22 bonnes pratiques pour assurer votre sécurité numérique en tant qu’utilisateur

Temps de lecture : 14 min

Chers lecteurs, le secret d’une bonne sécurité numérique d’une entreprise réside souvent dans les bonnes pratiques de ses employés. Seulement, de nombreuses personnes surestiment la qualité de leurs pratiques en matière de sécurité digitale et peuvent être victimes de cyber malveillance tant au niveau personnel que professionnel.

Mais avez-vous déjà pensé à ce qui pourrait arriver si une personne mal intentionnée accédait à votre ordinateur professionnel ou au smartphone d’un de vos collaborateurs ? Les conséquences pourraient être désastreuses pour votre société. Il en va de même au niveau personnel. Pour limiter les risques liés à la cyber criminalité, des bonnes pratiques sont à mettre en place et à respecter scrupuleusement. Nous en avons listé 22 qui nous semblent indispensables.

Pour cet article Maxime, développeur, et Guillaume, chef de projet digital chez Némésis studio vous apportent leur expertise.

Les bonnes pratiques de sécurité numérique en tant qu’entreprise

Avant de vous présenter les bonnes pratiques en tant qu’utilisateur, nous trouvions important de vous parler de la sécurité numérique pour les entreprises. En effet, depuis le 25 mai 2018, le règlement européen pour la protection des données (RGPD), oblige les entreprises à respecter des règles concernant le traitement des données personnelles de leurs utilisateurs. Pour en savoir plus, n’hésitez pas à relire notre article « Qu’est-ce que le RGPD et comment se mettre en conformité ».

Ainsi, les entreprises doivent mettre en place des solutions pour assurer la protection des données de leurs utilisateurs. Cela passe bien entendu par des procédés techniques mais un facteur clé est souvent oublié : le facteur humain. Car voyez-vous, vous aurez beau avoir le système de sécurité de données le plus performant, si vos employés ou utilisateurs ne sont pas formés ou ne respectent pas les bonnes pratiques de sécurité, votre système sera vulnérable.

Les bonnes pratiques de sécurité numérique en tant qu’utilisateur

Les bonnes pratiques que nous allons présenter dans cette partie s’adressent à toutes les utilisations d’Internet, tant au niveau professionnel que personnel. Ces pratiques ne sont pas infaillibles, notamment contre les cyberattaques, mais assurent un premier niveau de sécurité non négligeable.

« En fait, ce premier niveau de sécurité est un peu comme l’antivol d’un vélo. Il empêche les autres passants de le voler mais représente peu d’obstacles pour une bande organisée spécialisée dans le vol de vélos. »
Maxime – Développeur Némésis studio

Sécurisez vos mots de passe

Vos mots de passe sont les clés numériques qui donnent accès à vos services en ligne. Ces clés sont comme les clés de votre domicile. Vous n’aimeriez pas que quelqu’un les trouve et s’introduise dans votre intimité pour voler ou se servir de vos objets. Il est donc important de les sécuriser, tout comme vous sécurisez votre logement.

1 compte = mot de passe

Cette première bonne pratique est le b-a-ba de la sécurité sur Internet. Or, encore trop de personnes utilisent le même mot de passe pour plusieurs plateformes web. Certaines ont même un seul mot de passe pour tous leurs services ! Mais vous êtes-vous demandé ce que pourrait faire un pirate informatique s’il découvrait ce mot de passe unique ? Il aurait accès à tout : vos boîtes mails perso et pro, vos messageries instantanées, vos réseaux sociaux, vos plateformes e-commerces et de vidéo à la demande préférées, et bien d’autres !

Il est donc important de veiller à utiliser un mot de passe unique et complexe pour chaque plateforme.

Créez des mots de passes complexes

Oubliez les 123456, votre date de naissance ou encore le nom de votre chat ! Un mot de passe complexe ne doit pas avoir de signification pour vous. Le mieux est de créer des mots de passe de 12 caractères minimum avec des chiffres, des lettres minuscules et majuscules et des caractères spéciaux.

Il existe pour cela des générateurs en ligne mais nous vous conseillons toutefois de remplacer au moins 1 caractère du mot de passe créé par la plateforme pour que votre mot de passe soit vraiment sécurisé.

