1. 🔐 Utilisez un mot de passe fort (et unique) pour chaque compte
Les mots de passe constituent toujours, en 2025, l’un des premiers remparts contre les intrusions numériques. Pourtant, une part importante des violations de données commence par un mot de passe compromis, deviné, réutilisé ou exposé dans une fuite. Il est donc crucial de maîtriser les bonnes pratiques — au-delà des simples recommandations générales.
Qu’est-ce qu’un mot de passe « fort » aujourd’hui ?
Un mot de passe fort doit répondre à plusieurs critères cumulés :
- Longueur : minimum 12 à 16 caractères, idéalement plus. La longueur est l’un des facteurs les plus critiques face aux attaques par force brute.
- Complexité : mélange de majuscules, minuscules, chiffres et caractères spéciaux.
- Unicité : il ne doit être utilisé qu’une seule fois. La réutilisation est un risque majeur : une fuite sur un site peu sécurisé peut compromettre l’accès à vos services professionnels.
- Non-prédictibilité : évitez les suites logiques (« 123456 », « azerty »), les noms communs, dates de naissance ou toute information personnelle.
Un exemple (créé aléatoirement) : 5K%m9u!Zt#3vBg4X
Pourquoi cela ne suffit pas : les bases de données compromises
Les hackers ne « devinent » plus vos mots de passe au hasard : ils utilisent des dictionnaires issus de fuites réelles (comme les listes RockYou ou HaveIBeenPwned). En croisant ces bases avec vos adresses e-mail, ils peuvent tester des milliers de combinaisons connues en quelques secondes (attaque par credential stuffing).
➡️ Réutiliser un mot de passe, même fort, sur plusieurs comptes revient à donner une clé unique à plusieurs portes : si l’une est fracturée, toutes sont compromises.
La solution concrète : les gestionnaires de mots de passe
Pour respecter ces exigences sans les mémoriser, utilisez un gestionnaire de mots de passe sécurisé (comme Bitwarden, 1Password, KeePass, Dashlane…). Ces outils :
- Génèrent des mots de passe aléatoires et robustes
- Les stockent de manière chiffrée
- S’intègrent aux navigateurs ou aux systèmes pour un remplissage automatique sécurisé
Certains gestionnaires proposent même des alertes si l’un de vos mots de passe apparaît dans une fuite connue.
Et l’avenir ? Vers les passkeys
Les passkeys (ou clés d’accès) commencent à remplacer les mots de passe sur certaines plateformes (Google, Apple, Microsoft). Elles fonctionnent via des clés cryptographiques liées à votre appareil et biométrie. Si elles sont bien déployées, elles pourraient réduire les risques liés aux mots de passe, mais leur adoption n’est pas encore universelle.
En résumé
- 📏 Plus c’est long, mieux c’est (minimum 12 caractères)
- 🧠 Plus c’est unique, plus c’est sûr
- 🔁 Jamais deux fois le même mot de passe
- 🧰 Utilisez un gestionnaire de mots de passe
- 🔐 Activez la double authentification en complément
👉 Un mot de passe fort est votre première ligne de défense, mais il n’est efficace que s’il est unique, confidentiel… et régulièrement mis à jour.
2. 🔄 Activez la double authentification (MFA)
Un mot de passe fort, c’est bien. Mais il peut toujours être volé, deviné ou réutilisé. La double authentification – ou MFA (Multi-Factor Authentication) – est aujourd’hui l’un des moyens les plus efficaces pour renforcer la sécurité des comptes, même en cas de compromission des identifiants.
🔍 Qu’est-ce que la double authentification ?
La MFA repose sur le principe des trois facteurs d’authentification :
- Ce que vous savez : un mot de passe ou un code PIN
- Ce que vous avez : un smartphone, une clé physique, un jeton OTP
- Ce que vous êtes : une donnée biométrique (empreinte digitale, reconnaissance faciale)
L’authentification classique ne repose souvent que sur un seul facteur (le mot de passe). En ajoutant un second facteur, vous réduisez drastiquement les risques liés à une compromission isolée.
🛠️ Les méthodes courantes de MFA
Il existe plusieurs formes de MFA, avec des niveaux de sécurité variés :
Méthode | Sécurité | Avantages | Inconvénients |
---|---|---|---|
Code SMS | Faible à moyenne | Facile à mettre en place | Vulnérable au SIM swapping, interception |
App d’authentification (TOTP) – ex. Google Authenticator, Authy | Moyenne à élevée | Déconnectée du réseau, plus sécurisée que le SMS | Perte du téléphone = risque de verrouillage |
Notification push – ex. Microsoft Authenticator, Duo | Élevée | Simple, rapide, moins d’erreurs humaines | Dépend d’un appareil mobile |
Clé physique FIDO2 / U2F – ex. YubiKey, Feitian | Très élevée | Résiste au phishing, rapide | Coût matériel, gestion logistique |
Authentification biométrique | Variable | Ergonomique, rapide | Moins adaptée aux environnements distants |
➡️ Recommandation : privilégiez les applications d’authentification ou les clés physiques pour les comptes sensibles (accès VPN, outils RH, messagerie pro, accès cloud…).
