Quelles sont les bonnes pratiques de sécurité informatique à appliquer en 2025 ? La sécurité informatique repose sur des habitudes simples mais systématiques. En suivant ces bonnes pratiques, vous réduisez de 80% le risque d’incident de sécurité. Ce guide synthétise les recommandations de l’ANSSI adaptées aux TPE, PME et à leurs collaborateurs.
Pourquoi les bonnes pratiques de sécurité informatique sont-elles cruciales ?
85% des cyberattaques réussies exploitent des erreurs humaines ou des vulnérabilités connues non corrigées (Verizon DBIR 2024). Cela signifie que la grande majorité des incidents de sécurité sont évitables avec de bonnes pratiques simples. Voici les essentielles.
Bonnes pratiques pour les mots de passe et l’authentification
- Un mot de passe unique par service — si un service est compromis, les autres restent protégés
- Minimum 12 caractères (majuscules, chiffres, symboles) — idéalement généré par un gestionnaire
- Gestionnaire de mots de passe (Bitwarden gratuit, 1Password) — vous n’avez plus qu’un seul mot de passe maître à retenir
- 2FA/MFA activé sur tous les comptes critiques (email, Cloud, VPN, banque)
- Ne jamais partager un mot de passe — ni par email, ni par Teams, ni sur un Post-it
Bonnes pratiques pour les mises à jour et correctifs
- Activer les mises à jour automatiques sur les systèmes d’exploitation (Windows, macOS, Linux)
- Mettre à jour les applications régulièrement — particulièrement les navigateurs, les lecteurs PDF, les plugins
- Ne jamais ignorer les alertes de sécurité des éditeurs (patches critiques à appliquer sous 48h)
- Mettre à jour les firmwares des équipements réseau (routeurs, bornes WiFi, pare-feux)
Bonnes pratiques contre le phishing
- Vérifier l’expéditeur d’un email suspect : l’adresse réelle (pas juste le nom affiché)
- Ne jamais cliquer sur un lien suspect — passer la souris dessus pour voir l’URL réelle
- Ne jamais ouvrir une pièce jointe inattendue — même venant d’un contact connu (son compte peut être compromis)
- Méfiance des urgences : les emails créant une pression temporelle (« Votre compte sera bloqué dans 24h ») sont souvent du phishing
- Signaler immédiatement tout email suspect à votre équipe IT
Bonnes pratiques pour les sauvegardes
La règle 3-2-1 : 3 copies de vos données, sur 2 supports différents (disque local + Cloud), dont 1 hors site. Les sauvegardes doivent être :
- Automatisées (pas de sauvegarde manuelle oubliée)
- Chiffrées (pour protéger leur contenu)
- Testées régulièrement (une sauvegarde non testée est une sauvegarde qui peut échouer au pire moment)
- Isolées du réseau principal (pour résister à un ransomware)
Bonnes pratiques pour le télétravail et la mobilité
- Utiliser un VPN professionnel sur tout réseau WiFi non maîtrisé
- Ne jamais utiliser le WiFi d’un hôtel ou café sans VPN pour des tâches professionnelles
- Verrouiller son écran dès qu’on s’éloigne de son poste (Windows+L, Cmd+Ctrl+Q sur Mac)
- Chiffrer le disque dur de son laptop (BitLocker sous Windows, FileVault sur Mac) — protection en cas de vol
- Ne pas brancher de clés USB inconnues sur un poste professionnel
Bonnes pratiques pour les administrateurs réseau
- Implémenter un serveur Radius pour l’authentification réseau
- Segmenter le réseau en VLAN (invité, production, serveurs, IoT)
- Auditer les comptes administrateurs — supprimer les comptes inactifs
- Centraliser les logs et mettre en place des alertes sur les comportements anormaux
- Réaliser un audit réseau annuel
