📋 Le Bouclier numérique — 5 couches

  1. Couche 1 — Mots de passe et authentification
  2. Couche 2 — Appareils et systèmes
  3. Couche 3 — Réseau et connexion
  4. Couche 4 — Identité numérique
  5. Couche 5 — Comportements et arnaques
  6. Ressources québécoises

Le gouvernement québécois publie des guides de cybersécurité pour les PME. Ottawa a son site pensezcybersecurite.gc.ca pour les entreprises. Mais pour un particulier qui veut simplement savoir quoi faire concrètement pour protéger sa vie numérique en 2026, l'information pertinente est éparpillée, souvent en anglais, et rarement adaptée à la réalité québécoise.

Ce guide comble cette lacune. Pas de formation en TI requise. Cinq couches, du plus facile au plus avancé. Chaque couche ajoutée réduit significativement votre risque.

Mots de passe et authentification à deux facteurs

C'est la base du bouclier — et la faille la plus exploitée. La grande majorité des piratages de comptes ne sont pas des opérations sophistiquées : ce sont des combinaisons courriel/mot de passe volés lors de fuites de données, testées automatiquement sur des milliers de services.

Gestionnaire de mots de passe — indispensable en 2026

Un gestionnaire de mots de passe génère et mémorise des mots de passe forts et uniques pour chaque site. Vous n'avez à retenir qu'un seul mot de passe maître. C'est la mesure de sécurité avec le meilleur rapport effort/protection qui existe.

  • Bitwarden : gratuit, open source, plan payant à 10 USD/an. Recommandé pour la plupart des Québécois — interface française disponible.
  • 1Password : populaire, bien conçu, ~3 CAD/mois. Idéal pour les familles avec partage de mots de passe.
  • Apple Trousseau / Google Password Manager : gratuits et intégrés à vos appareils — acceptables si vous restez dans un seul écosystème.

Pour un guide complet : Gestionnaire de mots de passe au Québec — quel choisir et comment commencer.

Authentification à deux facteurs (2FA) — pas par SMS

Activez le 2FA sur tous vos comptes importants : courriel (Gmail, Outlook), banque, gouvernement (clé CléQC, My Service Canada Account), réseaux sociaux. Ordre de préférence :

  1. Application d'authentification (Google Authenticator, Authy, Bitwarden Authenticator) — codes générés hors ligne, impossible à intercepter.
  2. Clé physique (YubiKey) — la protection maximale pour les comptes critiques.
  3. SMS — mieux que rien, mais vulnérable au SIM swapping (voir FAQ).
⚠️ Votre banque force le 2FA par SMS? La plupart des institutions financières canadiennes (Desjardins, RBC, TD, etc.) utilisent encore les SMS par défaut. C'est leur choix — vous ne pouvez pas le changer. Mais activez au moins le 2FA par app sur votre courriel, qui est souvent la porte d'entrée pour réinitialiser les mots de passe bancaires.

Appareils et systèmes — les fondations

Mises à jour automatiques — activez-les

La majorité des piratages exploitent des vulnérabilités connues et corrigées — mais pas encore installées sur l'appareil de la victime. Sur Windows 11, Mac, iPhone et Android, les mises à jour automatiques sont la défense la plus simple contre les attaques courantes.

  • Windows : Paramètres → Windows Update → Activer les mises à jour automatiques
  • Mac : Préférences système → Mises à jour logicielles → Activer les mises à jour automatiques
  • iPhone : Réglages → Général → Mise à jour logicielle → Mises à jour automatiques → Activer
  • Android : Paramètres → Système → Mise à jour du système → Options de mise à jour automatique

Chiffrement du disque — activez-le

Si quelqu'un vole votre ordinateur, le chiffrement du disque rend vos données illisibles sans votre mot de passe. Sur les appareils modernes, c'est souvent déjà activé :

  • iPhone et Android modernes : chiffrés par défaut depuis iOS 8 / Android 5.
  • Mac : FileVault — Préférences système → Sécurité et confidentialité → FileVault → Activer. Souvent déjà activé sur les Mac récents.
  • Windows : BitLocker (Pro et Enterprise) ou chiffrement de l'appareil (Home) — Paramètres → Confidentialité et sécurité → Chiffrement de l'appareil.

Antivirus — Windows Defender suffit

Pour la grande majorité des Québécois sur Windows, Windows Defender (inclus gratuitement) offre une protection solide s'il est à jour. Vous n'avez pas besoin de payer pour Norton, McAfee ou Bitdefender pour une protection de base.

