Guides pratiques

4 guides étape par étape pour mettre en place les protections essentielles.

🔑 Guide 1 — Installer un gestionnaire de mots de passe

Pourquoi : Avoir un mot de passe fort et unique par site est impossible à mémoriser sans aide. Un gestionnaire génère, stocke et remplit automatiquement vos mots de passe.

Choisir son gestionnaire (gratuit recommandé)

  • Bitwarden (recommandé) — open source, gratuit, multi-appareils. Disponible sur iOS, Android, Windows, Mac, extensions navigateur.
  • 1Password — excellent mais payant (~3 $/mois)
  • Dashlane — bonne interface, version gratuite limitée

Étapes d'installation (Bitwarden)

  1. Créez un compte sur bitwarden.com avec une adresse email dédiée
  2. Choisissez un mot de passe maître fort : phrase de 4 mots + chiffre + symbole (ex. "Cafe-Montreal-Velo-2025!")
  3. Installez l'extension navigateur ET l'application mobile
  4. Activez la MFA sur votre compte Bitwarden lui-même
  5. Importez vos mots de passe existants si vous les avez dans Chrome/Firefox (Paramètres → Mots de passe → Exporter)

Migration progressive (1 semaine)

Ne migrez pas tout en une fois. Commencez par vos 10 comptes les plus importants : email, banque, réseaux sociaux. Quand vous visitez un site, laissez Bitwarden proposer de sauvegarder.

→ Module complet : M04 — Mots de passe et MFA

🔐 Guide 2 — Activer la MFA (authentification à deux facteurs)

Pourquoi : La MFA rend votre compte inaccessible même si votre mot de passe est volé. C'est la mesure de sécurité avec le meilleur rapport effort/protection.

Priorité des comptes (dans l'ordre)

  1. Email principal — donne accès à tout le reste via les réinitialisations
  2. Comptes bancaires et Desjardins
  3. Réseaux sociaux (Facebook, LinkedIn, Instagram)
  4. Gestionnaire de mots de passe lui-même
  5. Autres comptes importants (Amazon, Apple, Google)

Types de MFA (du moins au plus sécurisé)

  • SMS — pratique mais vulnérable au SIM swapping. Mieux que rien.
  • Application TOTP (Authy, Google Authenticator) — recommandé. Code à 6 chiffres qui change toutes les 30 secondes.
  • Passkeys / Clés physiques (YubiKey) — le plus sécurisé pour les comptes critiques.

Installation Authy (recommandé pour TOTP)

  1. Installez Authy sur votre smartphone (iOS ou Android)
  2. Dans les paramètres de votre compte (ex. Gmail : Sécurité → Validation en 2 étapes)
  3. Choisissez "Application d'authentification"
  4. Scannez le QR code avec Authy
  5. Entrez le code à 6 chiffres affiché pour confirmer
  6. Sauvegardez les codes de récupération dans votre gestionnaire de mots de passe

→ Module complet : M04 — Mots de passe et MFA

💾 Guide 3 — Configurer des sauvegardes selon la règle 3-2-1

La règle 3-2-1 : 3 copies des données, sur 2 types de supports différents, dont 1 hors site (cloud ou autre lieu physique).

Configuration pour particuliers (gratuit)

  1. Production (copie 1) : vos fichiers sur votre ordinateur
  2. Disque externe (copie 2, support 1) : disque USB branché uniquement pendant la sauvegarde. Windows : Sauvegarde Windows. Mac : Time Machine.
  3. Cloud (copie 3, support 2, hors site) : OneDrive (5 Go gratuit), Google Drive (15 Go), ou Backblaze (60 Go/an, ~7 $)

Automatisation sous Windows

Panneau de configuration → Sauvegarde et restauration → Configurer la sauvegarde. Choisissez votre disque externe. Planifiez une sauvegarde hebdomadaire ou mensuelle. Débranchez le disque après la sauvegarde (protection ransomware).

Automatisation sous Mac (Time Machine)

Préférences Système → Time Machine → Sélectionner la destination. Branchez le disque régulièrement — Time Machine sauvegarde automatiquement. Activez aussi iCloud pour une 2e copie hors site.

⚠️ Test obligatoire : Une sauvegarde non testée peut être inutile. Testez la restauration d'un fichier au moins une fois par trimestre. Sauvegardez ET vérifiez.

→ Module complet : M10 — Données sensibles

🎣 Guide 4 — Que faire si vous avez cliqué sur un lien de phishing

Agir vite est critique. Voici la séquence exacte selon ce qui s'est passé.

Cas 1 : Vous avez seulement cliqué sur le lien (sans saisir d'infos)

  1. Fermez l'onglet immédiatement
  2. Lancez un scan antivirus complet
  3. Vérifiez si une page malveillante a tenté de télécharger quelque chose (vérifiez votre dossier Téléchargements)
  4. Surveillez votre appareil 24-48h pour un comportement anormal

Cas 2 : Vous avez saisi votre mot de passe

  1. Changez immédiatement le mot de passe du compte concerné (depuis un autre appareil si possible)
  2. Activez la MFA sur ce compte si pas encore fait
  3. Vérifiez l'activité récente du compte (emails envoyés, connexions inhabituelles)
  4. Si c'est votre email : vérifiez les règles de transfert automatique créées par l'attaquant
  5. Changez le mot de passe sur tous les sites où vous utilisez le même (raison de plus d'utiliser un gestionnaire)

Cas 3 : Vous avez saisi des informations bancaires

  1. Appelez immédiatement votre banque (numéro au dos de la carte)
  2. Demandez le blocage préventif de la carte
  3. Signalez au Centre antifraude du Canada : 1-888-495-8501
  4. Surveillez vos relevés de compte les 30 prochains jours

→ Modules : M03 — Phishing | M14 — Incidents