identifier les pratiques à risque dans le quotidien et à adopter les bons réflexes pour réduire votre exposition. Enfin, vous découvrirez des méthodes simples et accessibles pour renforcer la sécurité de votre structure, protéger vos données et réagir efficacement en cas d’incident.

Les 10 bonnes pratiques I Comment protéger concrètement son organisation ?

Car apprendre à se protéger, c’est avant tout réaliser que l’on est vulnérable et réapprendre à naviguer dans un monde où la confiance ne se donne plus à la légère. Les pratiques que nous vous listons ne visent pas à tout verrouiller, mais à rendre votre association ou votre entreprise un peu plus résiliente que les autres, et souvent, cela suffit à passer sous les radars des cybermenaces.

🔑 1. Gérer les accès

Laisser l’accès à un drive ou à un outil partagé à des membres qui ont quitté l’association, c’est comme laisser la clé sous le paillasson.

À terme, cela expose vos données à des suppressions accidentelles ou à des fuites. Pour éviter cela, pensez à supprimer systématiquement les comptes des personnes qui partent et à faire, de temps à autre, une revue complète des accès : qui a encore les clés, et qui ne devrait plus les avoir ?

De manière générale, il est préférable d’éviter d’invités des personnes extérieures sur votre drive s’il ne s’agit que d’un échange ponctuel. Dans ce cas privilégiez plutôt l’envoi direct du document par mail, ou si travailler de manière collaborative est indispensable, il est préférable de ne partager que l’accès au document de travail. Attention, ne partagez jamais vos identifiants et mots de passe, même s’il s’agit d’identifiants professionnels et que vous les transmettez à l’un de vos collègues. Si vous n’avez pas le choix, pensez à changer le mot de passe dès que possible.

Les dossiers jetés sur la place publique

Moussa jongle entre les messages, les mails et les publications sur les réseaux sociaux. Le rythme effréné de bon nombre de community managers. En fin de journée, il publie sur la page Facebook de l’association un message récapitulant les actions menées par les membres pendant la semaine. Il y glisse également un lien vers un document Drive recensant les projets à venir et un formulaire d’inscription pour les futurs bénévoles.

Problème : à force de jongler entre les copier-coller, Moussa se trompe de lien et partage par inadvertance l’accès à l’ensemble du Drive de l’association. On y trouve des fichiers de comptabilité, des informations personnelles sur des membres et de nombreuses données sensibles.

Une erreur humaine aux conséquences lourdes, qui aurait pu être largement atténuée par une meilleure gestion des droits d’accès. Chaque dossier, chaque fichier doit être strictement limité aux personnes réellement concernées.

🔒 2. Des mots de passe solides

Un mot de passe, c’est souvent la première barrière entre un pirate et vos données. Mais beaucoup d’erreurs persistent : l’écrire sur un post-it, le sauvegarder dans le navigateur, ou encore utiliser partout le même.

Mais quelles sont les caractéristiques d’un bon mot de passe ? 

· Utiliser au moins 12 caractères.

· Utiliser majuscules, minuscules, chiffres et caractères spéciaux.

· Éviter les informations personnelles et professionnelles évidentes (noms de l’entreprise, dates de naissance).

· Utiliser des phrases entières comme mot de passe, ce qui permet de trouver un compromis entre la mémorisation du secret et sa robustesse. On parle alors de « phrase de passe » plutôt que de « mot de passe ». Par exemple, le mot de passe «Les3coucousqui_mangent » est considéré comme fort et est relativement facile à retenir, là où « 3BNaJj4H » est considéré comme très faible et peu facile à mémoriser.

· Utiliser des mots de passe distincts pour vos comptes personnels et professionnels.

En résumant, un mot de passe devrait comporter au moins douze caractères, mêlant majuscules, minuscules, chiffres et symboles, sans lien évident avec votre vie perso.

Ces conseils, vous les avez surement déjà entendus, mais savez vous pourquoi ? Pour comprendre ces prérequis, il faut une nouvelle fois prendre conscience des outils dont disposent les hackers pour cracker nos mots de passes.

Dans une « attaque par dictionnaire » par exemple, les hackers testent automatiquement des millions de combinaisons à partir de mots existants dans la langue française. Si votre mot de passe contient un mot commun ou un prénom, il sera trouvé en un instant.

Les « attaques par force brute », elles, essaient toutes les combinaisons possibles de caractère. Chaque symbole ajouté, qu’il s’agisse d’une lettre, d’une ponctuation ou d’un chiffre, multiplie le temps nécessaire pour percer la défense. D’où l’importance d’un mot de passe long.

