Module 09 · ~25 min

💻

Sécurité des appareils

Ordinateurs, téléphones, tablettes — chaque appareil est une porte d'entrée potentielle. Apprenez à verrouiller, protéger et gérer vos équipements numériques au quotidien.

⏱ ~25 minutes 📚 10 leçons 🎯 Tous niveaux À commencer

🎯

Objectif du module

À la fin de ce module, vous serez en mesure d'évaluer le niveau de sécurité de chacun de vos appareils, d'appliquer les protections essentielles et de comprendre les risques liés à l'utilisation mixte personnel/professionnel.

Chaque appareil est une porte d'entrée

Nous utilisons en moyenne 3 à 5 appareils connectés : ordinateur de bureau, portable, téléphone intelligent, tablette, montre connectée. Chacun stocke des données, accède à des comptes en ligne et communique avec Internet. Un seul appareil compromis peut suffire à exposer l'ensemble de votre vie numérique.

Les attaquants visent l'appareil le moins bien protégé, pas le plus important. C'est souvent le vieux téléphone oublié, la tablette des enfants ou l'ordinateur du bureau à domicile qui sert de point d'entrée initial.

📌 Scénario réel

En 2022, une PME québécoise a subi une compromission de données à cause d'un employé qui utilisait sa tablette personnelle pour accéder aux courriels professionnels. La tablette n'avait pas de code d'accès et contenait des applications téléchargées hors du magasin officiel. L'attaquant avait installé un logiciel espion via une application de jeu gratuite.

À retenir : Faites l'inventaire de tous vos appareils connectés. Posez-vous la question : lequel est le moins bien protégé ? Commencez par celui-là.

Protéger son ordinateur (Windows/macOS)

Les ordinateurs sont les appareils les plus exposés aux logiciels malveillants et aux rançongiciels. Les bonnes pratiques de base permettent d'éliminer la grande majorité des risques courants.

Bonnes pratiques — Ordinateur

Windows : Activez Windows Defender (inclus et gratuit), gardez Windows Update activé, activez le pare-feu intégré et utilisez un compte utilisateur standard (pas administrateur) pour votre usage quotidien.
macOS : Activez FileVault pour le chiffrement du disque, vérifiez que le pare-feu est activé dans Préférences Système, autorisez uniquement les applications du Mac App Store ou des développeurs identifiés.
Les deux : Activez le verrouillage automatique après 2-5 minutes d'inactivité. Créez un mot de passe de session solide. Ne laissez jamais votre ordinateur sans surveillance dans un lieu public sans le verrouiller (Win+L / Cmd+Ctrl+Q).

Erreurs fréquentes

Utiliser un compte administrateur pour toutes les tâches quotidiennes — cela donne aux logiciels malveillants des droits étendus.
Désactiver les mises à jour automatiques pour "ne pas être interrompu".
Partager son mot de passe de session avec les membres de la famille.

Protéger son smartphone

Les téléphones intelligents contiennent aujourd'hui plus d'informations sensibles que la plupart des ordinateurs : mots de passe enregistrés, informations bancaires, communications privées, photos, position GPS en temps réel. Pourtant, leur sécurité est souvent négligée.

Protections essentielles pour smartphones

Code d'accès fort : Utilisez un NIP de 6 chiffres minimum ou un mot de passe alphanumérique. Évitez les schémas de déverrouillage — trop faciles à observer.
Biométrie : L'empreinte digitale ou la reconnaissance faciale est acceptable comme second facteur, mais pas comme unique protection.
Chiffrement : iOS chiffre automatiquement. Sur Android, vérifiez que le chiffrement est activé dans Paramètres > Sécurité.
Localisation et effacement à distance : Activez "Localiser mon iPhone" ou "Trouver mon appareil" (Android). En cas de vol, vous pouvez effacer l'appareil à distance.
Applications officielles seulement : Téléchargez uniquement depuis l'App Store (iOS) ou Google Play (Android). Évitez le "sideloading" d'applications non vérifiées.

