En 2024, plus de 44 millions de Français ont été touchés par des fuites de données personnelles. France Travail, Viamedis, SFR, La Poste — la liste des organisations piratées ne cesse de s’allonger. Le phishing a explosé de 43 % chez les TPE-PME en un an. Pourtant, trois gestes simples suffisent à bloquer 80 % des attaques : des mots de passe uniques, la double authentification activée, et une méfiance systématique face aux liens suspects.

Ce guide s’adresse à tous les niveaux. Débutant ? Commencez par la Partie 1 — vous serez mieux protégé que la majorité des internautes en 15 minutes. Vous maîtrisez les bases ? Passez directement à la Partie 2 pour renforcer sérieusement votre sécurité.

Partie 1 : Les fondamentaux de la sécurité en ligne

Cette partie couvre les bases. Si vous appliquez ces conseils, vous êtes déjà mieux protégé que 80 % des internautes. Selon le baromètre CESIN 2025, 60 % des cyberattaques réussies en France commencent par du phishing — une technique qui cible l’humain, pas la machine.

Les 3 règles d’or

  1. Un mot de passe unique par site. Si un service se fait pirater (et ça arrive constamment), vos autres comptes restent protégés.
  2. La double authentification (2FA) partout. Même si votre mot de passe fuit, le pirate reste bloqué sans le code de votre téléphone.
  3. Ne jamais cliquer sur un lien suspect. Le SMS « Chronopost » ou l’email « Ameli » qui vous demande de payer 1,99 € ? C’est une arnaque dans 99 % des cas.

Les menaces à connaître

Le phishing (hameçonnage)

Le phishing, c’est un faux message qui imite une organisation de confiance pour voler vos informations. En 2025, cette technique représente 60 % des cyberattaques selon le rapport ANSSI.

Exemples réels qui circulent actuellement :

  • SMS « Chronopost » : « Un problème est survenu lors de l’envoi de votre colis. Cliquez ici pour reprogrammer. »
  • Email « Ameli » : « Vous bénéficiez d’un remboursement de 284,95 €. Confirmez vos coordonnées bancaires. »
  • SMS « Impôts » : « Vous avez droit à un remboursement fiscal de 398 €. »

Comment les repérer :

  • L’adresse email ne correspond pas (ex : ameli-service@gmail.com au lieu de @ameli.fr)
  • Le message crée une urgence artificielle
  • Le lien pointe vers un site bizarre (chronopost-livraison-suivi.com au lieu de chronopost.fr)
  • Des fautes d’orthographe ou une mise en page approximative

Apprenez à reconnaître un email de phishing →

Exemple typique de l'email de phising
Exemple typique de l’email de phising

Les fuites de mots de passe

Vos identifiants circulent probablement déjà sur le dark web. En 2024, plus de 5 629 violations de données ont été déclarées à la CNIL — soit 15 par jour. Le nombre d’incidents touchant plus d’un million de personnes a doublé.

Vérifiez si vous êtes concerné : Rendez-vous sur Have I Been Pwned et entrez votre adresse email. Le site vous indique si vos données ont fuité et dans quelles bases.

Pourquoi c’est grave : Si vous utilisez le même mot de passe partout, un pirate qui récupère vos identifiants sur un site compromis peut accéder à tous vos comptes — email, banque, réseaux sociaux.

Les malwares

Les malwares (logiciels malveillants) regroupent les virus, ransomwares et spywares. En 2024, l’ANSSI a traité 144 attaques par ransomware — ces programmes qui chiffrent vos fichiers et exigent une rançon.

Comment ça arrive :

  • Pièce jointe d’un email (facture.pdf.exe, document.docm)
  • Téléchargement depuis un site douteux
  • Clé USB trouvée ou prêtée

Protection de base : Gardez votre système et vos logiciels à jour. Les mises à jour corrigent les failles que les pirates exploitent.

Les mots de passe : bien faire les choses

Créer un mot de passe solide

Oubliez les conseils compliqués. La méthode la plus simple et efficace : une phrase que vous inventez.