💡 Pourquoi activer la MFA, même si le mot de passe est bon ?
- En cas de fuite de données (ex : Dropbox, LinkedIn, X, etc.), votre mot de passe peut se retrouver dans la nature, même s’il est fort.
- En cas de phishing, un mot de passe peut être dérobé sans que vous le sachiez. Une authentification à deux facteurs empêche l’attaquant de se connecter sans votre second facteur.
- Pour les cybercriminels, chaque étape supplémentaire augmente le coût et le temps de l’attaque. La MFA agit comme un filtre.
⚠️ Points de vigilance
- Sauvegardez vos codes de secours : en cas de perte de téléphone, ils sont parfois le seul moyen de récupération.
- Ne tombez pas dans le MFA fatigue : ne validez jamais une demande MFA que vous n’avez pas initiée. Des attaques récentes jouent sur la lassitude de l’utilisateur.
- Ne désactivez jamais la MFA “temporairement” sans une bonne raison.
📊 Quelques chiffres
- Selon Microsoft, 99,9 % des comptes compromis ne disposaient pas de MFA.
- Google a observé que la MFA par application bloque plus de 96 % des attaques automatisées.
En résumé
- 🔐 Activez la MFA sur tous les comptes professionnels
- 📲 Privilégiez les apps d’authentification ou les clés physiques
- 💾 Conservez les codes de secours
- 🧠 Ne validez jamais un code MFA non sollicité
👉 En télétravail, votre réseau domestique est plus exposé. La MFA réduit l’impact d’une fuite ou d’un phishing… et peut sauver l’intégrité de votre entreprise.
3. 🛡️ Installez un antivirus à jour
Même si les antivirus ont parfois mauvaise presse ou paraissent “vieillots”, ils restent une brique essentielle dans une stratégie de cybersécurité de base, en particulier dans un environnement décentralisé comme le télétravail. Encore faut-il qu’ils soient bien choisis, configurés et maintenus à jour.
🧩 À quoi sert un antivirus (moderne) en 2025 ?
Un antivirus (ou plus justement solution anti-malware) ne se contente plus de détecter les virus classiques. Aujourd’hui, il joue plusieurs rôles complémentaires :
- Détection de menaces connues (par signature)
- Analyse comportementale : blocage d'activités suspectes (processus anormal, chiffrement massif, exécution dans AppData, etc.)
- Détection de ransomwares, chevaux de Troie, rootkits, cryptominers
- Surveillance en temps réel des fichiers, processus, ports et connexions réseau
- Blocage de sites malveillants (antiphishing, anti-spam)
- Protection contre les exploits (via technologies HIPS ou EDR)
- Rétro-ingénierie cloud ou sandbox pour les fichiers suspects
🔁 Pourquoi la mise à jour régulière est-elle critique ?
Les cybermenaces évoluent quotidiennement. Sans mise à jour :
- Vous ne bénéficiez pas des signatures de malwares récents
- Les moteurs de détection heuristique ne sont pas améliorés
- Vous êtes vulnérable à des attaques pourtant déjà connues (Zero-Day + 1)
➡️ Un antivirus obsolète = une illusion de protection.
🛠️ Que choisir comme solution antivirus pour le télétravail ?
Voici quelques critères à considérer dans un environnement professionnel distant :
Critère | Pourquoi c’est important |
---|---|
Légèreté | Ne pas ralentir la machine de l’utilisateur |
Centralisation (console admin) | Suivi à distance par la DSI / RSSI |
Protection contre les ransomwares | Priorité face aux menaces actuelles |
Sandboxing / Cloud Analysis | Meilleure détection des menaces inconnues |
Fréquence des mises à jour | Réactivité face aux nouvelles menaces |
Compatibilité OS / logiciels métiers | Ne pas bloquer des processus légitimes |
Parmi les solutions professionnelles reconnues en 2025 :
Bitdefender GravityZone, ESET Protect, Microsoft Defender for Endpoint, Sophos Intercept X, CrowdStrike Falcon, SentinelOne.
⚙️ Recommandations de configuration
- Activez les analyses automatiques hebdomadaires
- Assurez la protection en temps réel et le contrôle des périphériques USB
- Mettez en place des alertes en cas de détection, même si l’antivirus a bloqué la menace
- Désactivez l’option « ignorer les fichiers signés » si disponible
📎 En complément
Un antivirus ne remplace ni un pare-feu correctement configuré, ni un filtrage DNS, ni la vigilance humaine. Il est une composante d’une stratégie de défense en profondeur.