Mises à jour et correctifs — pourquoi essentiels

La majorité des cyberattaques réussies exploitent des vulnérabilités connues pour lesquelles un correctif existe déjà. Ne pas mettre à jour ses appareils, c'est laisser une fenêtre grande ouverte alors qu'une serrure est disponible gratuitement.

📊 Chiffres à retenir

Selon le rapport Verizon DBIR 2023, 60 % des brèches exploitent des vulnérabilités pour lesquelles un correctif était disponible depuis plus de 30 jours. Le délai moyen entre la publication d'un correctif et son exploitation par des attaquants est passé de 15 jours à moins de 5 jours en 2024.

Bonne pratique de mise à jour

Activez les mises à jour automatiques pour le système d'exploitation ET pour toutes les applications.
Ne reportez pas les redémarrages nécessaires à l'installation des correctifs — planifiez-les pendant vos heures de repos.
Mettez à jour le firmware de votre routeur domestique au moins une fois par année.
Désinstallez les applications que vous n'utilisez plus — chaque application est une surface d'attaque potentielle.

Applications et permissions mobiles

Une application de lampe de poche qui demande accès à vos contacts, votre microphone et votre localisation GPS — c'est un signal d'alarme évident. Pourtant, la plupart des utilisateurs acceptent toutes les permissions sans les lire.

Les permissions mobiles donnent aux applications un accès direct à vos capteurs et données. Un accès non justifié peut servir à de la surveillance, de la collecte de données à des fins commerciales, voire à de l'espionnage malveillant.

Gestion des permissions

Appliquez le principe du moindre privilège : accordez uniquement les permissions indispensables au fonctionnement de l'application.
Localisation : choisissez "Seulement pendant l'utilisation" plutôt que "Toujours". Refusez si l'application n'en a pas besoin.
Microphone et caméra : n'accordez ces permissions qu'aux applications légitimes (vidéoconférence, appareil photo). Révoquez les accès inutiles.
Auditez régulièrement : iOS : Réglages > Confidentialité. Android : Paramètres > Applications > Autorisations.

Règle d'or : Si vous ne comprenez pas pourquoi une application demande une permission, refusez. Une application légitime fonctionnera sans accès injustifié, ou vous expliquera clairement pourquoi elle en a besoin.

Antivirus, EDR et protection locale

Un logiciel antivirus détecte et bloque les menaces connues en comparant les fichiers à une base de signatures malveillantes. Les outils EDR (Endpoint Detection and Response) vont plus loin en analysant les comportements suspects en temps réel — utiles surtout en contexte professionnel.

Recommandations selon le contexte

Usage personnel (Windows) : Microsoft Defender (intégré) offre une protection solide et gratuite. Maintenez-le actif — ne le désactivez jamais pour installer une application suspecte.
Usage personnel (macOS) : Le système est relativement bien protégé par Gatekeeper et XProtect. Un antivirus tiers (Malwarebytes gratuit) peut compléter la protection.
Usage professionnel : Exigez un EDR géré centralement (SentinelOne, CrowdStrike, Microsoft Defender for Endpoint). Ces outils permettent une détection et réponse coordonnées.
Smartphone : Les stores officiels filtrent déjà les applications. Un antivirus mobile ajoute une protection contre le phishing et les liens malveillants.

Fausses croyances

"J'ai un Mac, je ne risque rien" — faux. Les Macs sont de plus en plus ciblés depuis leur montée en popularité.
"Mon antivirus suffit à me protéger contre tout" — un antivirus est une couche de protection parmi plusieurs, pas une garantie absolue.

Verrouillage, chiffrement et sauvegarde

Trois mécanismes complémentaires forment le socle de la protection d'un appareil : le verrouillage empêche l'accès physique non autorisé, le chiffrement rend les données illisibles sans la clé, et la sauvegarde garantit leur récupération en cas de perte ou de rançongiciel.

