Guides pratiques

14 guides étape par étape pour mettre en place les protections essentielles.

Guide 1 — Installer un gestionnaire de mots de passe

Pourquoi : Avoir un mot de passe fort et unique par site est impossible à mémoriser sans aide. Un gestionnaire génère, stocke et remplit automatiquement vos mots de passe.

Choisir son gestionnaire (gratuit recommandé)

  • Bitwarden (recommandé) — open source, gratuit, multi-appareils. Disponible sur iOS, Android, Windows, Mac, extensions navigateur.
  • 1Password — excellent mais payant (~3 $/mois)
  • Dashlane — bonne interface, version gratuite limitée

Étapes d'installation (Bitwarden)

  1. Créez un compte sur bitwarden.com avec une adresse email dédiée
  2. Choisissez un mot de passe maître fort : phrase de 4 mots + chiffre + symbole (ex. "Cafe-Montreal-Velo-2025!")
  3. Installez l'extension navigateur ET l'application mobile
  4. Activez la MFA sur votre compte Bitwarden lui-même
  5. Importez vos mots de passe existants si vous les avez dans Chrome/Firefox (Paramètres → Mots de passe → Exporter)

Migration progressive (1 semaine)

Ne migrez pas tout en une fois. Commencez par vos 10 comptes les plus importants : email, banque, réseaux sociaux. Quand vous visitez un site, laissez Bitwarden proposer de sauvegarder.

→ Module complet : M04 — Mots de passe et MFA

Guide 2 — Activer la MFA (authentification à deux facteurs)

Pourquoi : La MFA rend votre compte inaccessible même si votre mot de passe est volé. C'est la mesure de sécurité avec le meilleur rapport effort/protection.

Priorité des comptes (dans l'ordre)

  1. Email principal — donne accès à tout le reste via les réinitialisations
  2. Comptes bancaires et Desjardins
  3. Réseaux sociaux (Facebook, LinkedIn, Instagram)
  4. Gestionnaire de mots de passe lui-même
  5. Autres comptes importants (Amazon, Apple, Google)

Types de MFA (du moins au plus sécurisé)

  • SMS — pratique mais vulnérable au SIM swapping. Mieux que rien.
  • Application TOTP (Authy, Google Authenticator) — recommandé. Code à 6 chiffres qui change toutes les 30 secondes.
  • Passkeys / Clés physiques (YubiKey) — le plus sécurisé pour les comptes critiques.

Installation Authy (recommandé pour TOTP)

  1. Installez Authy sur votre smartphone (iOS ou Android)
  2. Dans les paramètres de votre compte (ex. Gmail : Sécurité → Validation en 2 étapes)
  3. Choisissez "Application d'authentification"
  4. Scannez le QR code avec Authy
  5. Entrez le code à 6 chiffres affiché pour confirmer
  6. Sauvegardez les codes de récupération dans votre gestionnaire de mots de passe

→ Module complet : M04 — Mots de passe et MFA

Guide 3 — Configurer des sauvegardes selon la règle 3-2-1

La règle 3-2-1 : 3 copies des données, sur 2 types de supports différents, dont 1 hors site (cloud ou autre lieu physique).

Configuration pour particuliers (gratuit)

  1. Production (copie 1) : vos fichiers sur votre ordinateur
  2. Disque externe (copie 2, support 1) : disque USB branché uniquement pendant la sauvegarde. Windows : Sauvegarde Windows. Mac : Time Machine.
  3. Cloud (copie 3, support 2, hors site) : OneDrive (5 Go gratuit), Google Drive (15 Go), ou Backblaze (60 Go/an, ~7 $)

Automatisation sous Windows

Panneau de configuration → Sauvegarde et restauration → Configurer la sauvegarde. Choisissez votre disque externe. Planifiez une sauvegarde hebdomadaire ou mensuelle. Débranchez le disque après la sauvegarde (protection ransomware).

Automatisation sous Mac (Time Machine)

Préférences Système → Time Machine → Sélectionner la destination. Branchez le disque régulièrement — Time Machine sauvegarde automatiquement. Activez aussi iCloud pour une 2e copie hors site.

⚠️ Test obligatoire : Une sauvegarde non testée peut être inutile. Testez la restauration d'un fichier au moins une fois par trimestre. Sauvegardez ET vérifiez.

