Cybersécurité quotidienne : 10 réflexes en 2026

L'erreur la plus courante : réutiliser le même mot de passe sur 10 sites. Quand un service fuit (et il fuit tôt ou tard), tous vos comptes deviennent vulnérables.

Solution unique : un gestionnaire de mots de passe. Bitwarden (gratuit ou 10 €/an Premium), 1Password (36 €/an), Proton Pass (gratuit, FR). Ces outils :

• Génèrent des mots de passe aléatoires de 20+ caractères pour chaque site.
• Les remplissent automatiquement (extension navigateur + appli mobile).
• Chiffrent tout en local (zero-knowledge, votre fournisseur ne voit pas vos mots de passe).
• Synchronisent entre vos appareils.

Le seul mot de passe à retenir : votre "master password". Choisissez une phrase de 4-5 mots aléatoires + chiffres = 80+ bits d'entropie.

Même un mot de passe fort peut être volé via phishing ou keylogger. La 2FA ajoute une seconde couche : code à 6 chiffres généré sur votre téléphone à chaque connexion.

Hiérarchie de la 2FA, du moins au plus sûr :

• SMS : vulnérable au SIM swapping. À éviter pour comptes critiques.
• Authenticator app TOTP (Aegis, Google Authenticator, Microsoft Authenticator) : sécurité élevée, gratuit.
• Clé physique YubiKey / SoloKey : sécurité maximale (résistant phishing). Coût 50-80 €.

Priorité d'activation : mail principal, banque, gestionnaire de mots de passe, comptes sociaux, services cloud.

En 2026, les emails de phishing sont rédigés en français parfait (IA générative), avec logo officiel, et urgent. Les 5 signaux à vérifier :

• Adresse expéditeur : passez la souris sur le nom. Le vrai domaine doit être @impots.gouv.fr, pas @impots-gouv.com.
• Sentiment d'urgence : "Votre compte sera bloqué dans 24h" = signal d'alarme. Les vraies administrations n'agissent jamais comme ça.
• Lien suspect : passez la souris sans cliquer. L'URL réelle doit correspondre au site officiel.
• Demande d'identifiants : aucune banque ni administration ne demande mot de passe par email. Jamais.
• Erreurs subtiles : caractères cyrilliques dans l'URL (а au lieu de a), domaines proches (gmaiI.com avec un I majuscule).

En cas de doute : ne cliquez pas. Ouvrez directement le site en tapant l'URL connue. Signalez le mail à signal-spam.fr.

60 % des compromissions exploitent des failles connues mais non patchées. Activez les mises à jour automatiques sur :

• Système d'exploitation (Windows Update, macOS, Linux apt).
• Navigateur (Chrome, Firefox, Safari, Edge).
• Antivirus et pare-feu (Windows Defender suffit pour la majorité).
• Routeur (vérifier firmware annuellement, souvent oublié).
• Applications mobiles (auto-update App Store et Play Store).

Le retard de patch typique chez un particulier : 30-60 jours. Une vulnérabilité critique est exploitable en masse sous 7 jours après publication. Calcul rapide : 80 % de chances d'être attaqué.

Règle ANSSI 3-2-1 : 3 copies de vos données, sur 2 supports différents, dont 1 hors site.

Application pratique :

• Copie 1 : votre disque interne (original).
• Copie 2 : disque dur externe (sauvegarde locale, 80-120 € pour 2 To).
• Copie 3 : cloud chiffré (Proton Drive, Filen, Mega, Backblaze, 50-100 €/an).

Automatiser : Time Machine sur Mac, Sauvegarde Windows, ou outil tiers (Arq, Duplicati). Vérifier 1 fois/an que la restauration fonctionne (sinon vos sauvegardes sont fictives).

En cas de ransomware (chiffrement de vos fichiers contre rançon), les sauvegardes sont votre seule porte de sortie. Les paiements de rançon n'aboutissent à la restauration que dans 60 % des cas (rapport ANSSI 2025).

Le chiffrement protège vos données si votre appareil est volé.

• Disque dur PC : BitLocker (Windows Pro), FileVault (macOS), LUKS (Linux). Activé en 1 clic.
• Smartphone : chiffré par défaut sur Android 6+ et iOS 8+. Toujours protéger par PIN/biométrie.
• WiFi domicile : WPA3 (ou WPA2 minimum). Changer le mot de passe par défaut.
• VPN sur WiFi public : ProtonVPN gratuit ou Mullvad (5 €/mois). Évite l'interception sur réseau hôtel/café.

Le VPN ne protège PAS du phishing ni des malwares. Il chiffre seulement le trafic réseau.

Sur smartphone, audit annuel : Paramètres → Applications → Permissions. Désactivez ce qui n'est pas justifié :

• Calculatrice qui demande accès aux contacts : refuser.
• Lampe torche qui demande géolocalisation : refuser.
• Jeu qui demande accès au micro : refuser.
• Application bancaire qui demande caméra : OK (chèque) mais vérifier.

Les apps gratuites monétisent souvent en revendant les données. Une vérification rapide des permissions divise par 2 le risque de fuite.

Inscrivez votre email principal sur haveibeenpwned.com (gratuit). Vous serez notifié à chaque fois qu'un site où vous étiez inscrit fuit. En 2025-2026, fuites majeures notables : LinkedIn (700M comptes), Adobe (153M), Yahoo (3 Mds), Dropbox (68M), Equifax (147M).

Quand vous recevez une notification : changez immédiatement le mot de passe du site concerné + tous les autres sites où vous utilisiez le même mot de passe (raison de plus pour le gestionnaire).

Arnaques téléphoniques en hausse : "Bonjour je suis votre banque, il y a un débit suspect sur votre compte, confirmez votre code à 6 chiffres". 30 % des Français reçoivent ce type d'appel par an.

Règle absolue : ne jamais donner un code, mot de passe ou information sensible au téléphone, même si l'interlocuteur semble authentique. Raccrochez, rappelez le numéro officiel du dos de votre carte bancaire.

Idem pour les SMS de "livreur" demandant 0,90 € de frais sur un site obscur : c'est toujours du phishing.

Comptez vos points (1 point par "oui") :

1. J'utilise un gestionnaire de mots de passe (Bitwarden, 1Password, etc.)
2. Mes 10 comptes principaux ont des mots de passe uniques de 16+ caractères
3. 2FA activée sur mail principal, banque, comptes sociaux
4. Mises à jour automatiques activées sur OS et navigateur
5. Sauvegarde externe ou cloud chiffré à jour (< 1 mois)
6. Disque dur PC chiffré (BitLocker / FileVault)
7. Vérification haveibeenpwned.com des emails < 6 mois
8. VPN actif sur WiFi public
9. Audit permissions apps mobiles < 12 mois
10. Je raccroche systématiquement aux appels demandant un code

Score 8-10 : excellent, vous êtes au-dessus du top 5 % FR.

Score 5-7 : bon, prioriser les points manquants.

Score < 5 : alerte, commencer par 1, 2, 3 immédiatement.