Exemples :

  • MonChatMangeDes3Sardines!
  • Jhabite-au-42-rue-des-Lilas
  • 2025:LannéeOùJaiCommencé$

Les règles essentielles :

  • Minimum 12 caractères (plus c’est long, mieux c’est)
  • Mélangez lettres, chiffres et caractères spéciaux
  • Un mot de passe UNIQUE par site — c’est non négociable

En 2025, les outils d’IA comme PassGAN peuvent casser un mot de passe classique de 8 caractères en quelques minutes. Les phrases longues résistent beaucoup mieux.

Utiliser un gestionnaire de mots de passe

Retenir des dizaines de mots de passe uniques est impossible. La solution : un gestionnaire de mots de passe. C’est un coffre-fort numérique qui retient tout à votre place.

Comment ça fonctionne :

  1. Vous créez un seul mot de passe maître (solide, celui-là il faut le mémoriser)
  2. Le gestionnaire génère et stocke des mots de passe uniques pour chaque site
  3. Il remplit automatiquement les formulaires de connexion

Les meilleurs en 2025-2026 :

  • Bitwarden — Gratuit, open source, excellent rapport qualité/prix. Le choix recommandé pour débuter.
  • 1Password — Premium, très ergonomique, idéal pour les familles (à partir de 2,99 $/mois)
  • Proton Pass — Axé confidentialité, créé par les développeurs de ProtonMail

La double authentification (2FA)

La double authentification ajoute une deuxième vérification après votre mot de passe : un code temporaire généré sur votre téléphone. Même si un pirate vole votre mot de passe, il reste bloqué sans ce code.

Pourquoi c’est important : Microsoft rapporte que les comptes avec 2FA bloquent 99,9 % des attaques automatisées.

Où l’activer EN PRIORITÉ :

  1. Votre email principal (c’est la clé de tous vos autres comptes)
  2. Votre banque en ligne
  3. Vos réseaux sociaux (Facebook, Instagram, X/Twitter)
  4. Votre gestionnaire de mots de passe

Les applications recommandées :

  • Google Authenticator — Simple et efficace
  • Microsoft Authenticator — Idéal si vous utilisez l’écosystème Microsoft
  • Authy — Sauvegarde cloud des codes (pratique si vous changez de téléphone)

Évitez la 2FA par SMS si possible. Les attaques par SIM swapping (vol de numéro de téléphone) sont en hausse. Une app d’authentification est plus sûre.

Guide : Activer la double authentification sur vos comptes →

Capture Cisco Duo

Naviguer en sécurité : les bases

Reconnaître un site fiable

  • Le cadenas HTTPS est nécessaire mais pas suffisant. Les sites de phishing utilisent aussi HTTPS maintenant.
  • Vérifiez l’URL exacte. amazon.fr n’est pas amazon-soldes.fr ou arnazon.fr.
  • Méfiez-vous des offres trop belles. Un iPhone à 50 € ? C’est une arnaque.

Les réseaux Wi-Fi publics

Les Wi-Fi de cafés, hôtels ou aéroports ne sont pas sécurisés. Un pirate sur le même réseau peut potentiellement intercepter vos données.

Règle simple : Pas d’opérations sensibles (banque, achats) sur Wi-Fi public.

Solution avancée : Utilisez un VPN pour chiffrer votre connexion (voir Partie 2).

Partie 2 : Aller plus loin dans la protection

Vous maîtrisez les bases ? Voici comment renforcer sérieusement votre sécurité et votre vie privée en ligne.

VPN : protéger sa connexion

C’est quoi un VPN

Un VPN (Virtual Private Network) crée un tunnel chiffré entre votre appareil et internet. Votre trafic passe par un serveur intermédiaire, ce qui masque votre activité à votre fournisseur d’accès.