→ Module complet : M10 — Données sensibles

Guide 4 — Que faire si vous avez cliqué sur un lien de phishing

Agir vite est critique. Voici la séquence exacte selon ce qui s'est passé.

Cas 1 : Vous avez seulement cliqué sur le lien (sans saisir d'infos)

  1. Fermez l'onglet immédiatement
  2. Lancez un scan antivirus complet
  3. Vérifiez si une page malveillante a tenté de télécharger quelque chose (vérifiez votre dossier Téléchargements)
  4. Surveillez votre appareil 24-48h pour un comportement anormal

Cas 2 : Vous avez saisi votre mot de passe

  1. Changez immédiatement le mot de passe du compte concerné (depuis un autre appareil si possible)
  2. Activez la MFA sur ce compte si pas encore fait
  3. Vérifiez l'activité récente du compte (emails envoyés, connexions inhabituelles)
  4. Si c'est votre email : vérifiez les règles de transfert automatique créées par l'attaquant
  5. Changez le mot de passe sur tous les sites où vous utilisez le même (raison de plus d'utiliser un gestionnaire)

Cas 3 : Vous avez saisi des informations bancaires

  1. Appelez immédiatement votre banque (numéro au dos de la carte)
  2. Demandez le blocage préventif de la carte
  3. Signalez au Centre antifraude du Canada : 1-888-495-8501
  4. Surveillez vos relevés de compte les 30 prochains jours

→ Modules : M03 — Phishing | M14 — Incidents

Guide 5 — Sécuriser son smartphone (iOS & Android)

Pourquoi : Votre téléphone contient vos mots de passe, applis bancaires, photos et emails. Pourtant, la plupart des gens ne l'ont pas correctement sécurisé.

Étape 1 — Verrouillage écran

  • Activez un code à 6 chiffres minimum (ou phrase de passe). Évitez les schémas faciles à observer.
  • Activez la biométrie (Face ID / empreinte) comme raccourci, mais gardez toujours un code en secours.
  • Réglez le délai de verrouillage automatique à 1 minute maximum.

Étape 2 — Permissions des applications

  • iOS : Réglages → Confidentialité & sécurité. Vérifiez qui accède à la localisation, micro, caméra, contacts.
  • Android : Paramètres → Applis → Permissions. Révoquez tout accès non nécessaire.
  • Règle : si une appli n'a pas besoin de votre localisation pour fonctionner, refusez.

Étape 3 — Localisation et effacement à distance

  • iPhone : Réglages → [votre nom] → Localiser mon iPhone → activez "Localiser" ET "Envoyer la dernière position".
  • Android : Paramètres → Sécurité → Localiser mon appareil (Google). Vérifiez sur android.com/find.

Étape 4 — Mises à jour système

La majorité des compromissions de téléphone exploitent des failles corrigées depuis des mois. Activez les mises à jour automatiques de l'OS ET des applications.

Si votre téléphone est volé

  1. Activez l'effacement à distance depuis un autre appareil
  2. Changez vos mots de passe sur les comptes critiques (depuis un autre appareil)
  3. Signalez le vol à la police et à votre opérateur (bloquer la SIM)
  4. Contactez votre banque si l'appli bancaire était active

→ Module complet : M09 — Appareils & mises à jour

Guide 6 — Sécuriser son réseau Wi-Fi à la maison

Pourquoi : Un routeur avec les paramètres d'usine est une porte ouverte. Un voisin ou un attaquant à portée peut intercepter votre trafic ou accéder à vos appareils.

Étape 1 — Changer le mot de passe administrateur du routeur

  1. Accédez à l'interface du routeur : ouvrez un navigateur et tapez 192.168.1.1 ou 192.168.0.1
  2. Connectez-vous (identifiants par défaut imprimés sous le routeur ou dans le manuel)
  3. Allez dans Administration → Mot de passe et changez-le par une phrase forte
  4. Notez ce mot de passe dans votre gestionnaire de mots de passe

Étape 2 — Chiffrement Wi-Fi

  • Utilisez WPA3 si votre routeur le supporte. Sinon, WPA2-AES minimum.
  • Évitez WEP et WPA (ancien) — ils peuvent être cassés en quelques minutes.
  • Choisissez un mot de passe Wi-Fi fort (20+ caractères, pas le nom de votre rue).