Pour les mots de passe dont vous avez souvent l’utilité, comme votre session d’ordinateur ou votre boîte mail, nous vous conseillons de créer un mot de passe mnémotechnique. Pour cela, prenez une longue phrase de minimum 12 mots et servez-vous du premier caractère de chaque mot pour créer votre mot de passe. Remplacer les nombres en toute lettre par des chiffres et conservez la ponctuation. Variez ensuite les minuscules et majuscules (exemple : 1 lettre sur 2 ou juste les noms) en choisissant une logique dont vous vous souviendrez.

Prenons par exemple cette phrase tirée de « Les Misérables » de Victor Hugo : « Vous regardez une étoile pour deux motifs, parce qu’elle est lumineuse et parce qu’elle est impénétrable. »

Le mot de passe créé serait : Vr1Ep2M,Pq’EeL+pQ’eEi

Grace à ce mot de passe mnémotechnique, vous n’avez plus qu’à vous souvenir de la phrase et de la méthode utilisée pour retrouver facilement votre mot de passe. Vous pouvez ensuite appliquer cette méthode a plein de phrases pour vos autres mots de passe.

Utilisez un gestionnaire de mots de passe

A moins que vous ayez une excellente mémoire, il est impossible de se souvenir de dizaines de mots de passe composés de caractères et sigles aléatoires. Mais pas question d’écrire vos mots de passe sur un post-it sous votre clavier (surtout au bureau) ! Le plus simple est d’utiliser un gestionnaire de mot de passe où seront stockés tous vos mots de passe. Vous n’avez plus alors qu’à vous souvenir de votre mot de passe « maître » pour accéder à cette plateforme. Inutile de vous dire que ce mot de passe devra être extrêmement sécurisé !

Faites attention aux questions de récupération de mot de passe

Si vous n’avez pas de gestionnaire de mot de passe ou si vous avez oublié d’y renseigner une plateforme, vous pouvez être amené à devoir répondre à une question de sécurité à laquelle vous aviez répondu lors de la création de votre compte. Seulement, nous vous conseillons de bien choisir cette question et d’éviter celles pour lesquelles la réponse est trop simple.

Par exemple, si vous avez choisi la question « Quel est le nom de mon chat ? » et que la réponse se trouve sur Facebook, ce n’est pas très sécurisé. Toute personne utilisant la fonction mot de passe oublié pourrait alors accéder à votre compte.

Ainsi, choisissez la question pour laquelle la réponse vous semble compliquée à trouver.

Préférez la double authentification

La double authentification permet à un service numérique de vérifier votre identité en vous faisant interagir avec deux mécanismes d’authentification distincts. Par exemple, vous allez renseigner votre identifiant et votre mot de passe sur une interface web puis recevoir un SMS avec un code à renseigner sur cette même interface pour prouver qu’il s’agit bien de vous.

De nombreux services traitant des données sensibles (données bancaires, médicales, etc.) proposent de base des systèmes de double authentification. Quelques-uns, comme certains réseaux sociaux, proposent ces fonctionnalités mais c’est à l’utilisateur de les activer et de les paramétrer. Nous vous recommandons fortement de le faire afin d’ajouter un niveau supplémentaire de sécurité à votre compte et limiter les risques de piratage.

Sécurisez votre boîte mail

Votre boîte mail, notamment professionnelle, peut être une mine d’or d’informations pour les pirates informatiques. Il est donc important de la protéger avec un mot de passe très sécurisé et une double authentification quand cela est possible.

Toutefois, dans cette partie, nous allons nous intéresser aux emails et aux pièces jointes que de plus en plus de cybercriminels utilisent pour vous arnaquer.

Détectez les emails frauduleux

Les mails frauduleux sont un fléau sur Internet. Les arnaqueurs rivalisent de créativité pour nous faire tomber dans le panneau. Ils reprennent par exemple certains mails de fournisseurs d’électricité, de téléphone, de services de livraison ou encore d’assurance. Tout est là, le logo, la charte graphique et un texte vous demandant de payer une facture ou des frais quelconques. Ces emails sont tellement semblables aux originaux que beaucoup de personnes tombent dans le panneau. Alors pour ne pas vous faire avoir, voici quelques conseils.

