20 conseils pour garantir un travail à distance sécurisé

Comme près de 35 % des Français·es (chiffres de 2023), vous profitez des avantages du télétravail, que ce soit de manière régulière ou occasionnelle. Flexibilité, gain de temps, meilleur équilibre vie pro-vie perso… Le télétravail a tout pour plaire. Mais il s’accompagne aussi de risques réels pour votre sécurité informatique.

Et vous avez raison de vous en inquiéter. En 2021, près de 47 % des télétravailleurs ont été victimes ou ciblés par des tentatives de phishing. Une simple connexion à un Wi-Fi non sécurisé ou un clic sur un lien frauduleux peuvent suffire à compromettre vos données personnelles ou professionnelles.

Heureusement, il existe des moyens simples et efficaces pour réduire ces risques. Voici une liste complète de conseils et bons gestes à adopter pour garantir la sécurité de vos sessions de travail à distance, protéger vos informations sensibles et travailler en toute sérénité.

Les principaux risques du télétravail

L’adoption massive et précipitée du télétravail par les salariés et les entreprises suite à la crise du COVID-19 fut une aubaine pour les hackers et autres cybercriminel·les. Ils profitent aujourd’hui des nombreuses failles informatiques créées par les employés qui, utilisant parfois leurs outils personnels pour le travail, ne sont pas suffisamment formés et préparés aux risques de cybersécurité.

1. Réseaux non sécurisés : attaque man-in-the-middle

Une attaque « man-in-the-middle » (MITM) survient lorsqu’un·e cybercriminel·le intercepte la communication entre deux parties, généralement un utilisateur et un serveur, en s’insérant de manière invisible dans la transmission des données.

Ce type d’attaque est particulièrement fréquent sur les Wi-Fi publics non sécurisés, où les communications ne sont pas sécurisées par un chiffrement. Les conséquences possibles sont le vol de données sensibles (identifiants de connexion, mots de passe, données bancaires, documents confidentiels), les injections de logiciels malveillants, virus et ransomwares dans les données échangées, ou encore la compromission de comptes personnels ou professionnels.

Il faudra vous méfier dans les endroits suivants :

• cafés avec Wi-Fi gratuit
• aéroports où des réseaux Wi-Fi publics sont souvent utilisés en transit
• hôtels qui offrent des connexions Wi-Fi partagées avec de nombreux utilisateurs
• espaces de coworking si les réseaux ne sont pas correctement protégés

Par exemple, dans un café, un·e pirate peut créer un réseau Wi-Fi factice (souvent nommé de manière similaire à celui du lieu) pour inciter les utilisateurs à s’y connecter. Une fois connecté·e, toutes vos données transitant sur ce réseau deviennent accessibles au cybercriminel.

2. Hameçonnage (phishing)

L’hameçonnage, ou phishing, est une technique frauduleuse utilisée par des cybercriminel·les pour tromper les utilisateurs en les incitant à fournir des informations sensibles, telles que des identifiants de connexion, des numéros de carte bancaire ou des données personnelles.

Les tentatives de phishing sont fréquentes dans le cadre du télétravail, car les communications à distance augmentent les risques. Cela se fait généralement via des e-mails, des SMS ou des messages instantanés qui semblent provenir de sources légitimes et connues (banques, entreprises, services, livreurs ou collègues). Il s’agit souvent d’usurpations d’identité, avec des pirates qui vont chercher les informations sur les réseaux sociaux, ou en utilisant des outils de scrapping sur Linkedin. Souvent, on les reconnaît aux fautes et incohérences dans l’adresse de l’expéditeur (ex. : security@microsoft-teams-protection.com).

Quelques exemples classiques :

• E-mail frauduleux d’un « responsable » : Vous recevez un e-mail urgent, apparemment de votre manager, vous demandant de vous connecter à un nouveau portail de l’entreprise via un lien. Ce lien mène à un site frauduleux conçu pour voler vos identifiants.
• Message d’un service connu : Un e-mail prétend provenir de Microsoft Teams, affirmant que votre compte est sur le point d’expirer. En cliquant sur le lien, vous êtes redirigé·e vers un site factice qui collecte vos informations.
• Faux SMS de livraison : Un message informe d’un colis en attente et demande un paiement symbolique pour la livraison. En réalité, ce paiement sert à collecter vos informations bancaires.
• Demande de changement de mot de passe…

Objet : « ⚠️ URGENT : Vérifiez vos identifiants Microsoft Teams »

Bonjour,

Votre compte Microsoft Teams nécessite une vérification immédiate en raison d’un accès suspect détecté. Si aucune action n’est prise dans les 24 heures, votre compte sera suspendu.