Ce que ça protège :

  • Votre FAI ne voit plus les sites que vous visitez
  • Sur Wi-Fi public, vos données sont chiffrées et illisibles
  • Vous pouvez contourner certaines restrictions géographiques

Ce que ça ne fait PAS :

  • Vous rendre 100 % anonyme (le fournisseur VPN peut voir votre trafic)
  • Vous protéger si vous téléchargez un virus
  • Remplacer les bonnes pratiques de sécurité

Qu’est-ce qu’un VPN et comment ça fonctionne →

Quand utiliser un VPN

SituationVPN utile ?
Wi-Fi public (café, hôtel, aéroport)Oui, indispensable
Streaming géo-bloquéOui
Vie privée vis-à-vis du FAIOui
Navigation quotidienne à la maisonUtile mais pas obligatoire
Protection contre les virusNon, ça ne remplace pas un antivirus

Comparatif : Les meilleurs VPN en 2025 →

Quelle différence entre VPN et Proxy ? →

Schéma du fonctionnement d'un VPN
Schéma du fonctionnement d’un VPN

Chiffrement : protéger ses données

Chiffrement des communications

Le chiffrement de bout en bout (E2E) garantit que seuls vous et votre destinataire pouvez lire les messages. Même le fournisseur du service ne peut pas y accéder.

Messageries chiffrées recommandées :

  • Signal — La référence, recommandée par les experts en sécurité
  • WhatsApp — Chiffré E2E par défaut (attention aux métadonnées collectées par Meta)
  • Telegram — Chiffrement E2E uniquement dans les « chats secrets »

Email chiffré :

Chiffrement du disque dur

Si votre ordinateur portable est volé, le chiffrement du disque rend vos données illisibles sans votre mot de passe.

  • Windows : BitLocker (inclus dans Windows Pro) — Paramètres → Mise à jour et sécurité → Chiffrement de l’appareil
  • Mac : FileVault (inclus) — Préférences Système → Sécurité et confidentialité → FileVault
  • Linux : LUKS lors de l’installation

DNS : un réglage souvent oublié

Les DNS (Domain Name System) traduisent les noms de sites (google.com) en adresses IP. Par défaut, vous utilisez les DNS de votre FAI — qui voit donc tous les sites que vous visitez.

Pourquoi changer :

  • Plus de confidentialité
  • Parfois plus rapide
  • Contourner certains blocages

DNS recommandés :

  • Cloudflare : 1.1.1.1 et 1.0.0.1 — Rapide, axé confidentialité
  • Quad9 : 9.9.9.9 — Bloque automatiquement les sites malveillants
  • Google : 8.8.8.8 — Fiable mais collecte des données

Guide : Modifier ses DNS pour plus de confidentialité →

Navigateurs et extensions de confidentialité

Navigateurs recommandés

  • Firefox — Bon équilibre entre confidentialité et compatibilité. Personnalisable.
  • Brave — Bloque pubs et trackers par défaut. Basé sur Chromium.
  • Tor Browser — Anonymat maximum via le réseau Tor (voir section suivante)

Extensions utiles

  • uBlock Origin — Bloqueur de pubs et trackers. Essentiel et gratuit.
  • Privacy Badger (EFF) — Apprend automatiquement à bloquer les trackers invisibles
  • HTTPS Everywhere — Force la connexion sécurisée quand disponible (de moins en moins nécessaire, les navigateurs le font nativement)

Tor et l’anonymat avancé

Le réseau Tor fait passer votre connexion par plusieurs relais chiffrés à travers le monde, rendant très difficile de remonter jusqu’à vous.

Niveau d’anonymat : Très élevé, mais pas parfait. Des erreurs d’utilisation peuvent vous trahir.

Quand l’utiliser :

  • Recherches sensibles sur des sujets délicats
  • Journalistes protégeant leurs sources
  • Lanceurs d’alerte
  • Résidents de pays avec forte censure

Limites :

  • Lent (votre trafic traverse plusieurs pays)
  • Certains sites bloquent Tor
  • Ne vous protège pas si vous vous connectez à vos comptes personnels

Qu’est-ce que Tor et comment l’utiliser →

Schéma expliquant le fonctionnement de Tor
Schéma expliquant le fonctionnement de Tor

Sécurité des appareils

Smartphone

  • Mises à jour : Installez-les dès qu’elles sont disponibles. Elles corrigent des failles de sécurité.
  • Verrouillage : Code à 6 chiffres minimum, ou biométrie (empreinte, Face ID)
  • Applications : Téléchargez uniquement depuis les stores officiels (App Store, Google Play)
  • Permissions : Vérifiez ce que chaque app demande. Une lampe torche n’a pas besoin d’accéder à vos contacts.