4. 🌐 Utilisez un VPN pour accéder aux ressources de l’entreprise
En télétravail, votre ordinateur se connecte souvent à Internet via des réseaux non sécurisés : Wi-Fi domestique, coworking, hôtel, etc. Cela expose vos échanges à des interceptions ou des manipulations. Un VPN d’entreprise permet de recréer un “tunnel sécurisé” entre votre poste et les systèmes internes de votre organisation.
🔍 Qu’est-ce qu’un VPN exactement ?
Un VPN (Virtual Private Network) crée une connexion chiffrée entre votre appareil et un serveur distant — généralement celui de votre entreprise. Tout le trafic transite à l’intérieur de ce tunnel virtuel, invisible aux regards extérieurs.
🧪 Analogie : Imaginez une autoroute (Internet) où tout le monde roule en visibilité. Le VPN est un tunnel privé, chiffré, dont seul l’entreprise connaît l’entrée et la sortie.
🔐 Pourquoi est-ce indispensable en télétravail ?
- Protection contre les écoutes sur les réseaux publics ou domestiques
- Authentification forte (certificats, tokens, MFA) pour accéder aux ressources internes
- Segmentation réseau : accès limité uniquement aux ressources nécessaires
- Masquage de l’IP réelle, ce qui complique le ciblage ou le profilage
- Conformité aux politiques de sécurité (ISO 27001, RGPD, etc.)
⚠️ Risques en cas d’absence de VPN
- Interception de données sensibles (credentials, fichiers, emails)
- Accès direct à des services internes non exposés publiquement (ex : bases de données, RDP, partages de fichiers)
- Augmentation de la surface d’attaque externe
- Violation de la politique de sécurité de l’entreprise (risque RH ou légal)
🧰 VPN personnel ≠ VPN d’entreprise
Beaucoup d’utilisateurs pensent qu’un VPN « grand public » (NordVPN, Surfshark…) suffit. Or :
VPN grand public | VPN d’entreprise |
---|---|
Vise à masquer l’IP ou accéder à des contenus géo-restreints | Vise à établir un lien sécurisé avec l'infrastructure interne |
Ne permet pas l’accès aux fichiers, services ou systèmes de l’entreprise | Oui |
Authentification simple (compte + mot de passe) | Authentification forte (MFA, certificats) |
Ne respecte pas forcément les normes pro (logs, confidentialité, audit) | Oui |
➡️ Seul un VPN d’entreprise bien configuré est adapté pour accéder aux ressources sensibles.
🛠️ Critères de choix pour un VPN d’entreprise
- Protocoles modernes : privilégier WireGuard, IKEv2/IPSec ou OpenVPN avec chiffrement fort (AES-256, ChaCha20)
- Compatibilité multiplateforme : Windows, macOS, Linux, mobile
- Intégration avec l’annuaire d’entreprise (AD/LDAP) pour le contrôle d’accès
- Logs minimes et auditables pour la conformité
- Performances stables, même à distance (éviter la latence excessive)
Exemples de solutions professionnelles :
OpenVPN Access Server, Fortinet VPN, Cisco AnyConnect, Palo Alto GlobalProtect, WireGuard, Tailscale.
🧱 Bonus : VPN + ZTNA ?
Le modèle VPN est efficace, mais parfois trop permissif (un utilisateur a accès à tout le réseau une fois connecté). Le ZTNA (Zero Trust Network Access) est une évolution logique : accès par application, par utilisateur, par contexte. Cela devient la norme pour les grandes structures.
En résumé
- 🌐 En télétravail, activez toujours le VPN avant d'accéder aux ressources internes
- 🔒 Utilisez le VPN de votre entreprise, pas une solution personnelle
- 🔑 Protégez l’accès au VPN par une authentification forte
- ⚙️ Privilégiez les protocoles modernes (WireGuard, IKEv2)
👉 Un VPN ne rend pas tout inviolable, mais il chiffre vos échanges, sécurise l’accès à vos fichiers et réduit fortement les vecteurs d’attaque en mobilité.
5. 🧳 Séparez usage personnel et professionnel
En télétravail, la frontière entre vie personnelle et activité professionnelle s’estompe. Pourtant, du point de vue de la cybersécurité, mêler les deux est un facteur de risque majeur. Séparer clairement les usages est une règle d’or pour protéger les données de l’entreprise… et votre vie privée.
🎯 Pourquoi cette séparation est-elle cruciale ?
Lorsqu’un seul appareil (ordinateur, smartphone, tablette) est utilisé à la fois pour les usages personnels et professionnels, plusieurs risques apparaissent :
- Exposition involontaire aux malwares via des sites non professionnels, des téléchargements ou des clés USB personnelles
- Fuite de données professionnelles dans des clouds personnels (Dropbox, Google Drive, etc.)
- Confusion dans les espaces de stockage (copie de fichiers sensibles sur un disque non chiffré ou partagé)
- Utilisation de comptes ou mots de passe communs entre les sphères privées et professionnelles
- Comportements moins prudents sur un poste personnel (réseaux sociaux, clics hasardeux, absence de MFA…)
🛑 En cas de compromission, les attaquants peuvent rebondir facilement d’un espace personnel mal protégé vers les ressources professionnelles, en exploitant des sessions ouvertes, des cookies ou des identifiants stockés.