Cliquez sur le lien ci-dessous pour confirmer vos informations et sécuriser votre compte :

[Vérifier mon compte] (lien factice).

Merci pour votre réactivité,

L’équipe de sécurité Microsoft Teams

3. Rançongiciels (ransomware)

Les rançongiciels, ou ransomwares, sont des logiciels malveillants qui chiffrent les fichiers d’un appareil ou d’un réseau, les rendant inaccessibles à leurs propriétaires. Les cybercriminels exigent souvent une rançon pour fournir une clé de déchiffrement, souvent en cryptomonnaie, rendant les paiements difficiles à tracer.

Par exemple, vous cliquez sur un e-mail contenant une pièce jointe prétendant être un rapport important de l’entreprise. En l’ouvrant, un ransomware se déploie discrètement sur votre ordinateur, chiffrant non seulement les fichiers locaux, mais aussi ceux des dossiers partagés sur le cloud professionnel. Le message suivant apparaît :

« Vos fichiers ont été chiffrés. Payez 5 000 € en Bitcoin dans les 48 heures pour les récupérer. »

4. Cyber-espionnage (spyware)

Le cyber-espionnage, souvent orchestré via des logiciels espions (spyware), consiste à surveiller les activités d’un utilisateur à son insu. Ces logiciels s’installent discrètement sur un appareil pour collecter des données sensibles, telles que les frappes clavier, les mots de passe, les historiques de navigation ou encore les conversations. Les spywares peuvent être intégrés dans des programmes gratuits ou téléchargés via des liens malveillants.

Par exemple, vous téléchargez une application gratuite censée améliorer votre productivité. Cette application contient un spyware qui enregistre toutes vos frappes clavier. Cela permet aux pirates d’obtenir vos identifiants de connexion à des outils collaboratifs, ouvrant ainsi une porte vers le réseau de l’entreprise. Un mois plus tard, des données stratégiques de l’entreprise sont mises en vente sur le dark web.

5. Faux ordres de virement

Les faux ordres de virement, ou fraude au président, sont des attaques visant à convaincre un·e employé·e, souvent dans le service financier, de transférer de l’argent vers un compte contrôlé par des cybercriminel·les. Ces attaques s’appuient sur une usurpation d’identité numérique crédible, comme celle d’un·e supérieur·e hiérarchique ou d’un fournisseur légitime.

Un comptable en télétravail reçoit un e-mail semblant provenir de son directeur financier :

Objet : Instruction confidentielle – Paiement urgent

Bonjour [Prénom],

Nous sommes en pleine négociation d’un contrat stratégique avec [Nom du fournisseur]. Je te demande de virer 50 000 € sur leur compte pour valider l’accord avant la fin de la journée.

Voici leurs coordonnées bancaires :

IBAN : FR76 XXXX XXXX XXXX XXXX

Agis vite et garde cela confidentiel. Je t’expliquerai les détails plus tard.

Merci pour ton efficacité !

[Signature falsifiée du directeur financier]

En réalité, cet e-mail a été envoyé par un·e cybercriminel·le ayant usurpé l’identité d’un·e responsable grâce à des informations collectées sur les réseaux sociaux ou des e-mails piratés.

6. Attaques DDoS ciblées

Une attaque DDoS (Distributed Denial of Service) consiste à submerger un système, un serveur ou une plateforme en ligne par un très grand nombre de requêtes simultanées, générées par un réseau d’appareils compromis (botnets). Le but est de rendre les services indisponibles, soit temporairement, soit de façon prolongée. En général, cela ne vise pas les télétravailleurs directement, mais vous pouvez être affecté·e du fait que les outils de votre entreprise sont inaccessibles.