Commencez par vous interroger sur la pertinence du contenu et sa crédibilité. Le premier indice est l’adresse e-mail de l’expéditeur. En effet, la majorité des entreprises utilisent une adresse mail finissant par le nom de domaine de leur entreprise. Par exemple, le nom de domaine de Némésis studio est « nemesis-studio.com » et nos adresses e-mails sont au format « XXX@nemesis-studio.com ». Mais attention, les pirates informatiques peuvent utiliser des variantes qui pourraient vous faire penser qu’il s’agit bien de nous. Par exemple « XXX@nemesisstudio.com » (pas de tiret), « nemesis-studio@XXX.com » (pas le bon nom de domaine).

Le second indice est le corps du mail et notamment le texte. En effet, il arrive fréquemment qu’une faute d’orthographe (voir plusieurs), quelques coquilles et bugs d’affichage soient présents. Or, il est peu probable qu’une entreprise francophone, qui envoie des milliers de mails automatiques, puisse vous envoyer un mail cousu de fautes d’orthographes, de coquilles et de bugs.

Le dernier indice concerne le lien ou le bouton sur lequel vous devez cliquer pour payer. Juste en survolant ces éléments (sans cliquer) vous pouvez voir l’URL de destination s’afficher en bas de votre écran. S’il ne redirige pas sur l’espace client de votre service, ne cliquez pas dessus. Vérifiez plutôt auprès de votre service s’il s’agit d’un mail frauduleux. Attention toutefois, n’appelez pas le numéro de téléphone apparaissant dans le mail. Utilisez de préférence un numéro que vous aurez trouvé sur une facture papier ou sur le site interne de votre service. Vous éviterez ainsi de tomber sur un faux standard téléphonique.

N’ouvrez pas les pièces jointes suspectes

Les pièces jointes de vos mails peuvent contenir des virus et malware dont le rôle est souvent de récupérer des informations comme votre mot de passe. Afin d’éviter tout risque, méfiez-vous des pièces jointes avec des extensions douteuses (exemples : .pif, .com, .bat, .exe, .vbs, .lnk…) même si elles sont envoyées par un interlocuteur connu. Peut-être que cette personne s’est faite pirater.

« Les téléchargements sont un des moyens les plus répandus de piratage informatique. Il convient de faire attention à la provenance de tout type de téléchargement, sur internet comme par email. »
Guillaume – Chef de projet Némésis studio

Sécurisez votre navigation en ligne

Privilégiez les sites en HTTPS

Les sites dont l’URLS est précédée de « https:// » vous assurent la protection de vos données. En effet, les données qui transitent entre le site et le serveur sont chiffrées pour être utilisées de façon sécurisée. Pour en savoir plus sur ce sujet, n’hésitez pas à consulter notre article intitulé « Pourquoi devriez-vous passer votre site web en HTTPS ? ».

Dans les faits, nous vous recommandons, notamment pour vos achats en ligne, de passer par des sites e-commerce utilisant des certificats HTTPS. Et pour votre sécurité, évitez de renseigner vos informations personnelles dans des formulaires sur des sites précédés seulement de http (sans « s ») car la sécurité de vos données ne sera pas garantie.

Faites attention aux premiers résultats de recherche

Lors d’une recherche sur Internet, et plus particulièrement sur Google, les premiers résultats sont souvent des sites « sponsorisés ». Ces sites payent pour apparaitre en haut des résultats et pour se positionner sur les mots clés de leurs concurrents. Seulement, certains de ces résultats peuvent être des copies d’un site officiel et vous proposer de faux services visant à voler et exploiter vos données de manière frauduleuse.

D’autres jouent sur les fautes d’orthographe ou des extensions de nom de domaine pour proposer des services concurrents ou liés à votre recherche. Par exemple, si vous recherchez impots.fr au lieu de impots.gouv.fr (site officiel gouvernemental), vous tombez sur un site non officiel qui pourrait utiliser vos données à des fins criminelles.

Vérifiez l’identité des sites

Si vous devez réaliser un paiement en ligne, par exemple sur un site e-commerce, pensez à vérifier au préalable l’identité du site. Pour cela, vous pouvez vous rendre dans les mentions légales et rechercher le nom de la société sur des sites d’informations légales. Si vous ne trouvez pas l’entreprise ou si des informations vous semblent louches, évitez de faire vos achats sur ce site. Il pourrait s’agir d’une arnaque.