🔐 Les bonnes pratiques à appliquer
1. Utiliser un poste dédié pour le travail
- Idéalement fourni par l’entreprise, avec une configuration maîtrisée (antivirus, pare-feu, chiffrement, politique de mot de passe…).
- Interdire l’installation de logiciels personnels.
- Désactiver les synchronisations automatiques avec des comptes privés (ex. OneDrive perso, Chrome Sync, etc.).
2. Pas de comptes mixtes
- N’utilisez jamais un compte Gmail, iCloud, Dropbox ou WhatsApp personnel pour envoyer des fichiers professionnels.
- Créez des comptes distincts, avec des mots de passe et MFA propres à chaque sphère.
3. Navigateur et sessions séparées
-
Si vous devez absolument utiliser le même poste :
- Créez deux sessions utilisateur distinctes (Windows/macOS/Linux).
- Ou utilisez des navigateurs différents pour le pro et le perso (ex. Firefox pour le travail, Chrome pour le perso).
- Ou des profils de navigateur bien séparés.
4. Chiffrez vos données professionnelles
- Même sur une machine personnelle, chiffrez les dossiers contenant des données professionnelles (ex. avec BitLocker, FileVault, VeraCrypt…).
- Ne stockez jamais de documents professionnels dans des répertoires accessibles à d'autres utilisateurs ou synchronisés avec un cloud privé.
5. Attention aux outils “gratuits”
- Les versions gratuites de certains logiciels (convertisseurs PDF, logiciels de visioconférence, extensions de navigateur, etc.) peuvent embarquer des trackers, du code malveillant ou exfiltrer des données.
- Utilisez uniquement des outils validés par l’entreprise.
🧩 Cas particuliers : BYOD, freelances, petites structures
-
Si l’entreprise applique une politique de BYOD (Bring Your Own Device), elle doit :
- Imposer des restrictions d’accès (VPN, MFA, segmentation réseau…)
- Prévoir une charte d’usage
- Intégrer le poste dans une solution MDM ou EDR
- Pour les freelances, la création d’un environnement virtualisé ou containerisé (type VirtualBox, WSL, Sandbox, ou poste cloud) peut constituer un compromis.
En résumé
- 🧳 Ne mélangez pas usages perso et pro, même si c’est plus pratique
- 🖥️ Utilisez des appareils, sessions, navigateurs et comptes distincts
- 🧼 Pas de stockage pro dans des clouds ou répertoires perso
- 🔒 Sécurisez les données pro même sur un poste personnel
👉 La séparation des usages, ce n’est pas du confort, c’est un principe de cloisonnement de sécurité. Elle limite les conséquences en cas d’erreur ou de compromission, et protège les deux sphères.
6. 📦 Mettez à jour vos logiciels (et votre système)
Ne pas faire ses mises à jour, c’est comme laisser sa porte d’entrée entrouverte avec un panneau “Bienvenue”. En cybersécurité, les mises à jour (système, applications, pilotes…) sont une des mesures les plus simples et efficaces pour réduire les vulnérabilités.
🔍 Pourquoi les mises à jour sont-elles si critiques ?
Chaque jour, des failles de sécurité sont découvertes dans les logiciels que vous utilisez : système d’exploitation, navigateur, suites bureautiques, clients email, plugins, drivers, etc. Ces failles sont rapidement exploitées par des cybercriminels via :
- des malwares ciblant des vulnérabilités connues (ex. CVE-2024-12345)
- des ransomwares exploitant des failles non corrigées
- des campagnes de phishing exploitant des plugins obsolètes.
➡️ Une machine non à jour est une cible facile, même avec un bon antivirus ou un VPN actif.
🧠 Ce que signifie “mettre à jour” concrètement
- 🖥️ Système d’exploitation : Windows, macOS, Linux — patchs de sécurité, correctifs de bugs, mises à jour cumulatives
- 🌐 Navigateurs web : Chrome, Firefox, Edge, Safari… souvent attaqués via des extensions ou composants vulnérables (WebGL, PDF, etc.)
- 📦 Logiciels installés : clients VPN, Microsoft 365, Adobe, Java, Zoom, Teams, etc.
- 🔌 Plugins et frameworks : JavaScript, Flash (encore utilisé dans certains secteurs), Electron, .NET, Java…
- 🎧 Pilotes (drivers) et firmware : surtout les composants réseaux, graphiques ou de chiffrement
- 📱 Applications mobiles pros : Teams, Outlook, apps RH, outils internes, etc.