7. IoT domestiques : prochaine cible des hackers ?

Les objets connectés (IoT – Internet of Things) sont constitués des équipements domestiques intelligents comme les caméras de surveillance, les assistants vocaux, les thermostats, les robots de cuisine, les imprimantes, la domotique ou encore votre montre connectée. Ces appareils, souvent peu sécurisés, peuvent être exploités par des cybercriminel·les pour accéder à votre réseau domestique. Une fois le réseau compromis, ils peuvent s’introduire dans les appareils utilisés pour le travail. L’État recommande vivement de se pencher sur la question, car les objets connectés sont encore peu protégés…

Par exemple, vous utilisez une imprimante connectée à votre réseau Wi-Fi domestique. L’imprimante n’a pas été mise à jour depuis son achat et présente une faille de sécurité connue. Un·e cybercriminel·le s’introduit dans le réseau via cette imprimante, accède à votre ordinateur professionnel et télécharge des fichiers confidentiels de l’entreprise. Pire, il installe un logiciel espion pour surveiller les activités futures.

Salarié·es : 20 bons gestes pour sécuriser le télétravail

1. Évaluer votre profil de risque cyber

Il s’agit plutôt d’une recommandation pour les entreprises, mais en tant que salarié·e, vous dépendez grandement des évaluations réalisées par votre organisation. Vous pouvez toutefois faire des recommandations auprès de votre hiérarchie si aucun plan ou action n’a été mis en place. L’évaluation du profil de risque cyber consiste à identifier les points faibles de l’environnement de travail numérique.

2. Mettre à jour logiciels, système d’exploitation, pare-feu et antivirus

Avec la mise à jour régulière de vos équipements numériques, vous assurez déjà une solide défense contre les cyberattaques. Les éditeurs corrigent fréquemment des vulnérabilités susceptibles d’être exploitées par des hackers. Ne pas effectuer ces mises à jour revient à laisser votre porte d’entrée numérique grande ouverte.

• Activez les mises à jour automatiques : sur votre ordinateur, votre smartphone et/ou votre tablette.
• Vérifiez manuellement vos programmes critiques : antivirus activé et à jour, pare-feu.
• Faites le point sur vos logiciels : supprimez les programmes que vous n’utilisez plus, ils peuvent comporter des failles.

 3. Adopter une authentification multifactorielle (MFA)

L’authentification multifactorielle (MFA) ajoute une couche de sécurité supplémentaire à vos comptes en demandant une vérification supplémentaire après votre mot de passe. Cela rend beaucoup plus difficile l’accès à vos données pour un cybercriminel, même s’il connaît vos mots de passe. Même s’ils sont compromis, la MFA empêche les accès non autorisés. Les hackers auraient besoin d’avoir accès à votre appareil ou à votre code temporaire pour franchir cette barrière, ce qui les dissuade dans la majorité des cas.

• Activez l’authentification MFA sur vos comptes professionnels : Connectez-vous à vos applications principales (messagerie, outils de collaboration comme Teams, plateformes d’entreprise) et rendez-vous dans les paramètres de sécurité. Recherchez l’option « Authentification en deux étapes » ou « Authentification multifactorielle » et activez-la.
• Choisissez une méthode de vérification sécurisée : application d’authentification (Google Authenticator, Microsoft Authenticator), clé de sécurité physique (Yubikey) ou code envoyé par SMS ou e-mail.
• Enregistrez un moyen de secours : Prévoyez une méthode de récupération, comme une adresse e-mail secondaire ou un numéro de téléphone, pour ne pas perdre l’accès en cas de problème.

4. Utiliser un VPN

Le réseau privé virtuel sécurise vos connexions Internet lorsque vous travaillez à domicile ou à distance. Il crée un tunnel crypté entre votre appareil et le serveur distant, rendant vos données invisibles aux hackers et aux curieux. Il masque votre adresse IP, protège vos données des attaques man-in-the-middle et empêche les tiers de surveiller vos activités en ligne. Cela garantit une connexion sécurisée, même sur des réseaux Wi-Fi non sécurisés.

• Choisissez un VPN fiable : Évitez les solutions gratuites, privilégiez des marques réputées comme NordVPN, ExpressVPN ou ProtonVPN. Si votre entreprise fournit un VPN, utilisez-le.
• Installez et configurez votre réseau privé virtuel : Téléchargez l’application sur tous vos équipements. Connectez-vous avec vos identifiants et sélectionnez un serveur proche de votre localisation géographique pour minimiser les ralentissements.
• Utilisez-le à chaque connexion : Activez-le systématiquement lorsque vous travaillez sur des réseaux publics (café, bibliothèque, coworking) ou même sur votre propre Wi-Fi domestique.
• Automatisez l’utilisation : Configurez le réseau privé virtuel pour qu’il se lance automatiquement au démarrage de l’appareil.

