Pourquoi la cybersécurité vous concerne
Les cyberattaques ne ciblent pas que les grandes entreprises. En 2025, 43% des attaques visent les PME, et 90% des incidents commencent par une erreur humaine. Chaque collaborateur est un maillon de la chaîne de sécurité.
Ordres de grandeur issus d'études sectorielles 2024-2025 (cybermalveillance.gouv.fr, ANSSI, Verizon DBIR).
Reconnaître le phishing
Le phishing (hameçonnage) est la technique d'attaque la plus courante. Un email, un SMS, un QR code ou un appel frauduleux tente de vous faire cliquer sur un lien piégé ou de vous soutirer des informations. Attention : le message peut sembler provenir d'un contact de confiance (collègue, fournisseur, banque) dont la boîte a été piratée — une adresse exacte ne garantit donc pas la légitimité.
Les 6 signaux d'alerte
Expéditeur suspect
Vérifiez l'adresse email complète, pas seulement le nom affiché. support@micr0soft-secure.com n'est pas Microsoft. Passez la souris sur le nom de l'expéditeur pour voir la vraie adresse.
Urgence artificielle
« Votre compte sera suspendu dans 24h », « Action immédiate requise ». Les pirates créent la panique pour empêcher la réflexion. Un vrai service ne menace jamais ainsi.
Lien douteux
Survolez le lien sans cliquer : l'URL réelle s'affiche en bas du navigateur ou dans une infobulle. Si elle ne correspond pas au site officiel, c'est du phishing.
Pièce jointe inattendue
Vous n'attendiez pas de facture, de bon de commande ou de document ? N'ouvrez pas la pièce jointe. Les formats dangereux : .exe, .zip, .docm, .xlsm, .js.
Contexte ou ton inhabituel
Demande inattendue, pression, ton qui ne ressemble pas à l'expéditeur habituel. Ne vous fiez plus aux fautes d'orthographe : les emails générés par IA sont désormais parfaitement rédigés. C'est le contexte (demande d'argent, d'identifiants, changement de RIB) qui doit alerter, pas la forme.
Demande d'informations sensibles
Aucun service légitime ne vous demandera votre mot de passe, numéro de carte bancaire ou code MFA par email. Jamais.
De : Microsoft Support <alert@micros0ft-security.com>
Objet : URGENT - Activité suspecte détectée sur votre compte
Cher utilisateur,
Nous avons détecté une connexion inhabituelle sur votre compte. [Cliquez ici pour vérifier votre identité]
Si vous ne répondez pas dans les 24 heures, votre compte sera définitivement suspendu.
⚠ 4 signaux d'alerte : adresse fausse, urgence, lien suspect, menace de suspension
Le piège n°1 en 2026 : l'expéditeur de confiance
Les attaques les plus coûteuses ne viennent plus d'une fausse adresse pleine de fautes, mais d'un vrai compte piraté (celui d'un fournisseur, d'un client ou d'un collègue). Le message est en français correct, l'adresse est authentique : seuls le contexte et la demande trahissent l'arnaque.
De : Comptabilité Fournisseur <accounting@[domaine-réel-du-fournisseur].com>
Objet : Mise à jour de nos coordonnées bancaires
Bonjour,
Suite à un changement de banque, merci de régler nos prochaines factures sur notre nouveau RIB ci-joint. Pourriez-vous confirmer la prise en compte ?
⚠ Adresse authentique, français correct, aucune faute — mais une demande de changement de RIB = signal d'alarme absolu.
Les nouvelles formes d'arnaque
Le phishing ne se limite plus à l'email. Les mêmes réflexes de vérification s'appliquent à tous ces canaux.
Smishing & vishing (SMS et appels)
SMS de fausse « livraison », faux conseiller bancaire, faux support Microsoft au téléphone. Ne cliquez pas sur les liens reçus par SMS et ne communiquez jamais un code par téléphone. En cas de doute, raccrochez et rappelez le numéro officiel.
Quishing (QR codes piégés)
Un QR code reçu par email, par courrier ou collé sur une affiche peut renvoyer vers un faux site. Ne scannez jamais un QR code non sollicité, surtout s'il réclame une connexion ou un paiement.
Deepfake voix et visio
Une voix au téléphone ou un visage en visioconférence peuvent être imités par IA, y compris ceux du dirigeant. Une demande de virement ou de données confidentielles se vérifie toujours par un second canal connu.
IA grand public (Shadow AI)
Ne collez jamais de données clients, contrats, mots de passe ou informations confidentielles dans ChatGPT, Copilot, Gemini ou un autre outil IA grand public : ces données peuvent être conservées et réutilisées. Utilisez uniquement les outils validés par l'entreprise.
Mots de passe : les règles d'or
| Pratique | Mauvais exemple | Bon exemple |
|---|---|---|
| Longueur | Soleil123 | Mon-Ch4t-Mange-Des-Cr0quettes! |
| Unicité | Même mot de passe partout | Un mot de passe différent par service |
| Stockage | Post-it sur l'écran | Gestionnaire de mots de passe |
| Partage | Envoyé par email ou chat | Jamais partagé, même à l'IT |
| Renouvellement | Changé tous les 30 jours (trop fréquent) | Changé si compromis + MFA activé |
Choisissez une phrase que vous retiendrez facilement et transformez-la :
J'adore les crêpes le dimanche à 8h! → J@dore-Crepes-Dim-8h!. Longue, complexe, mais mémorisable.Gestionnaire de mots de passe
Un gestionnaire de mots de passe crée et stocke des mots de passe uniques et complexes pour chaque site. Vous ne retenez qu'un seul mot de passe maître.