🧱 Risques liés aux logiciels non mis à jour
Risque | Exemple |
---|---|
Exploitation à distance | RCE via navigateur ou fichier PDF piégé |
Escalade de privilèges | Un malware local obtient les droits admin |
Fuite de données | Bug dans un plugin de synchronisation ou de messagerie |
Déni de service local | Appli instable / crash du système |
Ransomware | Failles non corrigées utilisées par Emotet, Ryuk, LockBit, etc. |
📌 80 % des attaques réussies exploitent des vulnérabilités connues pour lesquelles des correctifs existent déjà.
⚙️ Bonnes pratiques de mise à jour
✅ Activez les mises à jour automatiques
- Pour Windows, macOS, Android, iOS : activez les mises à jour critiques + fonctionnelles
- Pour les logiciels tiers : activez l’option “mise à jour silencieuse” si disponible
🧪 Redémarrez après une mise à jour système
Beaucoup de correctifs ne sont effectifs qu’après redémarrage (notamment les patches de noyau ou de pilotes).
🗓️ Planifiez un créneau hebdomadaire
- Faites un check manuel des outils sensibles si vous êtes en configuration pro + perso
- Vérifiez les mises à jour de firmware BIOS/UEFI tous les trimestres
🧰 Utilisez un gestionnaire de patchs
- En entreprise : WSUS, SCCM, Intune, PDQ Deploy…
- Pour indépendants ou TPE : outils comme Patch My PC, Ninite, ou les fonctionnalités intégrées à l’antivirus pro
📊 Exemple concret d'attaque : EternalBlue
Le ransomware WannaCry (2017) a exploité une faille SMB (EternalBlue) présente sur les versions de Windows non mises à jour. Le patch avait été publié deux mois auparavant. Résultat : plus de 300 000 machines infectées dans 150 pays — un simple “Redémarrer et appliquer les mises à jour” aurait suffi à s’en protéger.
En résumé
- 📦 Tous les logiciels sont potentiellement vulnérables : OS, applis, navigateurs, pilotes
- 🔁 Activez les mises à jour automatiques
- 🧼 Vérifiez manuellement les applis critiques et plugins
- 🧠 Redémarrez régulièrement pour appliquer les correctifs
👉 Mettre à jour, c’est entretenir la santé numérique de votre poste. C’est simple, gratuit et vital pour éviter d’être la porte d’entrée d’un attaquant.
7. 📧 Méfiez-vous des e-mails suspects (phishing)
Le phishing reste, encore en 2025, le vecteur d’attaque le plus courant. C’est souvent par une simple erreur de clic dans un e-mail piégé qu’un attaquant parvient à compromettre un compte, infecter un poste ou lancer une attaque sur tout un système. En télétravail, où l’utilisateur est plus isolé, cette menace est encore plus critique.
🧠 Qu’est-ce que le phishing ?
Le phishing (ou hameçonnage) consiste à usurper l’identité d’un tiers de confiance (banque, service IT, manager, Microsoft, impôts, etc.) pour inciter la victime à :
- communiquer ses identifiants/mots de passe,
- cliquer sur un lien malveillant,
- ouvrir une pièce jointe infectée,
- effectuer une action frauduleuse (ex : virement).
➡️ Il s'agit d’une attaque d’ingénierie sociale qui exploite la crédulité, l’urgence ou la distraction de la cible.
🎯 Pourquoi est-ce si efficace (et dangereux) ?
- Les e-mails sont bien rédigés et imitent parfaitement des communications légitimes
- Ils exploitent des situations crédibles (factures, alertes, relances RH, Dropbox partagé…)
- Les cybercriminels utilisent souvent des domaines proches (micr0soft.com, docu-sign.net, etc.)
- L’ouverture d’un lien ou d’une pièce jointe peut déclencher un malware en quelques secondes
-
Si l’attaque réussit, elle peut :
- exfiltrer des données sensibles,
- déployer un ransomware,
- compromettre tout un réseau via le poste de travail
📌 Quelques signaux d’alerte à connaître
🟠 Signe suspect | 🔍 Explication |
---|---|
Adresse d’expéditeur étrange | Nom connu, mais adresse e-mail bizarre (service@micros0ft-support.com) |
Ton inhabituel | “Urgent”, “Action immédiate requise”, langage pressant |
Fautes d’orthographe ou de syntaxe | Fréquent dans les mails frauduleux |
Pièce jointe inattendue | .docm, .zip, .exe, ou .html piégé |
Lien trompeur | Le lien cliqué ne correspond pas au texte affiché |
Demande de données personnelles | Jamais demandées par e-mail (MDP, IBAN, n° de carte, etc.) |
🧪 Conseil : survolez un lien (sans cliquer) pour voir l’URL réelle en bas du navigateur ou client mail.
🛡️ Comment se protéger du phishing ?