5. Limiter l’utilisation de périphériques externes

Les périphériques externes, tels que les clés USB, disques durs et autres appareils connectables, peuvent représenter une porte d’entrée pour les virus, malwares ou vols de données. Ils peuvent contenir des logiciels malveillants qui s’exécutent automatiquement dès qu’ils sont branchés, compromettant vos données et, potentiellement, le réseau de votre entreprise.

• Évaluez la nécessité d’utiliser des périphériques : privilégiez le partage de fichiers via des services cloud sécurisés (OneDrive, Google Drive) plutôt qu’une clé USB.
• N’utilisez que des périphériques de confiance : bannissez les clés USB ou disques durs provenant de sources inconnues ou non sécurisées. Si vous devez absolument utiliser un périphérique, scannez-le avec un antivirus avant de l’ouvrir.
• Activez les restrictions sur votre appareil : configurez votre ordinateur pour limiter automatiquement l’exécution des programmes sur les périphériques externes (autorun). Cette option se trouve dans les paramètres de sécurité ou de confidentialité.
• Encouragez les solutions sécurisées : Si votre entreprise propose des outils de transfert sécurisés, privilégiez leur usage. Les solutions comme Sharepoint ou Microsoft Teams offrent des alternatives sûres pour partager des données.

6. Signaler immédiatement les incidents

Réagir rapidement en cas d’incident de sécurité fait pour beaucoup dans la limitation des dommages. Chaque minute compte après un incident. En signalant rapidement une tentative de phishing, un appareil compromis ou un comportement suspect sur vos comptes, l’équipe de sécurité peut réagir avant que l’incident ne prenne de l’ampleur.

• Reconnaître un incident de sécurité : e-mail suspect contenant un lien ou une pièce jointe douteuse, activité inhabituelle détectée, connexion depuis un endroit inattendu, périphérique infecté, téléchargement d’un fichier potentiellement malveillant.
• Alertez immédiatement votre entreprise : contactez le service informatique ou le responsable sécurité de votre entreprise. Décrivez précisément ce qui s’est passé : nature de l’incident, heure, appareil utilisé, éventuelles actions entreprises.
• Ne tentez pas de régler le problème seul·e : Évitez de cliquer sur des liens suspects ou de poursuivre l’utilisation d’un appareil compromis avant d’avoir reçu des consignes.
• Suivez les instructions des équipes IT : elles peuvent vous demander de changer vos mots de passe, de mettre vos appareils hors ligne ou de restaurer un système à partir d’une sauvegarde.

7. Suivre les instructions de l’entreprise

Les politiques de cybersécurité d’une entreprise sont conçues pour prévenir les attaques et limiter les impacts en cas d’incident. Parfois, elles sont assez rigides, mais il y a des raisons à cela (ex. : entreprise au profil de risque cyber élevé). En les respectant, vous contribuez largement à la défense collective de votre organisation et vous montrez que vous êtes conscient·e et responsable de la sécurité des données. Après tout, si votre entreprise subit des dommages, votre poste sera aussi possiblement impacté.

• Prenez connaissance des politiques internes en matière de cybersécurité : formations, documents et guides fournis par votre employeur·e sur les bonnes pratiques numériques.
• Appliquez systématiquement les règles : Utilisez les outils recommandés par l’entreprise un VPN d’entreprise, une solution de messagerie sécurisée…).
• Respectez les procédures pour accéder aux données sensibles : usage obligatoire de l’authentification multifactorielle.
• Posez des questions en cas de doute : Si une consigne n’est pas claire ou semble difficile à mettre en œuvre, demandez des précisions à votre manager ou au service informatique.
• Ne dérogez pas aux consignes pour des raisons de confort : Ex. éviter de contourner des systèmes de sécurité (comme désactiver un pare-feu) même si cela ralentit légèrement votre travail.