Étape 3 — Réseau invité pour les objets connectés

Créez un réseau Wi-Fi invité séparé pour vos ampoules connectées, caméras, thermostats et appareils IoT. Ces appareils sont souvent mal sécurisés — les isoler protège votre réseau principal.

Étape 4 — Désactiver WPS et UPnP

WPS (bouton de connexion rapide) a des vulnérabilités connues — désactivez-le. UPnP permet aux appareils de s'ouvrir des ports automatiquement — désactivez-le si vous n'en avez pas besoin.

Étape 5 — Mise à jour du firmware

Vérifiez si votre routeur a une mise à jour disponible (interface d'administration → Mise à jour). Les fabricants publient des correctifs de sécurité importants.

→ Module complet : M08 — Wi-Fi & VPN

Guide 7 — Effacer ses données avant de vendre ou recycler un appareil

Pourquoi : Un simple formatage ne supprime pas vos données — elles peuvent être récupérées avec des outils gratuits. Des photos, mots de passe et documents professionnels restent accessibles sur des appareils "effacés".

iPhone & iPad

  1. Désactivez "Localiser" : Réglages → [votre nom] → Localiser → Désactiver
  2. Déconnectez-vous de l'identifiant Apple : Réglages → [votre nom] → Se déconnecter
  3. Effacez le contenu : Réglages → Général → Transférer ou réinitialiser l'iPhone → Effacer le contenu et les réglages

Android

  1. Chiffrez d'abord l'appareil s'il ne l'est pas : Paramètres → Sécurité → Chiffrement. Cela rend les données illisibles après la réinitialisation.
  2. Déconnectez votre compte Google : Paramètres → Comptes → Google → Supprimer le compte
  3. Réinitialisez : Paramètres → Gestion générale → Réinitialisation → Réinitialisation des données d'usine

Windows (PC / ordinateur portable)

  1. Paramètres → Système → Récupération → Réinitialiser ce PC
  2. Choisissez "Supprimer tout" puis "Nettoyer complètement le lecteur" — cette option écrase les données (prend 1–3 heures)
  3. Si le disque est HDD (pas SSD) et les données sont très sensibles : utilisez DBAN pour un effacement certifié

Mac

  1. Déconnectez-vous d'iCloud : Menu Pomme → Préférences Système → Identifiant Apple → Se déconnecter
  2. Redémarrez en mode récupération (Apple Silicon : maintenez le bouton d'alimentation; Intel : Cmd+R au démarrage)
  3. Utilisez "Effacer le Mac" ou Utilitaire de disque → Effacer
⚠️ Disques durs physiquement endommagés : Si l'appareil ne démarre plus, le disque dur doit être physiquement détruit avant recyclage (destruction mécanique ou service de destruction certifié).

→ Module complet : M10 — Données sensibles

Guide 8 — Mettre en place la cybersécurité en télétravail

Pourquoi : Travailler de la maison élargit la surface d'attaque de votre organisation. Un réseau domestique mal sécurisé peut compromettre les systèmes de votre employeur ou de vos clients.

Réseau et connexion

  • Sécurisez votre routeur selon le Guide 6 (WPA2/WPA3, mot de passe administrateur changé)
  • Utilisez le VPN de votre organisation pour accéder aux ressources internes
  • Évitez les Wi-Fi publics pour le travail — utilisez votre forfait mobile (partage de connexion) si vous êtes à l'extérieur

Séparation vie professionnelle / personnelle

  • N'utilisez pas votre ordinateur de travail pour des activités personnelles (jeux, téléchargements, réseaux sociaux)
  • N'utilisez pas votre ordinateur personnel pour le travail si vous avez un appareil professionnel
  • Ne branchez pas de clés USB personnelles sur un poste de travail

Sécurité physique

  • Verrouillez votre écran quand vous vous levez (Win + L sur Windows, Ctrl + Cmd + Q sur Mac)
  • Orientez votre écran de façon à ne pas être vu depuis une fenêtre ou par des visiteurs
  • Utilisez un filtre de confidentialité écran si vous travaillez dans des espaces partagés
  • Rangez les documents confidentiels physiques dans un tiroir fermé à clé

Mises à jour et antivirus

Maintenez votre OS et vos applications à jour. Sur un ordinateur personnel utilisé pour le travail, installez un antivirus reconnu (Malwarebytes, Windows Defender suffisent pour la plupart des cas).

