Les 10 règles d'or pour se protéger efficacement.

Le mot de passe réutilisé sur trois sites est la porte d'entrée préférée des attaquants. Un gestionnaire (Bitwarden, 1Password, Dashlane) génère et retient des mots de passe différents partout, sans que vous ayez à les mémoriser.

• Au moins 14 caractères, ou une phrase de passe
• Jamais le même mot de passe pour deux services
• Le seul mot de passe à retenir : celui du gestionnaire

Même si votre mot de passe fuit, le MFA empêche l'attaquant de se connecter. Privilégiez les passkeys ou les applications dédiées (Microsoft Authenticator, Google Authenticator) plutôt que le SMS, vulnérable au SIM-swap.

• Activez le MFA en priorité sur la messagerie et les comptes financiers
• Préférez l'application ou la clé physique (FIDO2) au SMS
• Mettez à l'abri vos codes de récupération

La majorité des intrusions exploitent des failles connues, déjà corrigées par les éditeurs. Activer les mises à jour automatiques, c'est fermer ces portes avant que quelqu'un n'y pense.

• Mises à jour automatiques sur OS, navigateur, antivirus
• Surveillez aussi le firmware (box, NAS, imprimantes, caméras)
• Remplacez les équipements en fin de support

Une sauvegarde, c'est l'antidote au ransomware. Appliquez la règle du 3-2-1 : trois copies, sur deux supports différents, dont une hors ligne ou hors site. Et surtout : testez la restauration au moins une fois par an.

• Au moins une copie déconnectée du réseau
• Sauvegarde quotidienne automatisée pour les données critiques
• Testez la restauration, sinon ça n'existe pas

L'antivirus du fournisseur d'accès ne suffit plus. Un EDR observe le comportement des programmes (et pas seulement leur signature) et bloque les attaques inédites. Quelques euros par poste pour une protection 24/7.

• EDR sur tous les postes et serveurs, y compris les serveurs de fichiers
• Pas seulement Windows : Mac et Linux aussi
• Vérifiez chaque trimestre que les agents sont actifs partout

Le phishing reste la première porte d'entrée. Avant de cliquer, vérifiez l'expéditeur, passez la souris sur les liens, et au moindre doute, demandez confirmation à l'expéditeur par un autre canal (téléphone, en personne).

• Ne cliquez jamais dans un mail urgent ou alarmiste sans vérifier
• Méfiance accrue sur les pièces jointes ZIP, OneNote, ISO, HTML
• Signalez les mails douteux : c'est ce qui sauve les autres

Le Wi-Fi de l'aéroport ou du café est un terrain de chasse idéal. Si vous devez l'utiliser, passez par un VPN. À la maison ou au bureau, changez le mot de passe administrateur de la box et activez le WPA3 (ou WPA2 minimum).

• VPN obligatoire sur les Wi-Fi non maîtrisés
• Mot de passe Wi-Fi long et changé régulièrement
• Réseau invité distinct pour les visiteurs

Un compte = un usage. Évitez d'utiliser votre messagerie pro pour des inscriptions personnelles, et inversement. Côté entreprise, donnez à chacun le strict minimum dont il a besoin pour travailler (principe du moindre privilège).

• Un compte administrateur, des comptes utilisateurs : ne pas confondre
• Revoyez les accès lors des mouvements (arrivée, mobilité, départ)
• Coupez les accès des prestataires dès la fin de mission

85 % des incidents commencent par un humain. Une formation isolée s'oublie en six semaines. La sensibilisation efficace est continue : modules courts, simulations de phishing, ateliers métiers, et un débrief sans humiliation.

• Modules courts (5 min) plutôt que sessions longues annuelles
• Simulations de phishing trimestrielles, débrief pédagogique
• Adaptez le contenu par métier (finance, RH, direction, IT)

Le moment de découvrir qu'on n'a pas de plan, ce n'est pas pendant l'attaque. Identifiez à l'avance qui appeler, qui décide, qui communique. Faites un exercice de crise par an, même rapide : cela divise par dix le temps de retour à la normale.

• Une fiche réflexe avec contacts d'urgence (DSI, RSSI, prestataire, assurance, ANSSI)
• Un canal de communication alternatif (téléphone, Signal) si la messagerie tombe
• Un exercice de crise par an, même de 2 heures