 8. Utiliser le matériel fourni par l’entreprise

Le matériel fourni par l’entreprise (ordinateurs, téléphones, tablettes, etc.) est configuré avec des paramètres de sécurité adaptés pour protéger les données professionnelles. Il est équipé de systèmes de sécurité spécifiques (pare-feu, outils de surveillance, etc.) qui ne sont pas toujours présents sur les appareils personnels. En l’utilisant exclusivement pour le travail, vous minimisez considérablement les risques de failles ou d’attaques.

• Évitez d’utiliser votre ordinateur ou téléphone personnel pour accéder aux outils de l’entreprise, sauf autorisation explicite.
• Suivez les instructions du service informatique pour activer les outils de sécurité (antivirus, VPN, authentification multifactorielle). Si l’appareil n’est pas prêt à l’emploi, demandez de l’aide pour le paramétrer.
• Ne prêtez pas votre matériel professionnel à des tiers (amis, famille).
• Informez immédiatement en cas de perte ou de vol afin que l’appareil puisse être désactivé à distance et les données sécurisées.

9. Se connecter à un réseau Wi-Fi sécurisé

Le réseau Wi-Fi est la porte d’entrée principale pour les cyberattaques lorsque vous travaillez à distance. Un réseau non sécurisé ou public expose vos données à des intrusions et attaques de type man-in-the-middle.

• Utilisez uniquement des Wi-Fi sécurisés : Assurez-vous que votre réseau domestique est protégé par un mot de passe robuste (au moins 12 caractères, incluant lettres, chiffres et symboles. Vérifiez que votre routeur utilise un protocole de sécurité récent, comme WPA3 (ou à défaut WPA2).
• Évitez les réseaux publics : Si vous devez utiliser un réseau public (café, coworking), connectez-vous exclusivement via un VPN pour chiffrer vos données. Désactivez le partage réseau et configurez votre appareil en mode « réseau public » dans les paramètres.
• Changez les mots de passe par défaut de votre routeur : Les identifiants d’usine des routeurs (admin/admin ou similaire) sont souvent connus des hackers. Remplacez-les par un mot de passe unique.
• Contrôlez les appareils connectés à votre réseau : Accédez aux paramètres de votre routeur pour vérifier les appareils connectés. Déconnectez immédiatement tout appareil inconnu.

10. Évitez les connexions automatiques aux Wi-Fi publics

Les connexions automatiques aux Wi-Fi publics peuvent vous exposer à des attaques, car ces réseaux sont souvent non sécurisés et facilement infiltrés par des hackers. Des hackers peuvent par exemple tenter de simuler un réseau légitime pour intercepter vos données (attaque man-in-the-middle).

• Désactivez la connexion automatique :
• Sur Windows : Accédez aux paramètres Wi-Fi, sélectionnez les réseaux publics auxquels vous êtes déjà connecté et décochez « Se connecter automatiquement ».
• Sur macOS : Allez dans les préférences réseau, sélectionnez le réseau concerné, puis décochez l’option de connexion automatique.
• Sur Android/iOS : Ouvrez les paramètres Wi-Fi, choisissez le réseau et désactivez la connexion automatique.

• Supprimez les réseaux inutiles : Faites le tri dans ceux enregistrés sur votre appareil et supprimez ceux qui ne sont pas nécessaires, surtout les Wi-Fi publics.
• Activez une alerte pour les nouvelles connexions : Configurez votre appareil pour qu’il demande toujours une confirmation avant de se connecter à un réseau inconnu.
• Si vous devez vous connecter à un réseau public, utilisez un VPN pour protéger vos données.

11. Opter pour des mots de passe uniques

On compte aujourd’hui des millions de mots de passe volés disponibles en ligne sur le dark web. Utiliser un mot de passe faible ou réutiliser les mêmes identifiants sur plusieurs plateformes, c’est courir un très gros risque pour vos données.

• Combinez au moins 12 caractères incluant majuscules, minuscules, chiffres et caractères spéciaux. (Ex. : T!m3&ProT3c7$ion)
• Évitez les informations personnelles évidentes : N’utilisez jamais votre prénom, votre date de naissance ou des mots courants comme « password123 » ou « azerty ».
• Utilisez un gestionnaire de mots de passe comme LastPass, Dashlane, ou Bitwarden. Ces applications génèrent et stockent des mots de passe uniques de manière sécurisée.
• Activez des rappels pour changer vos mots de passe régulièrement : Renouvelez-les tous les 6 mois, surtout sur vos comptes professionnels ou sensibles.
• N’utilisez jamais le même mot de passe pour plusieurs comptes : Même si cela semble pratique, un mot de passe compromis peut donner accès à tous vos comptes.