Checklist rapide télétravail

  • ☐ VPN activé avant d'accéder aux ressources internes
  • ☐ Écran verrouillé systématiquement quand vous quittez le poste
  • ☐ Aucun document confidentiel laissé visible
  • ☐ Caméra et micro désactivés en dehors des réunions
  • ☐ Sauvegardes des fichiers de travail sur le serveur ou cloud de l'organisation

→ Module complet : M11 — Télétravail sécurisé

Guide 9 — Reconnaître et bloquer les arnaques téléphoniques et par texto

Pourquoi : La fraude par téléphone est la première méthode d'arnaque au Canada. Les aînés et les télétravailleurs sont particulièrement ciblés. Reconnaître les scénarios courants est la meilleure défense.

Arnaque 1 — Faux ARC (Agence du revenu du Canada)

Scénario : "Vous devez des impôts. Si vous ne payez pas maintenant en cartes-cadeaux, vous serez arrêté."

Réalité : L'ARC ne menace jamais d'arrestation immédiate par téléphone et n'accepte jamais de paiement par cartes-cadeaux. Raccrochez.

Arnaque 2 — Faux support technique (Microsoft, Apple)

Scénario : "Votre ordinateur envoie des erreurs à Microsoft. Installez ce logiciel de télémaintenance pour qu'on règle le problème."

Réalité : Microsoft et Apple ne vous appellent jamais proactivement. Raccrochez et ne donnez jamais accès à distance à votre ordinateur.

Arnaque 3 — Grand-parent ou proche en danger

Scénario : "C'est la police / un avocat, votre petit-fils a eu un accident. Il faut envoyer de l'argent pour sa caution maintenant."

Réalité : Raccrochez et appelez directement le proche concerné sur son numéro habituel pour vérifier.

Signes d'alerte universels

  • Urgence et pression à agir immédiatement
  • Paiement demandé en cartes-cadeaux (iTunes, Google Play, Vanilla), virement ou cryptomonnaie
  • Demande de garder l'appel secret
  • Menace d'arrestation, de perte de services ou de poursuites judiciaires

Comment signaler

  • Centre antifraude du Canada : 1-888-495-8501 ou antifraudcentre-centreantifraude.ca
  • Bloquer les numéros suspects : iOS — Informations sur l'appelant → Bloquer ce correspondant. Android — Appuyer longuement sur le numéro → Bloquer.
  • Inscrivez votre numéro sur la Liste nationale des numéros de télécommunications exclus (LNNTE) pour réduire les appels non sollicités.

→ Modules : M02 — Ingénierie sociale | Parcours Aînés

Guide 10 — Configurer un VPN — quand et comment l'utiliser

Pourquoi : Un VPN chiffre votre connexion internet et masque votre adresse IP. Il est utile dans des contextes précis — mais il n'est pas une protection universelle.

Ce qu'un VPN fait ✅

  • Chiffre votre trafic sur les Wi-Fi publics (café, aéroport, hôtel)
  • Masque votre adresse IP auprès des sites web visités
  • Empêche votre fournisseur internet (Bell, Vidéotron…) de voir vos activités
  • Permet l'accès aux ressources internes d'une organisation (VPN d'entreprise)

Ce qu'un VPN ne fait PAS ❌

  • Ne vous rend pas anonyme : le fournisseur VPN peut voir votre trafic
  • Ne protège pas contre les malwares, le phishing ou les mots de passe volés
  • Ne sécurise pas vos comptes si vos mots de passe sont compromis

VPN recommandés (payants — axés confidentialité)

  • ProtonVPN — basé en Suisse, politique stricte de non-conservation des logs, version gratuite sans limite de bande passante (serveurs limités). Recommandé pour débuter.
  • Mullvad VPN — paiement anonyme possible, aucun compte email requis, ~5 €/mois
  • NordVPN / ExpressVPN — populaires, bonne vitesse, tarifs similaires
⚠️ Évitez les VPN gratuits inconnus : Beaucoup de VPN gratuits revendent vos données de navigation — l'opposé de ce que vous cherchez. ProtonVPN est l'exception notable.

