Questions fréquentes

Quatre signaux principaux : 1) Urgence artificielle ("votre compte sera fermé dans 24h"). 2) Expéditeur inhabituel ou légèrement différent ("service@rbc-securite.com" au lieu de "@rbc.com"). 3) Lien qui pointe vers un domaine différent (survolez sans cliquer). 4) Demande d'information sensible (mot de passe, NAS). En doute ? Allez directement sur le site en tapant l'URL vous-même. Module M03 →

Agissez immédiatement : 1) Si vous avez saisi un mot de passe, changez-le depuis un autre appareil. 2) Activez la MFA sur le compte concerné. 3) Vérifiez l'activité récente du compte. 4) Si vous avez saisi des informations bancaires, appelez votre banque et le Centre antifraude du Canada (1-888-495-8501). 5) Lancez un scan antivirus. Guide complet →

Les vraies banques canadiennes envoient parfois des liens par email, mais elles ne vous demanderont jamais de saisir votre mot de passe complet via un email. La règle la plus sûre : n'accédez jamais à votre banque via un lien email. Utilisez toujours votre signet ou tapez l'URL directement. Si vous êtes en doute, appelez votre banque.

Au travail : signalez à votre équipe IT (bouton "Signaler le phishing" ou email prévu). Pour les arnaques générales : signalez au Centre antifraude du Canada (antifraudcentre-centreantifraude.ca) ou au CRTC pour le spam (fightspam.gc.ca). Pour Gmail/Outlook : utilisez le bouton "Signaler comme phishing" dans les options du message.

Oui — massivement. Microsoft rapporte que la MFA bloque 99,9 % des attaques automatisées sur les comptes. Même si votre mot de passe est volé dans une fuite de données, la MFA empêche l'accès. C'est la mesure de sécurité avec le meilleur rapport effort/protection, prendant moins de 5 minutes à activer. Module M04 →

Oui — beaucoup plus sécurisé que d'utiliser des mots de passe faibles ou identiques. Les bons gestionnaires (Bitwarden, 1Password) chiffrent votre coffre avec un chiffrement de bout en bout — personne d'autre que vous ne peut lire vos mots de passe. Le risque principal est votre mot de passe maître : choisissez-en un fort et activez la MFA sur le gestionnaire lui-même.

Non — cette recommandation est dépassée. Le NIST (2017) et la plupart des experts recommandent maintenant de NE PAS changer les mots de passe périodiquement sans raison. Un changement forcé conduit souvent à des mots de passe plus faibles. Changez votre mot de passe uniquement si : il a été exposé dans une fuite, vous pensez qu'il a été compromis, ou vous l'avez partagé accidentellement.

La plupart des gestionnaires (comme Bitwarden) offrent un code de récupération d'urgence — à sauvegarder en lieu sûr (coffre physique, chez un proche de confiance) dès l'installation. Sans ce code, l'accès peut être définitivement perdu — c'est le prix du chiffrement de bout en bout. C'est une raison supplémentaire de bien noter ce code lors de la configuration initiale.

Trois arguments : 1) Chiffres : le coût moyen d'une cyberattaque pour une PME canadienne est de 200 000 $. La formation coûte une fraction de ça. 2) Légal : la Loi 25 exige des mesures de protection. La formation documentée est une preuve de diligence raisonnable. 3) Assurance : beaucoup d'assureurs cyber exigent désormais une preuve de formation des employés. Parcours PME →

Processus de départ standard : 1) Révoquer immédiatement tous les accès (email, ERP, cloud, VPN) le jour du départ. 2) Changer tous les mots de passe partagés qu'il connaissait. 3) Récupérer les équipements (ordinateur, téléphone, badges). 4) Vérifier qu'il n'a pas transféré de données avant le départ. 5) Garder son accès email en lecture seule pendant 30 jours pour les transferts nécessaires. Le principe du moindre privilège (accès minimal nécessaire) réduit ce risque.

