Comment naviguer en sécurité sur Internet ?

Cyril Bras, directeur Cybersécurité de Whaller, vice-président de l’Institut national pour la cybersécurité et la résilience des territoires (IN.CRT), ancien auditeur de l’Institut des hautes études de défense nationale (IHEDN) et ingénieur du Conservatoire national des arts et métiers, nous propose 10 conseils et astuces pour naviguer en toute sécurité sur Internet — un socle qui reste pleinement d’actualité en 2026, enrichi ici des menaces et contre-mesures apparues ces dernières années.

Qu’est-ce que la cybersécurité ?

La cybersécurité est un ensemble de mesures qui visent à protéger l’information tout en garantissant sa disponibilité, son intégrité, sa confidentialité et sa traçabilité. Elle repose sur trois couches. La première est constituée du matériel : votre ordinateur, votre box Internet, les câbles, etc. La deuxième est celle des logiciels : le système d’exploitation, votre navigateur, vos applications. La troisième, appelée la couche sémantique, est la plus importante : c’est la zone d’interaction avec votre cerveau, c’est-à-dire ce que vous comprenez et interprétez. Les cyberattaques exploitent ces trois couches, et c’est souvent la couche sémantique qui est visée — via le phishing, les arnaques au président, le chantage, désormais aussi les deepfakes audio et vidéo générés par IA. Pour découvrir les termes techniques essentiels, consultez notre abécédaire de la cybersécurité.

Quelles sont les bonnes pratiques pour naviguer en sécurité sur Internet ?

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a la mission de protection des systèmes d’information publics français. Elle assure un service de veille, de détection, d’alerte et de réaction aux attaques informatiques, notamment sur les réseaux de l’État. Elle apporte son expertise et son assistance technique aux administrations comme aux entreprises. Ses « 10 commandements » pour naviguer en sécurité sur Internet permettent d’éviter la grande majorité des incidents de cybersécurité. Pour le grand public et les TPE-PME, la plateforme Cybermalveillance.gouv.fr complète utilement l’action de l’ANSSI en offrant des ressources de sensibilisation et un service d’assistance aux victimes.

Créer un mot de passe robuste — et activer l’authentification à deux facteurs

Faut-il le rappeler, le mot de passe conditionne l’accès à l’ordinateur, à un site Internet ou à votre compte bancaire, et aux données qu’ils contiennent. Pour qu’il soit robuste, la première condition est qu’il soit long : au minimum 12 caractères, idéalement 16 en 2026 compte tenu de la montée en puissance des capacités de calcul. Ensuite, il ne doit pas être lié à soi-même ; ni prénom, ni nom, ni date de naissance, sous peine d’être deviné en quelques secondes par des outils automatisés. Vous devez le changer dès qu’il a été compromis et en avoir autant de différents que de connexions exigeant un mot de passe — exactement comme vous avez plusieurs jeux de clés pour votre maison, votre voiture ou votre bureau.

En 2026, deux évolutions majeures se sont imposées : l’authentification multifacteur (MFA/2FA), désormais systématique sur les services sensibles (messagerie, banque, administration), et les passkeys, qui remplacent progressivement les mots de passe par une authentification cryptographique liée à l’appareil. Utilisez un gestionnaire de mots de passe pour gérer le tout sans surcharge mentale — voir nos conseils pratiques pour gérer ses mots de passe sans perdre la tête.

Mettre à jour le système d’exploitation et les logiciels

Pour naviguer en sécurité sur Internet, il est essentiel d’avoir un système d’exploitation et des logiciels activement maintenus par leur fabricant (navigateur, suite bureautique, pare-feu personnel, extensions de navigateur, applications mobiles). Les mises à jour corrigent les failles de sécurité, parfois activement exploitées dans le cadre d’attaques de type « zero-day ». Dès que vous recevez une proposition de mise à jour, acceptez-la sans délai. Si un logiciel n’est plus maintenu par son concepteur, remplacez-le : en 2024-2025, la fin du support de Windows 10 par Microsoft a ainsi laissé des millions de postes exposés tant qu’ils n’ont pas migré vers Windows 11 ou Linux.

Effectuer des sauvegardes régulières selon la règle 3-2-1

Les attaques comme les rançongiciels (ransomware), qui consistent à rendre illisibles ou indisponibles vos données, imposent de sauvegarder en amont. Le modèle économique du ransomware-as-a-service a explosé ces dernières années et les PME françaises en sont des cibles privilégiées. La règle de référence est celle du 3-2-1 : au moins trois copies de vos données, sur deux supports différents, dont une copie hors site (ou hors ligne, ou chez un prestataire cloud souverain de confiance). Familiarisez-vous avec votre outil de sauvegarde et surtout testez régulièrement la restauration — une sauvegarde qu’on ne sait pas restaurer n’en est pas une.

Séparer les usages professionnels et personnels

De la même manière que dans la vie réelle vous distinguez votre vie personnelle de votre vie professionnelle, il convient de faire pareil dans la vie numérique. Votre adresse mail professionnelle ne doit servir qu’à vos activités professionnelles. Pour commander un produit sur Internet, utilisez votre adresse personnelle. Avec l’essor du BYOD (Bring Your Own Device) et du shadow IT (applications non validées par la DSI), cette hygiène devient critique : un compte personnel compromis ne doit pas permettre à un attaquant de rebondir vers les systèmes de votre employeur. La directive européenne NIS2, transposée en droit français en 2024-2025, renforce d’ailleurs la responsabilité des dirigeants sur ces sujets.