Installation ProtonVPN (exemple)

  1. Créez un compte gratuit sur protonvpn.com
  2. Téléchargez l'application pour votre plateforme
  3. Connectez-vous au serveur le plus proche pour les meilleures performances
  4. Activez le VPN avant de vous connecter à un Wi-Fi public

→ Module complet : M08 — Wi-Fi & VPN

Guide 11 — Plan de réponse aux incidents pour une PME (modèle en 5 étapes)

Pourquoi : Quand un incident survient (rançongiciel, fuite de données, compromission), chaque minute compte. Sans plan, les décisions prises sous stress aggravent souvent la situation.

Étape 1 — Détecter et évaluer (0–1h)

  • Confirmez qu'il s'agit bien d'un incident réel (pas un faux positif)
  • Identifiez les systèmes touchés et la nature de l'incident (rançongiciel, accès non autorisé, fuite…)
  • Notez l'heure de détection et les premiers symptômes dans un registre d'incidents

Étape 2 — Contenir (1–4h)

  • Isolez les systèmes touchés du réseau (débranchez le câble ou désactivez le Wi-Fi)
  • Ne redémarrez pas les appareils infectés — cela peut détruire des preuves
  • Révoquez les accès compromis (mots de passe, tokens, VPN)

Étape 3 — Notifier (en parallèle)

  • Centre canadien pour la cybersécurité : cyber.gc.ca → Signaler un incident
  • Loi 25 : Si des renseignements personnels ont été touchés, vous devez aviser la CAI dans les 25 jours si le risque est sérieux
  • Police : Si crime présumé (ransomware, fraude, vol de données), portez plainte
  • Assureur cyber : Si vous avez une couverture, notifiez dans les délais de la police

Étape 4 — Rétablir

  • Restaurez à partir de sauvegardes propres (vérifiez d'abord que les sauvegardes ne sont pas infectées)
  • Réinstallez les systèmes compromis depuis zéro si nécessaire
  • Vérifiez que la faille initiale est bouchée avant de remettre les systèmes en ligne

Étape 5 — Analyser et améliorer

Après la crise : réunion post-incident. Comment l'attaquant est-il entré ? Qu'est-ce qui a bien fonctionné ? Qu'est-ce qui aurait pu être mieux ? Mettez à jour votre plan en conséquence.

Modèle de registre d'incidents (à copier)

ChampÀ remplir
Date/heure détection
Nature de l'incident
Systèmes/données touchés
Actions prises
Personnes notifiées
Résolution/clôture

→ Modules : M14 — Incidents | Loi 25 — Gestion des incidents

Guide 12 — Gérer ses paramètres de confidentialité sur les réseaux sociaux

Pourquoi : Les informations publiques sur vos profils nourrissent l'ingénierie sociale. Un attaquant peut construire une arnaque crédible à partir de vos posts, de votre employeur, de vos voyages et de vos proches.

Facebook

  1. Paramètres → Confidentialité → Vérifier quelques paramètres importants
  2. Qui peut voir vos publications ? → Amis (pas Public)
  3. Qui peut vous envoyer des demandes d'amis ? → Amis d'amis
  4. Paramètres → Applications et sites web → Supprimez les apps qui ont accès à votre compte
  5. Activez la MFA : Paramètres → Sécurité et connexion → Authentification à deux facteurs

LinkedIn

  1. Paramètres → Visibilité → Visibilité de votre profil : limitez aux connexions si vous ne cherchez pas un emploi
  2. Désactivez "Permettre aux moteurs de recherche d'afficher votre profil" si vous souhaitez plus de discrétion
  3. Vérifiez qui peut voir vos connexions (utile pour éviter le démarchage).

Instagram

  1. Profil → Menu → Paramètres → Confidentialité → Compte privé : activez si vous n'êtes pas une marque publique
  2. Désactivez la géolocalisation des stories et publications
  3. Paramètres → Sécurité → Authentification à deux facteurs

Ce qu'il ne faut jamais publier

  • Votre adresse domicile ou lieu de travail précis
  • Vos plans de voyage en temps réel ("on part 2 semaines au Mexique demain !")
  • Des photos de documents d'identité, cartes bancaires, billets d'avion
  • Des informations sur vos enfants (école, horaires, activités)
  • Votre date de naissance complète (utilisée pour vérifier l'identité)

→ Modules : M12 — Réseaux sociaux | M07 — Vie privée

Guide 13 — Se protéger des deepfakes et de la désinformation générée par l'IA

Pourquoi : L'IA permet de créer des vidéos, voix et images hyper-réalistes de personnes réelles. Des arnaqueurs utilisent déjà des voix clonées pour appeler des proches ou des dirigeants d'entreprises.