- Microsoft Authenticator inclut un gestionnaire intégré
- Bitwarden : gratuit, open source, fiable
- 1Password ou Dashlane : solutions professionnelles complètes
- Ne stockez jamais vos mots de passe dans un fichier Excel ou un document Word
La double authentification (MFA)
Le MFA ajoute une seconde preuve d'identité (notification, code, clé) en plus du mot de passe. C'est aujourd'hui la protection la plus efficace contre le vol de compte — mais les pirates tentent de la contourner.
- Un code MFA ne se communique jamais, à personne — ni par téléphone, ni par email, ni même à l'IT
- N'approuvez une demande MFA que si vous venez de vous connecter vous-même
- Privilégiez la clé de sécurité / passkey (FIDO2) quand elle est disponible : elle résiste au phishing
- Configuration Microsoft 365 :
aka.ms/mfasetup— voir aussi notre guide dédié Microsoft Authenticator
Sécurité du poste de travail
Verrouillage automatique
Quittez votre poste = verrouillez l'écran
Windows : Win + L
Mac : Ctrl + Cmd + Q
Même pour 30 secondes. Un poste déverrouillé est une porte ouverte.
Mises à jour
Réflexes essentiels
- Antivirus : ne le désactivez jamais, même temporairement
- USB inconnues : ne branchez jamais une clé USB trouvée ou offerte
- Téléchargements : uniquement depuis les sources officielles (pas de logiciel cracké)
- Wi-Fi public : utilisez toujours le VPN sur un réseau non sécurisé (café, hôtel, aéroport)
- Bureau propre : aucun document confidentiel visible quand vous quittez votre poste
- Smartphone = poste de travail : code de verrouillage, mises à jour et prudence sur les permissions des applications
- Recharge : évitez les bornes USB publiques (aéroport, gare) ; utilisez votre propre chargeur secteur ou une batterie externe
- Télétravail : écran à l'abri des regards en lieu public, box Internet à jour, appareil pro non partagé avec la famille
- Perte ou vol d'un appareil pro (PC, téléphone) : signalez-le immédiatement au support pour effacement à distance
- Données sensibles à transmettre : chiffrez le fichier (archive protégée par mot de passe) et communiquez le mot de passe par un autre canal (SMS, téléphone), jamais dans le même email
Réseaux sociaux & informations personnelles
Les pirates utilisent les réseaux sociaux pour préparer leurs attaques (ingénierie sociale). Moins vous exposez d'informations, moins vous êtes vulnérable.
- Ne publiez pas votre adresse email professionnelle sur les réseaux sociaux
- Évitez de partager votre organigramme, vos outils internes ou vos partenaires
- Méfiez-vous des demandes de connexion LinkedIn de profils inconnus
- Ne répondez jamais à des questions de sécurité par téléphone sans vérifier l'identité de l'appelant
Que faire en cas d'incident ?
J'ai cliqué sur un lien suspect
Déconnectez-vous d'Internet
Débranchez le câble réseau ou désactivez le Wi-Fi immédiatement. Cela limite la propagation.
Prévenez le support IT
Appelez ou utilisez un autre appareil pour contacter le support GiGaRuN. Décrivez ce que vous avez fait : quel lien, quel email, quand.
Ne touchez plus au PC
N'éteignez pas l'ordinateur (les preuves en mémoire sont précieuses pour l'analyse). Attendez les instructions du support.
J'ai donné mon mot de passe
Changez-le immédiatement
Depuis un autre appareil sûr, changez le mot de passe compromis sur aka.ms/mysecurityinfo.
Changez-le partout
Si vous utilisiez le même mot de passe ailleurs, changez-le sur tous les autres services concernés.
Informez le support
Le support peut vérifier s'il y a eu des connexions frauduleuses et sécuriser votre compte (révocation de sessions, audit des accès).
Mon PC se comporte bizarrement
- Lenteur soudaine, ventilateurs qui tournent en permanence
- Pop-ups inhabituels ou messages de rançon
- Fichiers renommés avec des extensions étranges (
.encrypted,.locked) - Programmes qui se lancent seuls
→ Déconnectez d'Internet et contactez le support immédiatement.
Checklist quotidienne
Mes 13 réflexes cybersécurité
- Je vérifie l'expéditeur avant d'ouvrir un email
- Je survole les liens avant de cliquer
- Je n'ouvre pas les pièces jointes inattendues
- Je vérifie tout changement de RIB par téléphone, sur un numéro connu
- J'utilise des mots de passe uniques et longs
- J'ai activé le MFA sur tous mes comptes
- Je refuse toute notification MFA que je n'ai pas déclenchée
- Je verrouille mon écran dès que je m'absente
- J'installe les mises à jour sans attendre
- Je n'utilise pas de clés USB inconnues
- J'utilise le VPN sur les réseaux publics
- Je ne mets aucune donnée confidentielle dans une IA grand public
- Je signale immédiatement tout incident suspect
Besoin d'aide ?
En cas de doute sur un email, un lien ou un comportement suspect, contactez-nous. Mieux vaut un faux positif qu'une vraie attaque. Si votre messagerie dispose du bouton « Signaler un hameçonnage » (Outlook), utilisez-le pour nous transmettre le message. Pour un incident d'ordre personnel (hors entreprise) :
17cyber.gouv.fr et cybermalveillance.gouv.fr.Guide aligné sur les recommandations de la CNIL — Guide de la sécurité des données personnelles (fiches 2, 3, 4, 6, 7, 13, 19).