Ordinateur

  • Mises à jour OS et logiciels : Windows Update, macOS Software Update — activez les mises à jour automatiques
  • Antivirus : Windows Defender (intégré à Windows 10/11) suffit pour la plupart des usages. Pour plus de protection : Malwarebytes.
  • Sauvegardes : Règle 3-2-1 — 3 copies de vos données, sur 2 supports différents, dont 1 hors site (cloud ou disque externe stocké ailleurs)

Vie privée et données personnelles

Limiter sa trace numérique

Ce qu’il ne faut JAMAIS partager en ligne :

  • Numéro de sécurité sociale
  • Photo de carte d’identité ou passeport
  • Coordonnées bancaires complètes
  • Date de naissance + lieu de naissance (permet l’usurpation d’identité)

Réseaux sociaux : Vérifiez vos paramètres de confidentialité. Par défaut, beaucoup d’informations sont publiques.

Droit à l’oubli (RGPD) : Vous pouvez demander la suppression de vos données personnelles à tout organisme. La CNIL propose des modèles de lettres.

Réglages de confidentialité des réseaux sociaux

Vérifier ce que Google sait sur vous

Rendez-vous sur myaccount.google.com → Données et vie privée. Vous pouvez voir et supprimer votre historique de recherches, positions GPS, vidéos YouTube regardées, etc. Vous pouvez aussi télécharger l’intégralité de vos données.

Les Passkeys : l’avenir sans mot de passe

En 2025-2026, les passkeys révolutionnent l’authentification. Cette technologie remplace le mot de passe par une clé cryptographique stockée sur votre appareil, déverrouillée par biométrie (empreinte, visage) ou code PIN.

Avantages :

  • Impossible à voler par phishing (la passkey est liée au site légitime)
  • Rien à mémoriser
  • Plus rapide qu’un mot de passe

Adoption : Google, Apple, Microsoft, Amazon, TikTok et la majorité des grands services supportent maintenant les passkeys. Selon la FIDO Alliance, 69 % des utilisateurs qui ont essayé les passkeys les préfèrent aux mots de passe.

Comment commencer : Activez les passkeys sur vos comptes Google, Apple et Microsoft. Votre gestionnaire de mots de passe (1Password, Bitwarden, Proton Pass) peut aussi stocker et synchroniser vos passkeys.

Checklist : par où commencer

Niveau débutant (à faire aujourd’hui)

  • Vérifier vos emails sur haveibeenpwned.com
  • Changer les mots de passe de vos comptes importants (email, banque)
  • Installer un gestionnaire de mots de passe (Bitwarden est gratuit)
  • Activer la 2FA sur votre email principal et votre banque
  • Mettre à jour votre téléphone et votre ordinateur

Niveau intermédiaire (cette semaine)

  • Changer vos DNS (Cloudflare 1.1.1.1 ou Quad9)
  • Installer un VPN pour les Wi-Fi publics
  • Passer sur Signal pour vos conversations sensibles
  • Configurer les paramètres de confidentialité de vos réseaux sociaux
  • Activer le chiffrement du disque (BitLocker/FileVault)

Niveau avancé (pour aller plus loin)

  • Activer les passkeys sur vos comptes compatibles
  • Utiliser Tor Browser pour les recherches sensibles
  • Compartimenter vos activités (emails différents pour différents usages)
  • Auditer les permissions de toutes vos applications
  • Configurer une clé de sécurité physique (YubiKey) pour vos comptes critiques

Que faire si vous êtes piraté ?

Agissez vite. Plus vous réagissez rapidement, plus vous limitez les dégâts.