✅ Vérifiez toujours l’expéditeur et les liens
- Utilisez un client mail avec prévisualisation sécurisée (Outlook, Thunderbird)
- Ne cliquez jamais sans avoir lu le contexte (surtout sur mobile)
🔐 Ne communiquez jamais vos identifiants par e-mail
- Aucun service IT ou partenaire sérieux ne vous demandera de “réinitialiser votre mot de passe” sans passer par une procédure sécurisée
🧰 Utilisez un filtrage anti-phishing avancé
- Solutions pro : Microsoft Defender for Office 365, Proofpoint, Mailinblack, Google Workspace Security
- Activez le blocage des pièces jointes à risque dans les règles de messagerie
🎯 Formez-vous et formez vos équipes
- Utilisez des campagnes de simulation de phishing pour sensibiliser
- Apprenez à reconnaître les attaques de spear-phishing (ciblées et très crédibles)
🧼 En cas de doute :
- Ne cliquez pas, ne répondez pas
- Signalez à votre DSI ou RSSI
- Supprimez l’e-mail
- Si vous avez cliqué ou saisi des infos : changez immédiatement votre mot de passe et informez le service sécurité
🔍 Cas concrets de phishing en télétravail
- Mail “Microsoft 365” : demande urgente de réauthentification, mène à un faux portail
- Partage Dropbox/OneDrive : lien vers une fausse page de connexion contenant un keylogger
- Facture en pièce jointe : fichier Word avec macro malveillante déclenchant un ransomware
- Demande du “PDG” : usurpation d’identité pour demander un virement frauduleux (BEC – Business Email Compromise)
En résumé
- 📩 Le phishing est la porte d’entrée privilégiée des cybercriminels
- 🚩 Restez vigilant face aux e-mails inattendus, même bien rédigés
- 🛡️ Mettez en place des solutions techniques et des réflexes humains
- 🧠 En cas de doute, ne cliquez pas et demandez une vérification
👉 Dans 90 % des incidents de cybersécurité, l’utilisateur est le premier maillon visé. Une vigilance constante face aux e-mails suspects est une barrière essentielle, surtout en dehors du périmètre sécurisé de l’entreprise.
8. 🔒 Verrouillez votre session dès que vous vous absentez
En télétravail, il est facile de se lever quelques minutes sans penser aux conséquences. Pourtant, laisser une session ouverte, même brièvement, représente une faille de sécurité simple mais critique. Que vous travailliez depuis chez vous, un espace de coworking ou un café, verrouiller sa session dès qu’on s’absente est un réflexe essentiel.
🔍 Pourquoi verrouiller sa session ?
Lorsqu’une session reste ouverte :
- 💥 Tout accès physique non autorisé devient possible : enfant, conjoint, collègue de coworking, client curieux, ou même cambrioleur
- 🕵️♂️ Un individu malveillant peut consulter, copier ou modifier des fichiers sensibles (documents internes, mots de passe stockés, e-mails confidentiels…)
- 🎯 Certaines attaques locales (ex. USB Rubber Ducky, BadUSB, keylogger) peuvent être déployées en moins de 30 secondes
- 😱 Une session active dans une visioconférence, messagerie ou application CRM permet de se faire passer pour vous, sans même avoir besoin de votre mot de passe
⚙️ Le verrouillage, une mesure simple mais vitale
Le verrouillage de session désactive temporairement l’accès tout en maintenant la session en mémoire. Il ne ferme rien, mais empêche tout usage sans authentification.
🔐 Le verrouillage doit se faire manuellement dès que vous vous éloignez (même 2 minutes) et automatiquement après une période d’inactivité.
🛠️ Comment verrouiller efficacement sa session
🖥️ Verrouillage manuel (raccourcis clavier)
- Windows : Win + L
- macOS : Ctrl + Cmd + Q (ou menu Apple > Verrouiller l’écran)
- Linux (Gnome/KDE) : Ctrl + Alt + L
➡️ Apprenez le raccourci par cœur. C’est le geste réflexe à adopter chaque fois que vous vous levez.
⏱️ Verrouillage automatique (paramétrage recommandé)
-
Windows :
- Paramètres > Système > Alimentation et mise en veille > Écran : “désactiver après 5 min”
- Paramètres > Comptes > Options de connexion > “Exiger une connexion après absence”
-
macOS :
- Réglages Système > Écran de verrouillage > “Exiger le mot de passe après 5 minutes d’inactivité”
-
Mobile (smartphones/tablettes) :
- Activez le verrouillage automatique par code/PIN/biométrie après 30 à 60 secondes
🧱 Bonnes pratiques complémentaires
- 💡 Verrouillez même chez vous : le risque n’est pas nul (enfants, amis, réparateurs, etc.)
- 🔐 Utilisez l’authentification biométrique ou un mot de passe robuste pour déverrouiller
- 🛡️ Ne désactivez jamais la demande de mot de passe après veille ou mise en veille prolongée
-
🧰 Si vous êtes dans un lieu public ou partagé :
- Travaillez dos à un mur
- Utilisez un filtre de confidentialité pour écran
- Emportez votre PC avec vous si vous quittez votre place
📌 Scénario d'incident évité par un simple verrouillage
Dans un espace de coworking, un consultant s’absente 3 minutes pour prendre un café. Un inconnu en profite pour insérer une clé USB qui injecte un script PowerShell. Le PC est compromis et les fichiers internes sont exfiltrés.