🛡️ Vous pouvez tester la qualité de votre mot de passe ici.

S’ajoutent des méthodes plus ciblées, comme la devination (basée sur vos infos personnelles recueillies au préalable comme le nom de votre chien ou de votre époux/se) ou le bourrage d’identifiants, qui consiste à réutiliser un de vos mots de passe volés ailleurs.

Au vu de ces menaces, retenir un mot de passe long, complexe et unique pour chaque service peut rapidement paraître irréaliste. C’est là qu’interviennent les gestionnaires de mots de passe, conçus pour stocker et générer ces secrets en toute sécurité.

Le guide de la CNIL est très utile si vous souhaitez consulter toutes les recommandations relatives aux authentifications pour tous les types d’accès, allant du déverrouillage d’un ordinateur, l’accès à des comptes à privilèges, à l’accès à des applications web etc. 

Recommandations relatives à l’authentification multifacteur et aux mots de passe | ANSSI

🥷 3. Le gestionnaire de mots de passe

Un gestionnaire de mots de passe fonctionne comme un coffre-fort numérique : tous vos identifiants y sont enregistrés dans une base de données chiffrée, c’est‑à‑dire illisible sans une clé.

Cette clé devient votre mot de passe maître, le seul que vous devez retenir.

Dès que vous l’entrez, le gestionnaire déverrouille votre coffre et remplit automatiquement vos identifiants sur les sites ou applications que vous utilisez. Cela permet d’avoir des mots de passe longs, uniques et complexes pour chaque compte, sans jamais les mémoriser.

Les outils comme Proton, Bitwarden, Dashlane ou 1Password stockent vos données chiffrées dans un cloud sécurisé. Cela permet d’y accéder depuis plusieurs appareils (ordinateur, smartphone, tablette) et de synchroniser vos mots de passe en temps réel. Le chiffrement s’effectue localement, avant l’envoi : même le service hébergeur ne peut lire vos données.

À l’inverse, un outil comme KeePassXC fonctionne hors ligne. La base de mots de passe est conservée uniquement sur votre machine, dans un fichier chiffré que vous gérez vous‑même. C’est une option appréciée pour ceux qui veulent garder un contrôle total et ne pas confier leurs données à un service en ligne, mais cela demande plus de vigilance pour les sauvegardes.

Dans tous les cas, ces gestionnaires réduisent considérablement le risque d’oubli, de réutilisation de mots de passe ou d’erreur humaine. En bref, ils apportent à la cybersécurité un peu de simplicité sans compromis sur la protection.

Générez des mots de passe forts et uniques, par exemple avec Proton Pass.

⚡ 4. L’authentification multifacteur

Imaginez maintenant qu’un pirate parvienne à trouver votre mot de passe. Sans la double authentification, il aurait accès à tout ; avec elle, il se heurte à une seconde barrière. Une clé temporaire, générée à chaque connexion, souvent sous forme de code envoyé par SMS ou via une application dédiée, vient compléter le mot de passe.

Même si vos identifiants sont compromis, l’attaquant resterait bloqué. C’est une mesure simple à mettre en place mais redoutablement efficace.

🚨 5. Sécurité physique

La cybersécurité ne se limite pas aux attaques en ligne : elle commence aussi dans le monde réel. Un ordinateur volé ou simplement laissé sans surveillance peut livrer, en quelques secondes, un trésor d’informations personnelles ou professionnelles. Veillez donc à verrouiller votre écran dès que vous quittez votre poste, même pour aller prendre un café, et de manière générale, ne laissez pas votre ordinateur ou votre smartphone sans surveillance.

Dans les lieux publics ou les transports comme les cafés, espaces de coworking, trains… pensez à installer un filtre de confidentialité sur votre écran. Il s’agit d’un film fin et transparent qui réduit considérablement l’angle de vision : seules les personnes en face de l’appareil peuvent lire l’affichage. Autrement dit, votre voisin de siège dans le train ne verra qu’un écran noir, là où vous, vous continuez à travailler normalement. Ce simple accessoire évite bien des indiscrétions.

Avant tout déplacement à l’étranger, adoptez une autre bonne habitude : sauvegardez vos données, puis nettoyez vos appareils. Moins ils contiennent d’informations sensibles, moins les risques sont grands en cas de perte ou de vol. Et pour les échanges confidentiels, que ce soit un appel ou une discussion en public, ayez le réflexe de vous isoler, la sécurité, c’est aussi savoir quand et où parler.