  1. Changez immédiatement le mot de passe du compte compromis
  2. Changez le mot de passe de votre email principal (c’est la clé de récupération de tous vos autres comptes)
  3. Activez la 2FA si ce n’est pas déjà fait
  4. Vérifiez les connexions récentes dans les paramètres de sécurité du compte
  5. Compte bancaire touché ? Appelez votre banque immédiatement pour faire opposition
  6. Signalez l’incident sur Cybermalveillance.gouv.fr — vous serez guidé dans vos démarches
  7. Portez plainte si nécessaire (usurpation d’identité, fraude bancaire)

FAQ

C’est quoi la sécurité en ligne ?

La sécurité en ligne regroupe les pratiques qui protègent vos données personnelles, vos comptes et vos appareils contre les menaces numériques : piratage, vol d’identité, arnaques, virus. Elle repose sur trois piliers : des mots de passe solides, la vérification en deux étapes, et une vigilance constante face aux tentatives de manipulation.

Comment savoir si mon mot de passe a été piraté ?

Utilisez Have I Been Pwned : entrez votre adresse email pour voir si elle apparaît dans des bases de données piratées. Le site liste les fuites concernées. Si votre email y figure, changez immédiatement les mots de passe des comptes associés — surtout si vous utilisiez le même mot de passe ailleurs.

C’est quoi le phishing ?

Le phishing (hameçonnage) est une technique d’arnaque où un fraudeur se fait passer pour une organisation de confiance (banque, administration, livreur) pour vous soutirer des informations personnelles ou bancaires. Le piège arrive généralement par email ou SMS, avec un lien vers un faux site qui imite le vrai.

Est-ce qu’un antivirus suffit ?

Non. L’antivirus protège contre les logiciels malveillants, mais 60 % des attaques exploitent le facteur humain via le phishing. Un antivirus ne vous empêchera pas de donner votre mot de passe à un faux site. La combinaison gagnante : antivirus + gestionnaire de mots de passe + 2FA + vigilance face aux messages suspects.

Ai-je besoin d’un VPN ?

Pour une utilisation quotidienne à la maison, un VPN est utile mais pas indispensable. Il devient essentiel si vous vous connectez régulièrement à des Wi-Fi publics (cafés, hôtels, aéroports) ou si vous souhaitez masquer votre activité à votre fournisseur d’accès internet. Ne comptez pas sur un VPN pour vous rendre totalement anonyme.

C’est quoi le chiffrement de bout en bout ?

Le chiffrement de bout en bout (E2E) garantit que seuls l’expéditeur et le destinataire peuvent lire un message. Le contenu est chiffré sur votre appareil et déchiffré uniquement sur celui du destinataire. Même le fournisseur du service (WhatsApp, Signal, ProtonMail) ne peut pas accéder au contenu. C’est la forme de chiffrement la plus sécurisée pour les communications.

Tor est-il légal ?

Oui, utiliser Tor est parfaitement légal en France et dans la plupart des pays. C’est un outil légitime de protection de la vie privée, utilisé par les journalistes, les militants des droits humains et les citoyens soucieux de leur anonymat. Ce qui est illégal, ce sont les activités criminelles — avec ou sans Tor.

Comment protéger mes enfants sur internet ?

Combinez plusieurs approches : contrôle parental (intégré à Windows, Mac, iOS, Android), discussion régulière sur les risques (ne jamais partager d’infos personnelles, se méfier des inconnus), et supervision adaptée à l’âge. Pour les plus jeunes, des applications comme Qustodio ou Family Link permettent de filtrer les contenus et limiter le temps d’écran.

Conclusion

La cybersécurité n’est pas réservée aux experts. Trois actions protègent de la grande majorité des risques : des mots de passe uniques (via un gestionnaire), la double authentification activée partout, et une méfiance systématique face aux liens et messages suspects.

Commencez par le niveau débutant — 15 minutes suffisent pour sécuriser vos comptes principaux. Puis montez en niveau progressivement. Vous n’avez pas besoin d’être paranoïaque, juste vigilant.

Les pirates ciblent d’abord les proies faciles. En appliquant ces conseils, vous ne serez plus une cible facile.