« Des plateformes d’avis de consommation tel que https://fr.trustpilot.com/ sont également de bons outils pour vérifier la fiabilité d’un site notamment dans le cadre de boutique en ligne. Ces sites, alimentés par les consommateurs, peuvent facilement vous éviter une arnaque, et vous permettent également d’attester de la qualité des produits et du vendeur, des délais de livraison… N’hésitez pas à apporter vos expériences pour le bonheur des autres acheteurs. »
Guillaume – Chef de projet Némésis studio

Ne partagez jamais vos informations personnelles

Au niveau professionnel, il peut être tentant de poster son adresse mail ou son numéro de téléphone direct sous un post, un forum ou autre. Seulement, dès que ces informations apparaissent en ligne, vous pouvez rapidement devenir la cible de spams. Votre boîte mail est alors assaillies de mail souhaitant vous vendre du viagra et une foule de call center vous appellent pour vous proposer des offres « exclusive ».

Au niveau personnel, la règle est simple : ne partagez aucune information personnelle pour protéger votre intimité.

« Il peut être également bon de vérifier les autorisations que vous avez fournis aux applications tierces tels que les jeux en ligne, réseaux sociaux, les extensions de navigateur… En effet, ces dernières peuvent envoyer des messages frauduleux, publier à votre insu ou encore avoir accès à vos photos et vidéos. Pour vérifier, allez dans les paramètres des applications et choisissez les autorisations que vous souhaitez accordées. Si l’application requiert une autorisation que vous jugez non nécessaire à l’utilisation de cette dernière, je vous conseille de la désinstaller et d’aller voir la concurrence. »
Guillaume – Chef de projet Némésis studio

Sécurisez vos réseaux sociaux

Au niveau professionnel, certaines entreprises limitent l’accès aux réseaux sociaux mais que ce soit pour une utilisation personnelle ou professionnelle, les bonnes pratiques restent les mêmes. Il convient bien entendu d’avoir un mot de passe sécurisé et d’utiliser la double authentification mais d’autres bonnes pratiques sont à prendre en compte :

Vérifiez vos paramètres

De nombreux paramètres sont disponibles sur vos comptes de réseaux sociaux. Vous pouvez par exemple décider qui peut voir votre compte ou qui peut voir vos publications.

Dans le cas d’un compte professionnel où votre objectif est de vous faire connaitre, forcément les paramètres ne seront pas aussi stricts que pour un compte personnel. Il convient cependant de bien réfléchir aux conséquences de votre paramétrage. Si tout le monde peut tout faire et tout voir sur votre profil, quelques dérives pourraient avoir lieu et nuire à votre e-réputation (spams abusifs / insultes / etc.).

Réfléchissez avant de publier

Rien ne s’efface jamais vraiment sur Internet. Pour ne pas regretter une publication, réfléchissez bien aux contenus que vous souhaitez publier et imaginez les conséquences qu’ils pourraient avoir dans le futur.

Au niveau professionnel, les publications sont souvent bien pensées afin d’éviter les bad buzz et de plaire à la communauté. Mais au niveau personnel, pensez bien à qui pourrait voir cette photo ou ce commentaire (un futur employeur, votre future moitié, vos enfants, des inconnus, etc.) et aux conséquences que ces éléments pourraient avoir.

Ne partagez pas d’infos personnelles

Eviter de divulguer votre adresse postale, votre adresse e-mail mais aussi votre numéro de téléphone. Ne partagez aucune donnée personnelle sensible qu’une personne mal intentionnée pourrait utiliser pour vous nuire.

Faites attentions aux faux comptes

Assurez-vous de l’identité de votre interlocuteur. Une arnaque courante consiste à recréer le profil d’une personne et d’aller demander de l’aide (souvent financière) à ses contacts.

Sécurisez vos appareils connectés

Les Smartphones, PC, tablettes et objets connectés donnent souvent accès à des données très personnelles. Il peut même s’agir de données sensibles si vos appareils sont utilisés dans un cadre professionnel ou pour une utilisation médicale.

Sécurisez l’accès à vos équipements

Il est donc impératif de penser à sécuriser tous vos appareils. Pour cela, mettez un mot de passe sécurisé, un schéma compliqué ou encore une reconnaissance faciale afin de limiter les possibilités d’accès (notamment au profil utilisateur).

Verrouilliez vos appareils après utilisation

Même pour 2 minutes, pensez à fermer votre session utilisateur et verrouiller vos appareils afin de limiter toute intrusion néfaste. Et si vous ne vous servez pas d’un équipement, éteignez-le. En plus de sécuriser vos données, vous ferez des économies d’énergie !