Pour en savoir plus sur les mots de passe et les bons gestes à avoir en cas de compromission, découvrez notre article complet.

12. Désactivez les options de partage réseau inutiles

Les options de partage réseau permettent à d’autres appareils de se connecter à vos fichiers ou imprimantes, mais elles peuvent aussi ouvrir des portes aux cybercriminels si elles ne sont pas correctement configurées.

• Si vous n’utilisez pas le Bluetooth ou le Wi-Fi Direct, désactivez le partage pour éviter les connexions non autorisées.
• Utilisez des groupes privés pour les réseaux professionnels : Si vous avez besoin de partager des fichiers, configurez un groupe privé sécurisé pour limiter l’accès aux seules personnes autorisées.
• Supprimez les autorisations obsolètes : Nettoyez les listes d’autorisations dans vos paramètres de partage pour retirer les utilisateurs ou appareils qui n’ont plus besoin d’accès.

13. Méfiez-vous des messages (e-mail, SMS, chat…) ou appels téléphoniques d’origine inconnue ou inattendus

Les attaques de phishing sont la cause principale des fuites de données en entreprise. Les cybercriminel·les utilisent fréquemment des messages frauduleux de type phishing ou des appels téléphoniques pour inciter les utilisateurs à divulguer des informations sensibles ou à installer des malwares.

• Vérifiez l’expéditeur : Ne faites jamais confiance à une adresse e-mail ou un numéro inconnu sans vérification.
• Méfiez-vous des adresses ou numéros qui ressemblent à ceux de votre entreprise mais présentent une anomalie (ex. : support@entreprlse.com au lieu de support@entreprise.com).
• Analysez le contenu : Faites attention aux erreurs grammaticales ou orthographiques, souvent présentes dans les messages frauduleux (bien que grâce à ChatGPT, il est facile de ne plus faire de fautes…).
• Soyez vigilant·e face aux messages qui créent un sentiment d’urgence, comme « Votre compte sera suspendu si vous ne répondez pas immédiatement ».
• Ne cliquez pas sur les liens suspects : Passez votre souris sur les liens (sans cliquer dessus) pour voir l’URL réelle. Si elle semble étrange ou incohérente, ne l’ouvrez pas. Si le message semble provenir d’un service officiel, connectez-vous directement sur le site via votre navigateur, sans passer par le lien.
• Ne partagez jamais vos informations sensibles : Ne communiquez jamais vos mots de passe, numéros bancaires ou autres données personnelles via un e-mail ou un appel non sollicité.
• Signalez les tentatives suspectes : Si vous recevez un message ou un appel suspect, signalez-le immédiatement au service informatique ou à votre supérieur·e.

14. Matériel personnel (BYOD) ? Apprenez à le sécuriser

Le BYOD ou Bring your own device (Apportez votre équipement personnel de communication) consiste à utiliser ses outils personnels (ordinateur, mobile…) à des fins professionnelles. Ces appareils n’étant pas toujours configurés selon les standards de sécurité, ils peuvent représenter une faille. Les appareils personnels sont souvent moins protégés que ceux fournis par les entreprises, ce qui en fait une cible idéale pour les cybercriminel·les.

• Créez une séparation entre usages personnels et professionnels : Définissez des comptes d’utilisateur distincts pour vos activités personnelles et professionnelles. Évitez de télécharger des logiciels ou extensions non approuvés par votre entreprise.
• Installez un antivirus de qualité : Téléchargez un antivirus réputé (Bitdefender, Kaspersky, Avast, etc.) et assurez-vous qu’il est activé et à jour. Configurez des analyses automatiques pour détecter les menaces potentielles.
• Mettez à jour tous vos outils : Assurez-vous que votre système d’exploitation et vos logiciels (navigateur, outils de travail) sont à jour. Activez les mises à jour automatiques.
• Protégez l’accès à votre appareil : Utilisez un mot de passe robuste pour verrouiller votre ordinateur et/ou votre téléphone. Activez les fonctionnalités de verrouillage automatique après quelques minutes d’inactivité.
• Sauvegardez régulièrement vos données : Configurez des sauvegardes automatiques et sécurisées sur un cloud chiffré ou un disque dur externe pour protéger vos fichiers en cas de problème.