PS : Connaissez-vous le jeu du croissant ? C’est une tradition dans certains bureaux. Si vous quittez votre poste sans verrouiller votre ordinateur, vos collègues changent votre fond d’écran par une photo de croissant… et vous devez en apporter pour tout le monde le lendemain. Une blague bon enfant, mais un rappel parfait qu’un écran toujours verrouillé, c’est une donnée toujours protégée.

Stratégie des attaquants I L’affaire du post-it oublié

Tout sourire, Julien pose au centre de son équipe, réunie pour lui souhaiter bon vent. Après plusieurs années passées comme chef de projet au sein de l’association, il s’envole pour de nouvelles aventures. Pour immortaliser l’instant, un collègue propose de prendre une photo souvenir dans son bureau.

Le cliché, convivial et plein d’émotion, est rapidement partagé par plusieurs membres sur les réseaux sociaux. Mais un détail échappe à tous : un post-it, collé sur un des ordinateurs en arrière-plan, affiche clairement le mot de passe utilisé pour accéder à plusieurs services de l’association. Quelques heures plus tard, le compte PayPal est syphoné. Le pot de départ laisse une saveur bien amère.

Voyez votre mot de passe comme une clé : la laisseriez-vous sous votre paillasson, comme vous laissez parfois traîner un post-it devant votre écran ?

👨‍💻 6. Les mises à jour

Encore une fois, c’est une petite musique que l’on croit connaître, mais que beaucoup préfèrent encore ignorer. Lorsqu’on vous rappelle de faire vos mises à jour, ce n’est pas pour vous imposer un nouveau design ou une fonctionnalité gadget.

Dans la grande majorité des cas, ces mises à jour servent surtout à corriger des failles de sécurité fraîchement découvertes. Et il faut le savoir : les hackers, eux, scrutent attentivement ces correctifs dès leur publication pour exploiter les appareils qui ne sont pas encore à jour. Chaque jour gagné pour eux, c’est une porte ouverte pour attaquer.

Ne téléchargez jamais vos mises à jour ailleurs que sur les sites officiels, activez l’installation automatique quand c’est possible, et si votre appareil est trop vieux pour en bénéficier, il est temps d’envisager un remplacement. Mieux vaut investir un peu que risquer de tout perdre.
Et surtout, oubliez les systèmes d’exploitation ou logiciels « craqués » : ils peuvent sembler économiques sur le moment, mais ils bloquent l’accès à ces correctifs vitaux et laissent votre appareil exposé à la moindre faille connue.

📥 7. Sauvegarder ses données

Une panne, un vol, un incendie ou une attaque par ransomware peut tout effacer. Sans sauvegarde, il ne reste plus qu’à constater les dégâts.
Identifiez donc ce qui compte le plus (comptabilité, fichiers d’adhérents, documents administratifs) et sauvegardez-les régulièrement, sur un disque externe ou dans un service cloud. Idéalement, gardez aussi une copie « hors ligne » et chiffrée. En cas de blocage, vous pourrez tout restaurer en quelques clics.

Stratégies des attaquants I La valise suspecte : fin alternative

Retrouvons Béatrice dans un nouveau scénario. Toujours aussi consciencieuse, elle cherche la solution miracle pour mieux organiser l’agenda des membres de l’association.

Le Graal, l’application truquée, le téléchargement, le ransomware, tout s’enchaine comme dans le premier cas de figure. Sauf que cette fois-ci, une sauvegarde de l’ensemble des dossiers vitaux au fonctionnement de l’association a été faite au préalable sur un cloud protégé ou une sauvegarde distincte. Les demandes de rançon resteront lettres mortes et un environnement sain est rapidement remis en place pour assure le retour à la normale. 

Leçon de ce nouveau scénario : une sauvegarde hors de portée des hackers reste le meilleur moyen de rester serein en cas d’attaque.

🤔 8. Chiffrer ses données

Le chiffrement, c’est transformer vos fichiers en code illisible sans mot de passe. Utile si un ordinateur ou une clé USB est perdue ou volée.
Des logiciels comme VeraCrypt permettent de créer un “coffre-fort” numérique : un simple dossier qui renferme vos documents, accessible uniquement avec votre mot de passe. Pour transmettre ce mot de passe, faites-le toujours par un autre canal, de préférence de vive voix.