Reconnaître un deepfake vidéo

  • Regardez les bords du visage, les dents, les cheveux et les mains — souvent mal rendus
  • Les clignements des yeux et les expressions peuvent sembler mécaniques
  • L'éclairage du visage ne correspond pas toujours à l'arrière-plan
  • En cas de doute : ralentissez la vidéo (0.25x sur YouTube) et regardez les transitions

Arnaques vocales par IA ("vishing IA")

Un attaquant clone la voix d'un proche ou d'un dirigeant à partir de 3–10 secondes d'audio public (YouTube, TikTok). Il appelle ensuite en urgence pour demander un virement ou des codes d'accès.

Défense : Établissez un mot de code secret avec vos proches et collaborateurs pour vérifier l'identité lors d'appels urgents inhabituels. Rappellez toujours sur le numéro habituel de la personne.

Vérifier une image suspecte

  • Google Images : Clic droit → "Rechercher l'image" pour trouver la source originale
  • TinEye.com : Recherche inversée spécialisée
  • FotoForensics.com : Détecte les manipulations via analyse de compression
  • InVID / WeVerify : Extension navigateur pour vérifier des vidéos (utilisée par les journalistes)

Réflexe STOP avant de partager

  • S — Source : qui a publié cela en premier ?
  • T — Temps : quand a été prise l'image/vidéo ?
  • O — Objectif : pourquoi ce contenu veut-il me faire réagir émotionnellement ?
  • P — Preuve : une autre source fiable confirme-t-elle ?

→ Module complet : M13 — IA & Deepfakes

Guide 14 — Évaluer la sécurité de ses fournisseurs et prestataires (PME)

Pourquoi : La majorité des brèches importantes passent par un fournisseur. Si votre comptable, prestataire IT ou SaaS est compromis, vos données le sont aussi. La Loi 25 vous oblige à encadrer contractuellement vos sous-traitants.

Questionnaire de base à envoyer à un fournisseur

  1. Votre organisation dispose-t-elle d'une politique de sécurité de l'information écrite ?
  2. Qui est responsable de la sécurité des données (nom/rôle) ?
  3. Vos données sont-elles chiffrées en transit et au repos ?
  4. Comment gérez-vous les accès (MFA, contrôle des droits minimaux) ?
  5. Avez-vous subi un incident de sécurité dans les 3 dernières années ? Si oui, comment a-t-il été géré ?
  6. Sous-contractez-vous des services où nos données seraient traitées ? Avec qui ?
  7. Avez-vous un plan de réponse aux incidents documenté ?

Signaux d'alerte dans un fournisseur

  • Refuse de répondre aux questions de sécurité ou les esquive
  • Pas de politique de confidentialité ou de conditions générales en français
  • Stockage des données uniquement hors Canada sans contrat de protection adéquat
  • Partage vos données avec des tiers non divulgués
  • Pas de procédure de notification en cas d'incident

Clauses Loi 25 à exiger dans les contrats

  • Confidentialité : Le fournisseur ne peut utiliser vos données qu'aux fins du contrat
  • Notification d'incident : Le fournisseur doit vous aviser dans un délai précis (ex. 48–72h) en cas de brèche touchant vos données
  • Localisation des données : Précisez si les données doivent rester au Canada/Québec
  • Destruction des données : À la fin du contrat, le fournisseur doit détruire ou retourner vos données
  • Droit d'audit : Vous réservez le droit de vérifier les pratiques de sécurité du fournisseur
💡 Approche pragmatique : Pour les petits fournisseurs, un simple échange d'emails documenté vaut mieux que rien. Pour les fournisseurs critiques (accès à des données personnelles de clients), exigez une réponse écrite formelle.

→ Modules : M11 — Télétravail & Tiers | Loi 25 — Fournisseurs