➡️ S’il avait verrouillé sa session, l’attaque aurait échoué.
En résumé
- 🔒 Verrouillez toujours votre session dès que vous quittez votre poste
- ⏱️ Configurez le verrouillage automatique après quelques minutes d’inactivité
- 💻 Apprenez les raccourcis clavier pour un verrouillage express
- 🛡️ C’est une défense simple contre l’accès physique non autorisé
👉 Ce petit geste quotidien peut faire la différence entre sécurité et compromission. Il n’y a aucune excuse pour l’ignorer, surtout en dehors du périmètre sécurisé de l’entreprise.
9. 📁 Sauvegardez régulièrement vos données
Un bon système de sauvegarde peut faire la différence entre une reprise rapide et une perte irréversible de vos données. En télétravail, l’utilisateur est souvent le seul responsable de la préservation de ses fichiers professionnels. Et les risques sont nombreux : ransomware, panne matérielle, effacement accidentel, vol d’équipement, mauvaise synchronisation cloud…
🧠 Pourquoi sauvegarder ?
Voici ce que vous risquez de perdre sans sauvegarde :
- 📁 Documents professionnels (comptes-rendus, offres, rapports…)
- 📊 Données critiques (fichiers clients, bases Excel, tableaux de bord…)
- 📸 Captures ou preuves importantes (photos, scans, exports)
- 💬 Historiques d’échanges et paramétrages d’outils métiers
Même avec un bon antivirus ou une sécurité réseau solide, les données elles-mêmes doivent être protégées contre toute forme de destruction ou d’altération.
⚠️ Risques les plus courants en télétravail
Type d'incident | Conséquences sans sauvegarde |
---|---|
Ransomware | Chiffrement de tous vos fichiers |
Panne disque dur ou SSD | Données totalement perdues |
Erreur humaine | Suppression ou modification involontaire |
Problème de synchronisation cloud | Écrasement ou suppression de fichiers |
Vol / perte d’ordinateur | Données inaccessibles voire exposées |
📚 Bonnes pratiques de sauvegarde
1. 🧱 Appliquez la règle du 3–2–1
- 3 copies de vos données
- Sur 2 supports différents (ex : disque dur externe + cloud)
- Dont 1 copie hors site (cloud ou autre emplacement physique)
2. 🔁 Automatisez les sauvegardes
-
Utilisez un outil de sauvegarde planifiée :
- Windows : Historique des fichiers ou logiciels comme Veeam Agent, Acronis, EaseUS
- macOS : Time Machine
- Linux : Déjà Dup, rsync + cron, BorgBackup
-
Programmez une sauvegarde quotidienne ou hebdomadaire
- Incrémentale (rapide et économique) ou complète selon la sensibilité des fichiers
3. 🗃️ Identifiez les dossiers critiques à sauvegarder
- /Documents, /Projets, /Comptes, etc.
- Configurations d’applications métiers
- Export des bases de données ou ERP (si en local)
4. ☁️ Utilisez un cloud sécurisé
- Plateformes recommandées : OneDrive Entreprise, Google Workspace, Dropbox Business, Nextcloud chiffré
- Activez la versioning (gestion des versions antérieures)
- Ne confondez pas synchronisation et sauvegarde : si un fichier est supprimé localement, il peut aussi être supprimé dans le cloud
5. 🔐 Sécurisez vos sauvegardes
- Chiffrez vos sauvegardes : à l’aide de VeraCrypt, BitLocker, ou options intégrées
- Ne laissez jamais de disque externe branché en permanence (sinon vulnérable à un ransomware)
- Protégez les accès cloud avec un mot de passe fort et une authentification MFA
🔍 Cas d’usage : ransomware sans sauvegarde
Un utilisateur télétravailleur ouvre un document piégé et déclenche un ransomware. En 10 minutes, ses fichiers sont chiffrés. Sans sauvegarde, il n’a aucun moyen de récupérer ses données.
➡️ Avec une sauvegarde distante, il aurait pu restaurer l’intégralité de ses fichiers en quelques clics, sans payer de rançon.
🧪 Testez vos sauvegardes
Une sauvegarde inutilisable est aussi inutile qu’une absence totale de sauvegarde.
- Testez régulièrement la restauration de fichiers
- Vérifiez que les formats, permissions et arborescences sont conservés
- Notez les dates et supports utilisés pour chaque sauvegarde
En résumé
- 💾 Sauvegardez régulièrement vos données pro, localement et dans le cloud
- ⏱️ Automatisez les sauvegardes avec des outils fiables
- 🧱 Appliquez la règle 3–2–1 et chiffrez vos sauvegardes
- 📦 Testez périodiquement la restauration des fichiers
👉 En cas d’incident, une bonne sauvegarde est votre assurance-vie numérique. C’est un investissement en temps minime pour un gain énorme en résilience.