15. Téléchargez vos applications depuis les sites officiels des éditeurs

Télécharger des applications depuis des sources non officielles peut exposer votre appareil à des malwares, spywares ou autres programmes malveillants cachés dans le code des applications pirates. En vous limitant aux sites officiels des éditeurs, aux plateformes certifiées et aux notations, vous réduisez ces risques.

• Identifiez les sources officielles :
• Pour les ordinateurs : Téléchargez vos logiciels uniquement depuis le site officiel de l’éditeur (par exemple, microsoft.com pour les outils Microsoft).
• Pour les smartphones : Utilisez les stores d’applications certifiés (App Store pour iOS, Google Play Store pour Android ou des alternatives certifiées comme F-Droid pour les logiciels libres).

• Vérifiez les certifications : Assurez-vous que le site est sécurisé (icône de cadenas dans la barre d’adresse et URL commençant par « https:// »). Regardez les avis ou notes des applications sur les stores officiels pour vous assurer de leur légitimité.
• Évitez les sites tiers : Les plateformes proposant des programmes gratuits ou piratés sont souvent des nids à malwares. Préférez les versions d’essai ou gratuites proposées directement par les éditeurs officiels.
• Analysez les fichiers téléchargés : Avant d’installer un fichier, scannez-le avec un antivirus pour détecter toute anomalie.
• Configurez des restrictions : Activez une option qui bloque l’installation d’applications provenant de sources inconnues. Cette option est disponible sur la plupart des systèmes d’exploitation.

16. Séparez bien vos usages personnels de vos usages professionnels sur le web

Lorsque vous utilisez les mêmes appareils ou comptes pour vos activités personnelles et professionnelles, vous augmentez les risques de compromission de vos données sensibles. Vous devriez absolument opter pour une séparation claire entre ces deux usages.

• Utilisez des navigateurs ou profils distincts : Créez un profil de navigateur dédié à votre activité professionnelle, distinct de celui utilisé pour vos recherches personnelles. Cela permet de segmenter vos données (historique, cookies, mots de passe enregistrés).
• Évitez les connexions croisées : Ne connectez pas vos comptes personnels (e-mails, réseaux sociaux) sur des appareils ou navigateurs utilisés pour le travail. Désactivez la synchronisation automatique des fichiers ou photos entre vos comptes professionnels et personnels.
• Stockez les données dans des espaces séparés : Utilisez des solutions cloud distinctes pour le travail (OneDrive, SharePoint) et vos fichiers personnels (Google Drive, Dropbox, Nextcloud, Tresorit).
• Configurez des utilisateurs différents sur votre ordinateur : Si vous utilisez un ordinateur personnel pour le travail, créez un compte utilisateur spécifique pour vos tâches professionnelles. Cela limite les interactions entre les deux environnements.
• Installez uniquement les logiciels nécessaires : Évitez de télécharger des applications personnelles sur les appareils professionnels, et vice versa, pour réduire les vecteurs d’attaque.

17. Vérifiez la fiabilité et la réputation des sites que vous visitez

Naviguer sur des sites web non sécurisés ou douteux peut exposer vos appareils à des malwares, du phishing ou d’autres menaces.

• Vérifiez le protocole de sécurité : Assurez-vous que l’URL commence par https://, ce qui indique que le site est sécurisé, et que le nom de domaine est cohérent avec celui du site attendu. Recherchez le symbole de cadenas à gauche de l’URL dans la barre d’adresse.
• Recherchez des indices de fiabilité : Lisez les mentions légales ou les informations de contact du site. Les sites frauduleux n’affichent souvent pas ces détails. Consultez les avis ou notes en ligne pour évaluer la réputation du site.
• Faites attention aux redirections : Évitez les liens qui vous redirigent vers des pages inattendues ou qui semblent ne pas correspondre à leur description.
• Utilisez des outils de vérification : Installez une extension de navigateur qui évalue la sécurité des sites (ex. : McAfee WebAdvisor, Norton Safe Web). Vérifiez les sites suspects avec des outils comme VirusTotal, qui scanne les URL à la recherche de menaces.
• Évitez de saisir vos données sensibles : Ne fournissez jamais de mots de passe, numéros de carte bancaire ou autres informations personnelles sur des sites non fiables.

