Cybersécurité
T’as un VPN actif, un gestionnaire de mots de passe installé et probablement un antivirus qui tourne en fond. Et tu te demandes quand même si c’est vraiment suffisant. Spoiler : cette intuition mérite d’être creusée, parce que 23,7 milliards de comptes ont été compromis dans le monde depuis 2004 — et la plupart des victimes avaient, elles aussi, “pris des précautions”.
À retenir
Pas de liste à cocher. Juste une question que tu peux te poser ce soir : si quelqu’un accède à ta boîte mail principale dans les cinq prochaines minutes, combien de tes services critiques peut-il compromettre par réinitialisation de mot de passe ? Si la réponse dépasse zéro, tu sais par où commencer.
La cybersécurité n’est pas une destination, c’est un ajustement permanent face à des menaces qui évoluent aussi vite que les outils censés les contrer. En 2026, les attaquants disposent de l’IA. Toi aussi — la question c’est laquelle des deux parties l’utilise mieux pour comprendre l’autre.
Antivirus & protection
Mots de passe & bonnes pratiques
VPN & confidentialité
Le VPN ne te protège pas de ce que tu crois
Je vais formuler une position qui va à contre-courant de 90% des articles tech : le VPN grand public est le produit le mieux marketé de l’industrie de la cybersécurité, et probablement l’outil le moins adapté au modèle de menace réel de la majorité des utilisateurs.
En 2021, j’audite une PME. Abonnement VPN premium depuis trois ans, renouvellement automatique, le directeur technique me le mentionne avec une fierté mesurée lors du premier entretien. Résultat de l’audit : 40 000 lignes de données clients exfiltrées via un webmail en HTTP. Le VPN tournait — sur le bon poste, à la bonne heure. Pas sur le serveur applicatif exposé. La couverture avait un trou de la taille d’un camion et personne ne l’avait jamais cartographié.
La leçon que j’en ai tirée, brutalement, c’est que le VPN répond à une question que la plupart des gens ne se posent jamais vraiment : contre quelle menace précise est-ce que je cherche à me protéger ? Un VPN chiffre le tunnel entre ton appareil et un serveur distant. Il ne protège pas tes sessions ouvertes, tes tokens d’authentification, tes credentials enregistrés dans Chrome, ni le fait que ton webmail tourne en clair sur un hébergeur mutualisé. Est-ce que ton modèle de menace justifie un VPN ? Parfois oui — notamment sur les réseaux publics ou pour contourner des restrictions géographiques. Mais comme “armure universelle”, c’est une promesse marketing, pas une réalité technique.
Ce que ça change dans la pratique : avant d’acheter un abonnement VPN, cartographie d’abord les services que tu utilises, les données qui y transitent, et les vecteurs d’entrée réels. Dans 70% des cas, l’argent serait mieux investi dans un gestionnaire de mots de passe sérieux et un MFA bien configuré.
Pourquoi ton "mot de passe fort" est une illusion confortable
Il y a une idée reçue que l’industrie entretient depuis vingt ans parce qu’elle vend des solutions dessus : la complexité du mot de passe serait le premier rempart. Majuscule, chiffre, caractère spécial — le fameux triptyque. C’est faux. Ou plutôt, c’est insuffisant à un point qui rend la complexité presque anecdotique.
Ce qui compte vraiment, c’est l’unicité. Un mot de passe de 8 caractères ultra-complexe réutilisé sur cinq services, c’est cinq portes ouvertes dès que l’un de ces services est compromis. Les infostealers — ces malwares spécialisés dans l’extraction de credentials stockés dans les navigateurs — ne craquent pas les mots de passe : ils les volent directement dans la mémoire de ton session active. La complexité ne change rien face à ça.
J’ai fait cette erreur moi-même, longtemps. Pendant des années, j’avais un “mot de passe fort” de référence, décliné avec de légères variations selon les sites. Une notation personnelle que je trouvais maline. En 2019, un de mes comptes annexes est compromis lors d’un leak d’une plateforme de e-commerce. En moins de 48 heures, deux autres comptes “à variante proche” sont tentés par credential stuffing. L’un d’eux était professionnel. La honte était proportionnelle à la certitude que j’avais eue d’être “suffisamment prudent”.
La solution n’est pas spectaculaire, c’est pour ça qu’elle est sous-estimée : un gestionnaire de mots de passe (Bitwarden est open source et audité, Proton Pass est solide, 1Password reste la référence corporate), une passphrase unique par service générée aléatoirement, et un MFA par application d’authentification — pas par SMS, qui reste vulnérable au SIM swapping. Cette combinaison couvre une part écrasante des vecteurs d’attaque courants.