Pour une analyse ponctuelle — si vous soupçonnez une infection ou voulez une deuxième opinion — Malwarebytes gratuit (version scan, pas la version temps réel payante) est l'outil recommandé. Sur Mac, idem : les solutions payantes ne sont généralement pas nécessaires si vous téléchargez vos applications depuis l'App Store.

Réseau et connexion — ce que votre FAI voit

WiFi public — toujours risqué

Sur un WiFi public (café, bibliothèque, aéroport), n'importe qui sur le même réseau peut potentiellement intercepter votre trafic non chiffré. En 2026, la plupart des sites utilisent HTTPS — ce qui protège le contenu de vos échanges — mais votre activité de navigation reste visible pour l'opérateur du réseau.

Pour tout savoir sur les risques et la protection en WiFi public : WiFi public au Québec — risques réels et protection.

VPN — quand en utiliser un

Un VPN chiffre tout votre trafic internet et le fait transiter par un serveur intermédiaire. Utile sur WiFi public, ou si vous voulez empêcher votre FAI (Videotron, Bell, Rogers) de voir votre activité de navigation. Pour un comparatif : Meilleur VPN pour Québécois — comparatif 2026.

DNS sécurisé — une protection gratuite méconnue

Le DNS est le « annuaire téléphonique » d'internet — il traduit les noms de domaine en adresses IP. Par défaut, vos requêtes DNS passent par les serveurs de votre FAI (Videotron, Bell), qui peut les enregistrer et les analyser. Passer à un DNS chiffré est gratuit et rapide :

  • Cloudflare 1.1.1.1 : DNS over HTTPS, politique de non-conservation des données, extrêmement rapide. Application disponible sur iOS et Android (1.1.1.1 — Warp).
  • NextDNS : gratuit jusqu'à 300 000 requêtes/mois, avec filtrage de publicités et de maliciels intégré. Interface web en français.

Identité numérique — surveiller et protéger

HaveIBeenPwned.com — vérifiez votre courriel

Le site HaveIBeenPwned.com (créé par le chercheur en sécurité Troy Hunt, maintenant partenaire avec le FBI et Europol) indexe les bases de données de fuites connues. Entrez votre adresse courriel pour voir si elle apparaît dans une fuite. C'est gratuit et vous pouvez activer des alertes automatiques pour être notifié lors de nouvelles fuites.

Alertes de crédit gratuites — Equifax et TransUnion Canada

Les deux bureaux de crédit canadiens offrent des alertes gratuites qui vous notifient lors de nouvelles demandes de crédit à votre nom — un signal d'alerte précoce pour le vol d'identité :

  • Equifax Canada : equifax.ca → MyEquifax → Alertes de crédit gratuites (courriel/SMS)
  • TransUnion Canada : transunion.ca → CreditView → Surveillance gratuite

Ces alertes gratuites couvrent les demandes de crédit (nouvelles cartes, prêts) mais pas la surveillance en temps réel de votre dossier. Les services payants (environ 20 CAD/mois) offrent plus, mais les alertes gratuites sont un bon point de départ.

Empreinte numérique — qui détient vos données

Votre empreinte numérique — les informations publiques ou semi-publiques disponibles sur vous en ligne — mérite un audit régulier. Courtiers en données, anciens comptes abandonnés, photos indexées par Google. Pour un guide complet : Audit de votre empreinte numérique au Québec.

Comportements — les arnaques courantes au Québec

Reconnaître l'hameçonnage — 2 questions à poser

L'hameçonnage (phishing) est la technique la plus utilisée pour compromettre des comptes. Avant de cliquer sur un lien dans un courriel ou un message texte, posez-vous deux questions :

  1. L'expéditeur réel (pas le nom affiché) correspond-il à l'organisation? — Survolez l'adresse courriel : un courriel de « Postes Canada » qui vient de [email protected] est une arnaque.
  2. Pourquoi ce message crée-t-il une urgence? — « Votre compte sera suspendu dans 24h », « Vous avez un colis retenu », « Remboursement disponible » — l'urgence artificielle est la signature de l'hameçonnage.
💡 Règle d'or : si vous doutez, allez directement sur le site Ne cliquez pas sur le lien dans le message — ouvrez vous-même le site de la banque, Postes Canada ou l'ARQ dans votre navigateur. Si le message est légitime, l'information sera aussi dans votre compte en ligne.

Arnaques courantes au Québec en 2026

🚨 Imposteur CRA / ARQ (Agence du revenu)

Un appel ou message prétendant que vous devez de l'argent à l'ARC (Canada) ou à l'ARQ (Québec) et menaçant d'arrestation ou de saisie si vous ne payez pas immédiatement en cartes-cadeaux ou en cryptomonnaie. L'ARC et l'ARQ ne menacent jamais d'arrestation par téléphone et n'acceptent jamais les cartes-cadeaux.