D’ailleurs, connaissez-vous le chiffrement de César ? C’est l’une des plus anciennes méthodes de cryptage, utilisée par Jules César lui-même pour protéger ses messages militaires. Le principe est simple : on décale chaque lettre de l’alphabet d’un certain nombre de positions. Par exemple, avec un décalage de trois, A devient D, B devient E, C devient F, et ainsi de suite. Ainsi, le mot ROME deviendrait URPH. Pour déchiffrer le message, il suffit de connaître la clé : ici, le décalage de trois.

Bien sûr, cette méthode est aujourd’hui purement symbolique tant elle est facile à casser, mais elle illustre parfaitement le principe de base du chiffrement : transformer une information en code inexploitable sans la clé de lecture.

💥 Challenge chiffré

D’ailleurs petit challenge, on vous met le prochain conseil chiffré en César +9. Essayez de déchiffrer le texte ci-dessous en utilisant cet outil : https://cryptii.com/pipes/caesar-cipher.

Antivirus et pare-feu

Unb eradb wn anuèenwc yjb mn uj blrnwln-orlcrxw : rub lraldunwc yjacxdc bda Rwcnawnc. Yxda b’nw yaxcépna, dw jwcreradb à sxda nc dw yjan-ond jlcro bxwc rwmrbynwbjkunb.
Bxdb Frwmxfb, Mnonwmna ojrc caèb krnw un cajejru ; bda Vjl, Vjufjankhcnb (enabrxw pajcdrcn) bdoorc ; bda Urwdg, LujvJE anbcn dwn kxwwn xycrxw.
Nc zdnuzdnb aèpunb mn kxw bnwb lxvyuècnwc cxdc lnuj : wn kajwlqni sjvjrb dwn lué DBK caxdeén yja qjbjam, rwbcjuuni dwrzdnvnwc mnb jyyurljcrxwb rbbdnb m’dwn bxdaln xoorlrnuun, nc véorni-exdb mn cxdc uxprlrnu “pajcdrc” enwd m’jruundab.

💃 9. Séparer vie privée et vie pro

Le mélange des genres est une porte ouverte aux fuites. Utiliser votre adresse personnelle pour des activités de l’association, ou inversement, c’est risquer une confusion dangereuse.

Idéalement, gardez des comptes et des équipements distincts. En cas de doute sur une fuite, le site haveibeenpwned.com permet de vérifier si votre adresse mail ou votre numéro ont été compromis.

🎣 10. Se protéger du phishing

Le phishing, ou hameçonnage, c’est l’art de la tromperie à l’ère numérique. Un mail qui paraît sérieux, un logo bien imité, un lien apparemment légitime… et le piège se referme. Certains messages sont grossiers et faciles à repérer, d’autres, bien plus ciblés (on parle alors de spear‑phishing), s’appuient sur vos habitudes ou votre entourage.

Avec l’essor de l’intelligence artificielle, ces attaques deviennent plus sophistiquées encore. Les deepfakes peuvent aujourd’hui reproduire des voix et des visages à s’y méprendre, tandis que des chatbots malveillants arrivent à simuler une conversation crédible de bout en bout. Certains cybercriminels mènent même des appels ou visioconférences piégés pour soutirer des informations sensibles.

Face à ces tromperies, la seule arme fiable reste la vigilance. Le premier réflexe consiste évidemment à vérifier l’adresse mail de l’expéditeur. Certains usurpateurs tenteront de tromper votre vigilance en utilisant des adresses très proches de celles d’expéditeurs légitimes.

Aussi, la notion d’urgence est une caractéristique des tentatives de phishing, n’entamez aucune procédure dans la précipitation. Ne cliquez jamais sur un lien douteux : recherchez plutôt le site officiel via un moteur de recherche.

Si vous devez cliquer, survolez le lien avec votre souris avant de le faire : l’adresse réelle s’affiche alors en bas à gauche de votre navigateur, et vous pourrez vérifier si elle correspond bien à ce qu’elle prétend être. Soyez attentif aux fautes, aux tournures maladroites, et en cas de doute, contactez directement l’expéditeur officiel.

Si vous repérez une campagne de phishing, signalez‑la sans y répondre : même un message moqueur permet de mettre à jour les bases de données des cybercriminels.

Et si vous craignez d’avoir été victime, ne restez pas seul, parlez en autour de vous, sans honte et contactez sans attendre les CSIRT régionaux, les centres de réponse aux incidents cyber au plus près des entités implantées sur leurs territoires et chargé d’accompagner les victimes et d’analyser les incidents.