18. Faire des sauvegardes régulières

Une sauvegarde fiable est votre filet de sécurité en cas de perte de données, de cyberattaque, de panne matérielle ou de suppression accidentelle.

• Identifiez les données à sauvegarder : Déterminez les fichiers les plus importants pour votre travail : documents professionnels, bases de données, e-mails, etc. Incluez également vos paramètres ou configurations essentielles si cela est pertinent.
• Utilisez des outils de sauvegarde automatisés : Configurez une sauvegarde automatique sur un espace cloud sécurisé, comme OneDrive, Google Drive, Dropbox ou Tresorit. Pour des sauvegardes locales, utilisez un disque dur externe ou une clé USB, et pensez à les déconnecter après la sauvegarde pour éviter les risques liés aux ransomwares.
• Planifiez des sauvegardes régulières : Configurez des sauvegardes automatiques au moins une fois par semaine pour garantir une protection constante. Si vous travaillez sur des projets critiques, sauvegardez quotidiennement.
• Chiffrez vos sauvegardes : Pour les données sensibles, utilisez des outils de chiffrement avant de les sauvegarder, particulièrement sur des disques externes ou des clouds publics.
• Testez vos sauvegardes : Vérifiez régulièrement que vous pouvez restaurer vos fichiers à partir de vos sauvegardes. Cela garantit leur bon fonctionnement en cas de besoin.

19. Verrouiller vos sessions

Un appareil laissé déverrouillé peut facilement être utilisé par une personne mal intentionnée pour accéder à des fichiers, envoyer des e-mails frauduleux ou voler des données. Que ce soit sur le lieu de travail, en coworking ou dans le train, ne laissez pas votre session ouverte, même le temps d’aller prendre un café ou de faire une pause.

• Utilisez les raccourcis pour verrouiller rapidement :
• Windows : Appuyez sur Windows + L pour verrouiller votre session.
• macOS : Appuyez sur Ctrl + Command + Q.
• Linux : Configurez un raccourci spécifique ou utilisez Ctrl + Alt + L (selon la distribution).

• Activez le verrouillage automatique des appareils.
• Protégez l’accès avec un mot de passe robuste : Configurez un mot de passe ou une méthode biométrique (empreinte digitale, reconnaissance faciale) pour déverrouiller votre session.
• Évitez de désactiver le verrouillage automatique : Même si cela peut sembler gênant, le verrouillage automatique est une barrière contre les accès accidentels ou malveillants.
• Verrouillez également vos outils numériques : Lorsque vous utilisez des applications en ligne, déconnectez-vous après chaque session, surtout sur des appareils partagés.

20. Éteignez les appareils inutilisés

Des appareils allumés en permanence sont plus vulnérables aux cyberattaques, surtout s’ils sont connectés à Internet. En les éteignant, vous réduisez leur exposition et économisez également de l’énergie, un bonus pour votre facture et l’environnement. Cela permet également de prolonger leur durée de vie. Pensez-y quand vous partez du bureau.

• Identifiez les appareils inutilisés : Faites une liste des appareils que vous n’utilisez pas activement pendant votre journée de télétravail : imprimantes, disques durs externes, ordinateurs secondaires, etc.
• Éteignez les appareils après usage : Une fois que vous avez terminé votre travail, éteignez complètement votre ordinateur, surtout si vous travaillez depuis un réseau non sécurisé.
• Configurez l’arrêt automatique : Activez les options d’économie d’énergie sur vos appareils pour qu’ils s’éteignent ou se mettent en veille après une période d’inactivité. Par exemple, configurez votre ordinateur pour qu’il se mette en veille après 15 minutes d’inactivité.
• Stockez les appareils inutilisés en sécurité : Rangez les appareils que vous n’utilisez pas fréquemment dans un endroit sécurisé, à l’abri des accès non autorisés.

Vous êtes employeur·e et vous vous inquiétez pour le télétravail ?

En 2021 déjà, 82 % des employeur·es se déclaraient inquiet·es concernant le télétravail et le travail à domicile. Dans près de 4 entreprises sur 5, le travail à distance demeure insuffisamment préparé en matière de cybersécurité, principalement pour des raisons de méconnaissance et de manque de formation. Il existe pourtant des formations intensives et courtes qui permettent de découvrir les gestes simples pour se prémunir des attaques.