Rester vigilant pour naviguer en sécurité sur Internet

Internet n’est pas le monde des bisounours. On peut s’y faire attaquer à chaque coin de rue ou à chaque visite de site. Règle simple : si vous n’êtes pas en train de faire un achat, vous ne communiquez pas vos coordonnées bancaires. Si vous trouvez une clé USB abandonnée sur un parking, vous ne la branchez pas sur votre ordinateur — c’est un vecteur d’attaque physique classique. Deux menaces ont pris une place importante depuis 2023 : le SMiShing (phishing par SMS, devenu la première menace déclarée en France en 2024) et le quishing (phishing par QR code, affichés dans l’espace public, sur des faux horodateurs ou sur des e-mails). Ralentissez avant de cliquer, vérifiez l’adresse, et en cas de doute rendez-vous directement sur le site officiel via votre navigateur — jamais via le lien reçu.

Dissocier le compte administrateur et le compte utilisateur

Ne soyez pas administrateur de votre ordinateur au quotidien. Utilisez deux comptes : un compte utilisateur standard pour l’usage courant et un compte administrateur réservé aux mises à jour et installations. Lorsqu’un virus pénètre votre système, il hérite des privilèges du compte actif : en utilisateur standard, il ne peut pas désactiver l’antivirus, modifier les règles de sécurité ou installer un rootkit. Si un attaquant prend le contrôle de votre machine, son premier objectif dans l’escalade est précisément de devenir administrateur — ne le lui offrez pas sur un plateau.

Contrôler la diffusion d’informations personnelles

Lorsqu’on veut naviguer en sécurité sur Internet, il convient de protéger ses données personnelles. Soyez vigilant, ne soyez pas naïf, et ne confiez pas vos informations à des sites en lesquels vous n’avez pas confiance. Premier réflexe : vérifiez que le site est bien en HTTPS (cadenas dans la barre d’adresse) — en 2026 la grande majorité des sites le sont, donc un site non HTTPS devient lui-même un signal d’alarme. Plus largement, le Règlement général sur la protection des données (RGPD) vous donne des droits : accès, rectification, portabilité, effacement. La Cnil sanctionne régulièrement des acteurs majeurs pour leur mauvaise gestion des données, et vous pouvez saisir ses services en cas d’abus.

Ne pas relayer des canulars

Lorsque vous recevez un message vous demandant de le transférer à un grand nombre de personnes, sachez que ce mode opératoire n’est pas normal. Aucune organisation, aucune administration ne vous demandera de transférer un message à une masse de contacts. Les risques : engorger les messageries, passer pour peu sérieux, au pire engager votre responsabilité ou celle de votre employeur. En cas de doute, consultez les sites de fact-checking — AFP Factuel, Les Décodeurs (Le Monde), CheckNews (Libération) — qui vérifient en continu les informations virales.

Faire attention aux fake news et aux deepfakes

Le support numérique peut être utilisé pour vous influencer : les fake news relaient de fausses informations pour vous manipuler ou vous faire agir contre vos intérêts. Depuis 2023, la généralisation de l’IA générative a démultiplié la menace : deepfakes vidéo et audio (fausses déclarations de dirigeants, fausses preuves), textes générés par LLM indétectables à l’œil nu, faux comptes sur les réseaux sociaux. Les élections européennes de 2024 et plusieurs scrutins nationaux de 2024-2025 ont été des terrains d’observation grandeur nature. Soyez vigilant, croisez vos sources, vérifiez les comptes originaux, et ne partagez que ce que vous avez pu recouper.

Rester vigilant avant d’ouvrir une pièce jointe ou de cliquer sur un lien

Lorsque vous recevez un mail, assurez-vous que vous connaissez l’expéditeur et que le contexte est cohérent. Si le message contient une pièce jointe, interrogez-vous : est-il légitime que je la reçoive ? En cas de doute, contactez l’expéditeur par un autre canal (téléphone, SMS) avant d’ouvrir quoi que ce soit. Les e-mails de phishing sont aujourd’hui rédigés avec l’aide d’IA génératives : fautes d’orthographe et tournures maladroites, qui servaient autrefois de signaux d’alerte, ont pratiquement disparu. Fiez-vous davantage aux indices structurels : urgence suspecte, demande inhabituelle, adresse d’expédition douteuse, lien dont l’URL ne correspond pas au domaine annoncé. Si vous ne connaissez pas l’expéditeur et qu’une pièce jointe est présente, la meilleure action reste la plus simple : supprimez le message.

Victime d’une attaque ? Les bons réflexes

En cas d’incident, agissez vite : déconnectez la machine du réseau, changez les mots de passe depuis un autre appareil, signalez l’incident à votre DSI ou à un professionnel. Pour les particuliers et les TPE-PME, la plateforme Cybermalveillance.gouv.fr offre un diagnostic en ligne et met en relation avec des prestataires certifiés. Les infractions peuvent être déclarées sur Pharos (internet-signalement.gouv.fr) et en gendarmerie/police. Pour approfondir, nos articles sur la cybersécurité en période de vacances et sur la sécurité des enfants sur Internet complètent utilement ces conseils.

En conclusion, suivre ces « 10 commandements » limite sérieusement les risques informatiques — même si une sécurité à 100 % n’existe pas. Ils rendent une attaque beaucoup plus difficile et, le cas échéant, beaucoup moins destructrice. À l’heure où les cybermenaces se professionnalisent et où l’IA abaisse le coût d’entrée des attaquants, les suivre est impératif pour assurer une navigation en toute sécurité sur Internet, qu’on soit particulier, professionnel ou dirigeant d’organisation.