10. 🧠 Formez-vous (et restez curieux)
La cybersécurité n’est pas une compétence réservée aux informaticiens : c’est une culture à adopter, une vigilance à entretenir et un savoir à maintenir à jour. En télétravail, où chacun est plus autonome, il est crucial d’être acteur de sa propre sécurité numérique.
📚 Pourquoi se former ?
- 💡 Parce que les menaces évoluent constamment : nouvelles techniques de phishing, arnaques à l’IA, failles logicielles récentes, etc.
- 🛠️ Parce que la technologie change : nouveaux outils, plateformes, normes, méthodes d’authentification
- 🧠 Parce qu’une erreur humaine reste le premier vecteur d’attaque : clic malheureux, mauvaise manipulation, négligence…
Se former permet d’anticiper plutôt que réparer, de détecter les signaux faibles et de réagir correctement en cas d’incident.
🧭 Que devez-vous apprendre (ou réviser) en priorité ?
- Reconnaître les tentatives de phishing / spear phishing
- Gérer ses mots de passe (gestionnaires, MFA, bonne politique)
- Protéger ses données sensibles (chiffrement, partage sécurisé)
- Réagir à un incident : qui contacter ? que faire ? comment limiter la casse ?
- Utiliser les outils pros de manière sécurisée (VPN, cloud, messagerie, outils de visio)
- Rester vigilant face aux réseaux Wi-Fi publics, périphériques USB inconnus, etc.
🧰 Comment se former efficacement ?
📺 Formations en ligne et MOOCs
-
ANSSI - SecNumAcadémie : cours gratuits de sensibilisation cybersécurité
👉 https://secnumacademie.gouv.fr -
Cybermalveillance.gouv.fr : conseils concrets, quiz, fiches pratiques
👉 https://www.cybermalveillance.gouv.fr - EDX, Coursera, OpenClassrooms : formations plus poussées sur la cybersécurité, pour tous niveaux
🎮 Exercices & simulations
- Jeux de rôle ou plateformes de type "phishing simulation" : testez votre réactivité
- Sites de “Capture the Flag” (CTF) pour les plus curieux
📬 Veille & actualités
-
🔔 Abonnez-vous à :
- la lettre d’alerte de l’ANSSI
- des sites comme ZATAZ, The Hacker News, KrebsOnSecurity
- votre RSSI ou DSI s’il communique régulièrement sur les bonnes pratiques
🧑💻 En entreprise : initiez (ou suivez) une démarche de sensibilisation
- Ateliers, quiz, challenges, newsletters
- Rappels réguliers (via Teams/Slack/mail) des réflexes à adopter
- Créez une culture cyber dans l’équipe : les bons réflexes s’apprennent collectivement
🧠 Cultivez votre curiosité numérique
- Vous ne comprenez pas un message de sécurité ? Cherchez sa signification
- Un collègue vous parle de chiffrement, DNS, MFA, malware ? Posez-lui des questions
- Un site vous parle d’une faille “zero-day” ou de l’attaque “Man-in-the-Middle” ? Lisez à ce sujet
Être curieux ne signifie pas devenir expert, mais ne pas rester passif face à ce qu’on ne comprend pas.
En résumé
- 🎓 La formation est le meilleur antivirus humain
- 📈 Restez à jour sur les menaces et les bons réflexes
- 🧰 Appuyez-vous sur des ressources gratuites et accessibles
- 👥 Partagez vos apprentissages avec vos collègues et proches
👉 Se former, c’est prendre le pouvoir sur sa propre sécurité numérique. En télétravail, cette autonomie fait toute la différence.
En conclusion
Le télétravail est devenu un mode de travail courant, mais il ne doit jamais rimer avec relâchement en matière de cybersécurité. Loin du périmètre protégé de l’entreprise, l’utilisateur devient le premier rempart contre les cybermenaces.
Les 10 réflexes que nous avons partagés dans cet article ne sont pas de simples conseils : ce sont des comportements à ancrer dans votre quotidien professionnel. Bien appliqués, ils réduisent drastiquement les risques d’incidents, de pertes de données ou d’accès non autorisé.
👉 Que vous soyez salarié, indépendant, manager ou technicien, vous avez un rôle clé à jouer.
- En appliquant ces pratiques, vous protégez vos outils, vos données, mais aussi vos collègues et partenaires.
- En sensibilisant autour de vous, vous participez à créer une culture collective de cybersécurité, indispensable aujourd’hui.
🧠 La sécurité ne se décrète pas, elle se construit au quotidien.
Alors posez-vous la question : combien de ces réflexes appliquez-vous vraiment aujourd’hui ? Et lesquels pourriez-vous adopter dès demain ?
Besoin d’un accompagnement cybersécurité pour vos équipes en télétravail ? Contactez Cybergium.
10 réflexes cybers à adopter en télétravail