Sécurisez votre box internet et votre réseau wifi

Votre box internet peut être un moyen d’accéder à vos autres appareils. Il est donc important de la sécuriser avec un mot de passe compliqué. Ceux fournis avec la box sont souvent difficile à recopier et il est tentant de les remplacer par 123456789 et autres suites logiques. Seulement, ce type de mot de passe simple revient à ne pas en avoir du tout.

La problématique du mot de passe de la box et qu’il faut le renseigner à chaque fois qu’on veut y connecter un appareil. Un mot de passe trop complexe et sans signification est donc difficile à renseigner à chaque fois. Dans ce cas, nous vous recommandons de créer un mot de passe complexe avec la méthode que nous avons vu précédemment mais de ne pas y ajouter les caractères spéciaux. En effet, certains appareils nécessitant d’être connectés au Wifi ne prennent pas en charge ce type de caractères.

Pour encore plus de sécurité, pensez à régulièrement remplacer votre mot de passe.

Evitez de vous connecter à des réseaux wifi publics

Il est très tentant de se connecter au wifi gratuit dans les bars, restaurants, hôtels, gares, trains, aéroports, etc. pour avoir Internet sans dépenser ses données mobiles. Seulement, les risques de piratages sont importants et souvent méconnus. Car voyez-vous, en vous connectant à un point d’accès wifi gratuit, vous vous connectez à un réseau. Or, si votre appareil n’est pas sécurisé, d’autres appareils présents sur ce réseau peuvent accéder à vos données.

Le plus dangereux est quand un pirate informatique se connecte entre votre appareil et le réseau car il peut accéder à toutes les données que vous envoyez au réseau (emails, données de carte bleue, identifiants permettant d’accéder aux outils et réseaux de votre entreprise, etc.) et s’en servir à sa convenance par la suite.

Si votre appareil peut donner accès à des données sensibles (pc professionnel par exemple), évitez de vous connecter aux réseaux wifi publics. Si vous ne pouvez pas faire autrement, assurez-vous d’avoir une connexion sécurisée (utilisation du VPN d’entreprise, navigation sur des site en HTTPS).

Et si vous vous servez de votre ordinateur dans un lieu public mais sans avoir besoin d’une connexion internet, n’hésitez pas à passer en mode avions. Vous limitez ainsi tout risque d’intrusion sur votre appareil et ferez des économies de batterie.

Mettez à jour vos équipements et vos logiciels (notamment antivirus)

Sauf avis contraire du service technique gérant vos équipements, il est recommandé d’effectuer les mises à jour de vos appareils. En effet, elles apportent souvent des correctifs de sécurité qui permettent de limiter les risques de piratage de vos appareils. De même pensez à régulièrement mettre à jour vos antivirus et à maintenir vos pares-feux activés.

Sauvegardez vos fichiers régulièrement

Nous n’allons pas rentrer dans les détails pour cette partie car nous avons consacré un article entier à ce sujet : Pourquoi utiliser une stratégie de sauvegarde des données 3-2-1 ?. Toutefois, la sauvegarde est un excellent moyen pour protéger vos données en cas de panne mais aussi en cas de piratage (ransomware).

Pour aller plus loin

Si vous appliquez toutes les bonnes pratiques précédentes, votre niveau de sécurité numérique sera déjà bien supérieur et pourra vous épargner bien des tracas. Cependant, de nombreux autres procédés permettent de vous protéger de la cyber malveillance. Vous pouvez par exemple privilégier les applications chiffrées de bout en bout, chiffrer vos documents ou encore utiliser des réseaux privés virtuels (VPN). Si le sujet vous intéresse autant que nous, n’hésitez pas à nous le faire savoir, Guillaume a plein d’autres bonnes pratiques à vous partager.

En attendant, si vous êtes victime en tant que professionnel ou particulier de cyber malveillance, l’Etat dispose d’une plateforme d’assistance et de prévention en sécurité numérique pour vous aider à gérer ces situations : https://www.cybermalveillance.gouv.fr/.

Comme d’habitude, nous espérons que cet article vous aura appris de nouvelles choses sur le monde digital. Nous sommes à votre écoute si vous avez des questions ou un projet digital à soumettre à nos experts alors n’hésitez pas à nous contacter !