Oui — même simple. Un plan minimal inclut : qui contacter (IT, CCCS, assureur), comment isoler un appareil compromis, où sont les sauvegardes et comment les restaurer, qui communique avec les clients si une fuite se produit. Une page imprimée dans le bureau vaut mieux qu'un plan élaboré non lu. Module M14 →

Oui — la Loi 25 s'applique à toute organisation québécoise qui collecte des renseignements personnels, quelle que soit sa taille. Obligations minimales : désigner un responsable de la protection des renseignements personnels (peut être le propriétaire dans une TPE), documenter vos pratiques, et signaler les incidents présentant un risque sérieux à la CAI et aux personnes touchées.

Certaines oui — pas toutes. Les applications gratuites monétisent souvent via la publicité et le partage de données. Pour évaluer : lisez les permissions demandées (une lampe de poche qui demande accès à vos contacts est suspecte), consultez les paramètres de confidentialité, et cherchez la politique de confidentialité. Les règles générales : moins d'applications = moins d'exposition, et préférez les options payantes ou open source pour les outils sensibles.

Envoyez une demande écrite (email ou lettre) au responsable de la protection des renseignements personnels de l'organisation. Mentionnez : votre identité, les données dont vous demandez la suppression, et la raison (facultatif). L'entreprise doit répondre dans les 30 jours. Si elle refuse, signalez à la Commission d'accès à l'information du Québec (cai.gouv.qc.ca) ou au Commissariat fédéral (priv.gc.ca). Module M07 →

Non — un VPN chiffre votre connexion et masque votre IP de votre fournisseur internet et des sites visités, mais il ne vous rend pas anonyme. Le fournisseur VPN peut voir votre trafic. Votre comportement en ligne (comptes connectés, cookies) peut toujours vous identifier. Les VPN sont utiles pour protéger votre connexion sur Wi-Fi public et masquer votre IP, pas pour l'anonymat total. Module M08 →

Ces appareils enregistrent effectivement des données et peuvent présenter des risques. Mesures raisonnables : placez-les hors des zones privées (chambre), révisez régulièrement l'historique vocal dans les paramètres, activez le bouton "sourdine" quand vous ne les utilisez pas, et isolez-les sur un réseau Wi-Fi séparé de vos appareils professionnels. La commodité a un coût en vie privée — à vous de décider de l'équilibre.

Non — le FBI, la GRC et le Centre canadien pour la cybersécurité déconseillent tous le paiement. Raisons : 1) Payer finance le crime. 2) Environ 30 % des victimes qui paient ne récupèrent jamais leurs données. 3) Vous devenez une cible connue comme "payeur fiable". La vraie protection est préventive : des sauvegardes testées régulièrement. Contactez un expert en réponse aux incidents avant de décider quoi que ce soit. Module M14 →

Étapes : 1) Essayez d'abord la récupération normale (email de réinitialisation). 2) Si vous n'avez plus accès à l'email associé, utilisez les codes de récupération que vous aviez sauvegardés. 3) Si tout échoue, contactez le support de la plateforme avec preuve d'identité. 4) Une fois le compte récupéré : changez le mot de passe, activez la MFA, vérifiez les paramètres (règles de transfert, applications tierces connectées, email de récupération).

Appelez la police (ou signalez en ligne à la GRC via cybercrimes.gc.ca) dans les cas suivants : vol d'argent, fraude financière, extorsion, accès non autorisé à vos systèmes par un tiers, ou harcèlement et menaces en ligne. Pour les incidents sans crime évident (malware sans perte financière, spam), contactez le Centre canadien pour la cybersécurité (cyber.gc.ca). Pour les fraudes : Centre antifraude du Canada (1-888-495-8501).

Signes possibles : comportement lent inhabituel, programmes qui s'ouvrent seuls, activité disque intense au repos, connexions réseau inhabituelles, antivirus désactivé, fenêtres pop-up inhabituelles, factures ou transactions inconnues. Si vous suspectez une compromission : déconnectez du réseau, scannez avec un antivirus à jour, vérifiez les programmes démarrés automatiquement (msconfig/Task Manager), et contactez votre IT ou un professionnel si vous ne pouvez pas résoudre seul.