L'authentification multifacteur : obligatoire, pas optionnelle
Le MFA en 2026 n’est plus une bonne pratique avancée réservée aux profils techniques — c’est le minimum vital. Cybermalveillance.gouv.fr le rappelle explicitement dans son rapport 2025 comme l’une des trois règles non-négociables. Et pourtant, une large majorité d’utilisateurs ne l’activent que sur leurs comptes bancaires, au mieux.
Ce qui change vraiment la donne : activer le MFA sur sa messagerie principale en priorité absolue. Pourquoi ? Parce que ta boîte mail est la clé maîtresse de toutes tes autres identités numériques. Si un attaquant y accède, il peut réinitialiser n’importe quel autre mot de passe. C’est le point d’entrée universel — et c’est souvent le moins protégé.
Le choix de l’application MFA importe aussi. Google Authenticator, Aegis (open source, Android), ou Raivo (iOS) sont des options solides. Évite les solutions liées à un numéro de téléphone pour les comptes critiques : le SIM swapping reste une attaque documentée et en augmentation. La bonne pratique : stocker tes codes de récupération dans ton gestionnaire de mots de passe, chiffrés, pas dans un fichier texte sur le bureau.
Ton périmètre n'est plus réseau. Il est identitaire.
Le rapport Google Cybersecurity Forecast 2026 est clair là-dessus : les attaquants en 2026 ciblent les identités, pas les réseaux. L’IA a accéléré cette transition — les attaques de phishing sont désormais personnalisées à grande échelle, les tentatives d’usurpation d’identité se sophistiquent, et les vecteurs d’entrée passent massivement par des credentials compromis plutôt que par des intrusions réseau.
Ce changement de paradigme a une implication pratique directe : penser sa sécurité en couches d’identité plutôt qu’en périmètre réseau. Ça signifie quoi concrètement ? Une adresse e-mail dédiée par catégorie de service (une pour les achats en ligne, une pour les services sensibles, une pour le travail), une revue régulière des applications tierces ayant accès à tes comptes Google ou Microsoft, et une veille active via des services comme Have I Been Pwned pour détecter si tes credentials apparaissent dans des leaks.
Les mises à jour automatiques entrent dans cette logique aussi : chaque appareil connecté au réseau — TV, imprimante, caméra IP, routeur — est un vecteur d’entrée potentiel si son firmware n’est pas à jour. En 2026, la surface d’attaque d’un foyer connecté moyen dépasse largement ce qu’un utilisateur imagine.
FAQ
Questions fréquentes
La cybersécurité regroupe l’ensemble des pratiques, outils et réflexes qui permettent de protéger les appareils, les comptes en ligne, les réseaux et les données personnelles contre les menaces numériques. Elle concerne aussi bien les particuliers que les entreprises.
Pour protéger vos comptes, utilisez des mots de passe uniques, activez l’authentification à deux facteurs, évitez de réutiliser le même mot de passe sur plusieurs sites et utilisez un gestionnaire de mots de passe fiable. Il est aussi conseillé de vérifier régulièrement les connexions suspectes et les alertes de sécurité.
Oui, un antivirus peut être utile, surtout sur Windows et Android. Il aide à détecter les malwares, bloquer certains fichiers dangereux et renforcer la protection globale. Cependant, il ne remplace pas les bonnes pratiques : mises à jour, vigilance face aux liens suspects, sauvegardes et mots de passe solides.
Un VPN chiffre votre connexion et masque votre adresse IP, ce qui peut améliorer la confidentialité, notamment sur les réseaux Wi-Fi publics. En revanche, il ne protège pas contre toutes les menaces. Il ne remplace pas un antivirus, un gestionnaire de mots de passe ou la vigilance face au phishing.
Une tentative de phishing contient souvent un message urgent, une demande d’information personnelle, un lien suspect, des fautes inhabituelles ou une adresse d’expéditeur proche d’une marque connue mais légèrement modifiée. En cas de doute, il vaut mieux ne pas cliquer et se connecter directement au site officiel.
Il faut changer immédiatement le mot de passe, déconnecter les appareils inconnus, activer l’authentification à deux facteurs, vérifier les informations de récupération et surveiller les activités suspectes. Si le compte concerne une banque, un service professionnel ou une messagerie principale, contactez rapidement le support concerné.
Pour sécuriser un smartphone, activez un code ou la biométrie, installez les mises à jour, évitez les applications inconnues, vérifiez les autorisations, activez la localisation en cas de perte et utilisez une sauvegarde automatique. Il est aussi recommandé d’activer la double authentification sur les comptes importants.
Utilisez un mot de passe Wi-Fi robuste, activez le chiffrement WPA2 ou WPA3, changez le mot de passe administrateur de la box, désactivez le WPS si possible et gardez votre routeur à jour. Un réseau invité peut aussi être utile pour les objets connectés ou les visiteurs.