Pour plus d’informations :
https://www.cert.ssi.gouv.fr/csirt/csirt-territoriaux
https://www.cybermalveillance.gouv.fr/

Stratégies des attaquants I Le robot bon samaritain

Depuis plusieurs jours, Inès est inondée… inondée de mails dans sa boîte de réception.
Pas de surcharge de travail à l’horizon, mais un flux continu de newsletters et de courriels marketing provenant de services auxquels elle n’a aucun souvenir de s’être inscrite.

Sans le savoir, Inès est la cible d’une cyberattaque qui n’en est qu’à sa première étape : l’email bombing.5 La seconde ne tarde pas à suivre.
Elle reçoit un appel d’un interlocuteur prétendant venir de son fournisseur de messagerie pour résoudre ce problème. La voix, légèrement robotisée, lui semble simplement issue d’un service client automatisé. L’appelant lui détaille la marche à suivre : quelques manipulations à effectuer sur son ordinateur et le téléchargement de certaines applications.

Peu à peu, le piège se referme. Sans le réaliser, Inès vient d’accorder un accès momentané à son ordinateur aux hackers derrière l’attaque.

Prenez garde : les cybermenaces ne se limitent plus aux courriels. Avec l’essor de l’intelligence artificielle, des techniques comme le vishing – l’hameçonnage par appel téléphonique – deviennent de plus en plus sophistiquées. Les “bons samaritains” venus de nulle part pour vous aider pourraient bien être la porte d’entrée vers votre réseau.

Comment protéger concrètement son organisation ?

1. Pourquoi est‑il important de supprimer les comptes des membres quittant l’association ?

• Pour économiser de la place sur le serveur
• Pour éviter qu’ils accèdent encore à des données internes
• Pour alléger la messagerie
• Parce que c’est une obligation légale systématique

2. À quoi sert un gestionnaire de mots de passe ?

• À partager ses mots de passe avec ses collègues
• À stocker et chiffrer ses mots de passe de manière sécurisée
• À éliminer les mots de passe
• À envoyer automatiquement les e‑mails

3. Quel est l’objectif principal de l’authentification multifacteur (MFA) ?

• Remplacer le mot de passe par un code permanent
• Ajouter une seconde barrière d’accès en cas de vol de mot de passe
• Simplifier la connexion
• Supprimer les mots de passe des serveurs

4. Qu’est‑ce que le chiffrement de données permet concrètement ?

• Rendre un fichier illisible sans mot de passe ou clé de déchiffrement
• Supprimer les virus
• Créer une sauvegarde automatique
• Masquer des dossiers du système

5. Quelle habitude quotidienne simple contribue à la sécurité physique ?

• Laisser son écran ouvert au bureau
• Verrouiller son poste lorsqu’on s’absente
• Partager son ordinateur avec les visiteurs
• Désactiver les filtres de confidentialité

Valider le quiz

Bibliographie I Pour aller plus loin

1 « Le phishing c’est quoi ? », CNIL.

2 « Qu’est-ce qu’un ransomware ? », IBM.

3 « Que sont les Deep Web et le Dark Web ? », Kaspersky.

4 « Usurpation d’identité », Service Public.

5 « Microsoft Digital Defense Report 2025 », Microsoft.

6 « 6 raisons pour lesquelles la gestion des accès est devenue un élément essentiel de la cybersécurité », nexxo.tech.

7 « Comment choisir un bon mot de passe lorsque vous créez un compte sur Internet ? », cybermalveillance.gouv.fr.

8 « Attaque par dictionnaire », glossaire f5.

9 « Force Brute (attaque informatique) », CNIL.

10 « Qu’est-ce qu’un gestionnaire de mots de passe », Numerama.

11 « Sécurité : utilisez l’authentification multifacteur pour vos comptes en ligne », CNIL.

12 « Pourquoi et comment bien gérer ses mises à jour », cybermalveillance.gouv.fr.

13 « Le chiffrement des données : une protection indispensable pour les TPE PME », cybermalveillance.gouv.fr

14 « Les attaques de phishing par IA sont en hausse, êtes vous prêts ? », The Bitwarden Blog.

Ce module a été rédigé par Claire Pétillot, auditrice en cybersécurité chez Advens et diplômée Ingénieure en Télécommunications à l'Institut national des sciences appliquées (INSA) de Lyon, et par Amine Baba Aïssa responsable de la rubrique Cyberguerre de Numerama. Il a couvert pendant plusieurs années l'actualité internationale pour France 24, il s’est formé à la programmation et à la cybersécurité à l'Ecole 42 afin de vulgariser au mieux les nouveaux enjeux autour des conflits numériques.