Les trois piliers

Verrouillage automatique : Configurez votre appareil pour se verrouiller après 2 à 5 minutes d'inactivité. Sur ordinateur, verrouillez manuellement avant de vous lever (Win+L / Cmd+Ctrl+Q).
Chiffrement disque : Windows : activez BitLocker (Pro/Enterprise) ou Device Encryption. macOS : activez FileVault. iOS : automatique si un code est configuré. Android : Paramètres > Sécurité > Chiffrement.
Sauvegarde 3-2-1 : 3 copies des données, sur 2 supports différents, dont 1 hors site (nuage ou disque externe stocké ailleurs). Testez la restauration au moins une fois par année.

💡 Pourquoi le chiffrement change tout

Si un voleur s'empare de votre ordinateur portable non chiffré, il peut accéder à toutes vos données en retirant le disque dur et en le connectant à un autre ordinateur — même si votre session est verrouillée. Avec le chiffrement activé, cette technique ne fonctionne plus : les données sont illisibles sans le mot de passe de déchiffrement.

Séparer usages personnels et professionnels

Utiliser le même appareil pour le travail et les loisirs crée des risques dans les deux sens : une menace venue d'un jeu ou d'un site personnel peut compromettre des données professionnelles, et inversement, des données professionnelles sensibles peuvent se retrouver exposées via des applications personnelles.

Stratégies de séparation

Appareils dédiés (idéal) : Un ordinateur professionnel fourni et géré par l'employeur, un téléphone personnel séparé. Cette séparation physique est la plus efficace.
Profils utilisateur séparés : Si un seul appareil est disponible, créez des comptes utilisateurs distincts pour les usages professionnel et personnel.
Navigateur dédié : Utilisez Firefox ou Chrome pour le personnel, Edge pour le professionnel (ou vice versa). Ne partagez pas les gestionnaires de mots de passe entre profils.
Courriel : Ne transférez jamais de courriels professionnels vers votre compte personnel. Cela expose les données à des serveurs tiers non contrôlés.

BYOD — Risques et précautions

Le BYOD (Bring Your Own Device) consiste à utiliser son propre appareil personnel dans un contexte professionnel. Cette pratique est répandue, notamment dans les PME et pour le télétravail, mais elle crée des zones grises importantes en matière de sécurité.

⚠️ Risques spécifiques au BYOD

Mélange de données : Données personnelles et professionnelles cohabitent sur le même appareil — difficile d'assurer la confidentialité des unes sans affecter les autres.
Contrôle limité par l'employeur : L'organisation ne peut pas imposer ses politiques de sécurité sur un appareil personnel.
Applications personnelles risquées : Des applications installées à titre personnel peuvent accéder aux données professionnelles stockées sur l'appareil.
En cas d'incident : Qui est responsable ? L'employé ou l'employeur ? Les frontières légales sont floues.

Si votre organisation autorise le BYOD

Demandez une politique BYOD écrite et claire avant d'inscrire votre appareil.
Acceptez l'installation d'un profil MDM (Mobile Device Management) uniquement si vous en comprenez les implications — cela donne à l'employeur la capacité d'effacer l'appareil à distance.
Gardez votre appareil à jour et chiffré — c'est votre responsabilité en BYOD.
Utilisez le VPN de l'organisation pour tout accès aux ressources internes.

Checklist de sécurité pour tous les appareils

La sécurité des appareils n'est pas un état permanent mais une pratique continue. Cette leçon synthétise les vérifications essentielles à effectuer régulièrement sur l'ensemble de vos équipements.

Vérifications mensuelles recommandées

Toutes les mises à jour système et applications sont à jour.
L'antivirus ou la protection intégrée est actif et ses définitions sont récentes.
Les sauvegardes automatiques fonctionnent et ont été testées.
Les permissions des applications mobiles ont été auditées.
Aucun appareil inconnu n'est connecté à votre réseau Wi-Fi domestique.
Les appareils inutilisés sont déconnectés ou réinitialisés.

Conseil pratique : Planifiez une "journée de sécurité numérique" mensuelle de 30 minutes dans votre calendrier. C'est suffisant pour effectuer toutes les vérifications de base sur vos appareils.