🚨 Support technique Microsoft / Apple

Une fenêtre pop-up ou un appel prétendant que votre ordinateur est infecté et vous demandant d'appeler un numéro ou d'installer un logiciel. Ni Microsoft ni Apple ne vous contactent spontanément pour des problèmes sur votre ordinateur. Fermez la fenêtre (Force Quit si nécessaire).

🚨 « Votre colis est retenu »

Un SMS de Postes Canada, UPS ou FedEx demandant des frais de douane ou de livraison via un lien. Vérifiez directement sur le site officiel avec le numéro de suivi que vous avez vous-même reçu du vendeur.

🚨 Arnaque romantique (romance scam)

Une personne rencontrée sur une application de rencontre ou les réseaux sociaux qui développe une relation, puis demande de l'argent pour une urgence. Le Centre antifraude du Canada signale une augmentation constante de ces arnaques. Méfiance si quelqu'un vous demande de l'argent ou des cryptomonnaies avant une rencontre physique.

Ressources québécoises — à connaître

🏛️ Commission d'accès à l'information (CAI)

Organisme québécois de protection des données personnelles. Plaintes, guides citoyens, ressources pédagogiques.

cai.gouv.qc.ca

🚨 Centre antifraude du Canada

Signalement des arnaques, fraudes et cybercriminalité. Ligne téléphonique dédiée.

antifraudcentre.ca
📞 1-888-495-8501

🛡️ Pensez cybersécurité

Ressources du gouvernement fédéral pour particuliers et organisations. Guides en français.

pensezcybersecurite.gc.ca

⚖️ Éducaloi

Information juridique en français pour les Québécois — incluant sections sur vie privée, cybercriminalité et recours légaux.

educaloi.qc.ca

🆘 cyberaide.ca

Signalement de contenu illégal en ligne et d'abus sexuels impliquant des mineurs. Ligne de signalement confidentielle.

cyberaide.ca

🔒 Aide juridique Québec

Si vous pensez être victime de cybercriminalité et que votre budget est limité — l'aide juridique peut couvrir une consultation initiale.

csj.qc.ca

Liste de vérification — Bouclier numérique

Voici les actions à compléter pour activer les 5 couches du bouclier numérique québécois :

Questions fréquentes

Ai-je besoin d'un antivirus payant sur Windows?

Non, pour la plupart des utilisateurs. Windows Defender (inclus gratuitement dans Windows 10 et 11) est suffisant s'il est à jour et que vous faites preuve de prudence en ligne. Pour une analyse ponctuelle, Malwarebytes gratuit est un excellent complément. Les antivirus payants comme Norton ou McAfee ajoutent des fonctions (VPN, gestionnaire de mots de passe) mais ne sont pas nécessaires pour la protection de base.

Que faire si je pense avoir été victime d'une arnaque en ligne au Québec?

Signalez-le au Centre antifraude du Canada : 1-888-495-8501 ou antifraudcentre.ca. Si vous avez perdu de l'argent, portez plainte à votre service de police local. Si vos comptes bancaires sont compromis, contactez votre institution financière immédiatement. Pour les arnaques impliquant l'Agence du revenu (CRA/ARQ), signalez-les directement aux agences concernées.

L'authentification à deux facteurs par SMS est-elle sécuritaire?

Le 2FA par SMS est bien mieux que pas de 2FA du tout, mais il est vulnérable aux attaques de type SIM swapping (où un fraudeur convainc votre opérateur de transférer votre numéro). Pour les comptes importants (banque, email, cloud), préférez une application d'authentification comme Google Authenticator, Authy ou Bitwarden Authenticator — elles génèrent des codes hors ligne que personne ne peut intercepter.

Comment savoir si mon téléphone a été piraté?

Signes d'alerte : batterie qui se vide anormalement vite, données mobiles consommées sans raison, applications inconnues, téléphone chaud au toucher quand il est en veille, comptes connectés à des appareils inconnus. Sur iPhone, vérifiez Réglages → [votre nom] → liste des appareils. Sur Android, vérifiez les paramètres de votre compte Google → Sécurité → Vos appareils.

Est-ce que mon employeur peut voir ce que je fais sur mon téléphone personnel?

Sur votre téléphone personnel sur votre réseau personnel — non, pas sans MDM (Mobile Device Management) installé. Mais si vous avez installé un profil d'entreprise sur votre téléphone, l'espace de travail professionnel peut être surveillé. Pour tout comprendre : Votre employeur peut-il surveiller votre téléphone personnel?

Aller plus loin