ANSSI SecNumacadémie

MOOC Cybersécurité · Formation officielle

SecNum
académie

Une formation complète — 4 modules, 20 unités, 4 quiz — pour maîtriser les fondamentaux de la sécurité des systèmes d'information.

M1 · Panorama SSI

M2 · Authentification

M3 · Internet

M4 · Poste de travail

Agence Nationale de la Sécurité des Systèmes d'Information

ANSSI Présentation 02 / 30

Qu'est-ce que
SecNumacadémie ?

Une initiative de l'ANSSI

L'Agence Nationale de la Sécurité des Systèmes d'Information est l'autorité nationale en matière de cybersécurité en France, placée sous l'autorité du Premier Ministre.

Un MOOC 100 % gratuit

Accessible à tous sans prérequis techniques particuliers. La formation est disponible en auto-formation à son propre rythme, 24h/24, sur secnumacademie.gouv.fr.

Une certification officielle

À l'issue du parcours, un quiz de certification permet d'obtenir une attestation officielle reconnue dans le monde professionnel français. Seuil : 75% de réussite.

Contenu régulièrement mis à jour

Les modules évoluent pour rester en phase avec les menaces actuelles et les nouvelles pratiques de cybersécurité recommandées par l'ANSSI.

4Modules de formation

20Unités thématiques

~12hDurée estimée

✓Certification officielle

MODULE 1 Panorama SSI 03 / 30

MODULE 1

Panorama de la SSI

Comprendre l'environnement numérique, ses acteurs et ses enjeux de sécurité

U1

Un monde numérique hyper-connecté

IoT, cloud, mobilité et les défis que cela représente pour la sécurité.

U2

Un monde à hauts risques

Espionnage, sabotage, cybercriminalité, désinformation : la cartographie des menaces.

U3

Les acteurs de la cybersécurité

ANSSI, CERT-FR, ENISA et les professionnels du cyberespace.

U4

Protéger le cyberespace

Législation (LPM, NIS), normes ISO 27001, politiques publiques européennes.

U5

Les règles d'or de la sécurité

10 bonnes pratiques fondamentales applicables immédiatement.

M1 · U1 Panorama SSI 04 / 30

MODULE 1 — UNITÉ 1

Un monde numérique hyper-connecté

La transformation numérique

Plus de 5 milliards d'internautes dans le monde
L'IoT (Internet of Things) : objets connectés, capteurs, domotique
Le cloud computing remplace les infrastructures locales
La mobilité : smartphones, tablettes, BYOD en entreprise
L'industrie 4.0 : systèmes industriels connectés (SCADA, ICS)

Les nouveaux risques engendrés

Surface d'attaque élargie : chaque device est une porte d'entrée
Données personnelles massives exposées
Dépendance critique aux services numériques
Interconnexion : une faille peut se propager à tout un réseau
Shadow IT : usages non maîtrisés par les DSI

Enjeux stratégiques

Souveraineté numérique nationale et européenne
Protection des OIV (Opérateurs d'Importance Vitale)
Résilience des infrastructures critiques
Confiance numérique pour les citoyens et entreprises

IoT Cloud BYOD OIV

M1 · U2 Panorama SSI 05 / 30

MODULE 1 — UNITÉ 2

Un monde à hauts risques

Les 4 grandes menaces numériques

Menace	Description	Acteurs
Espionnage	Vol d'informations sensibles (R&D, défense)	États, concurrents
Sabotage	Destruction/perturbation de SI critiques	États, terroristes
Cybercriminalité	Ransomwares, fraudes, vol de données	Groupes criminels
Désinformation	Manipulation de l'opinion publique	États, trolls

Ingénierie sociale

Technique de manipulation psychologique qui exploite les comportements humains plutôt que les failles techniques. Prétexting, phishing, vishing (téléphone), baiting (clé USB abandonnée).

⚠ Le facteur humain est la première cause de compromission — 90% des attaques commencent par un email malveillant.

Cycle d'une cyberattaque (Kill Chain)

1. Reconnaissance → OSINT, scan réseau 2. Armement → Création du malware 3. Livraison → Email, USB, site web 4. Exploitation → Faille, clic utilisateur 5. Installation → Backdoor, RAT, dropper 6. Commande (C2) → Communication attaquant 7. Action finale → Exfiltration, sabotage

APT Malware Ransomware 0-Day

M1 · U3 Panorama SSI 06 / 30

MODULE 1 — UNITÉ 3

Les acteurs de la cybersécurité

🇫🇷 Acteurs français

ANSSI — Autorité nationale, réglementation et assistance aux victimes
CERT-FR — Veille, alerte et réponse aux incidents
CNIL — Protection des données personnelles (RGPD)
Cybermalveillance.gouv.fr — Assistance aux particuliers et PME

🇪🇺 Acteurs européens

ENISA — Agence européenne pour la cybersécurité
CERT-EU — CERT des institutions européennes
Europol EC3 — Cybercriminalité au niveau européen
ECSO — Organisation européenne de cyber-sécurité

🌍 Acteurs internationaux & privés

FIRST — Forum mondial des CERT
INTERPOL — Cybercriminalité internationale
Éditeurs de sécurité (Kaspersky, Palo Alto…)
Bug bounty hunters, chercheurs en sécurité

Le RSSI (Responsable Sécurité SI) pilote la stratégie de sécurité en entreprise.

M1 · U4 Panorama SSI 07 / 30

MODULE 1 — UNITÉ 4

Protéger le cyberespace

Cadre législatif français & européen

LPM 2014 — Loi de Programmation Militaire : obligations pour les OIV
Directive NIS — Sécurité des réseaux et systèmes d'information (UE)
NIS 2 (2023) — Élargissement aux entités essentielles et importantes
RGPD — Protection des données personnelles des citoyens UE
Cyber Resilience Act — Sécurité des produits numériques (2024)

Certifications & normes

ISO 27001 — SMSI : Système de Management de la Sécurité de l'Information
SecNumCloud — Qualification ANSSI pour le cloud souverain
PASSI — Prestataires d'audit de la sécurité des SI
Critères Communs — Évaluation internationale des produits

Principes fondamentaux de la SSI

DISPONIBILITÉ → Le SI fonctionne quand on en a besoin INTÉGRITÉ → Les données ne sont pas altérées CONFIDENTIALITÉ → Seuls les autorisés accèdent aux données TRAÇABILITÉ → Les actions sont enregistrées et vérifiables

Le modèle DICT (ou CIA en anglais) est le socle de toute politique de sécurité.

M1 · U5 Règles d'or ANSSI 08 / 30

Les 10 Règles d'Or
de la Cybersécurité

Selon les recommandations de l'ANSSI — applicables dès aujourd'hui

01

Choisissez des mots de passe robustes et uniques pour chaque service

02

Mettez à jour régulièrement vos logiciels et systèmes d'exploitation

03

Effectuez des sauvegardes régulières et déconnectées de vos données

04

Méfiez-vous des messages suspects (phishing, spear phishing)

05

Utilisez un antivirus et activez votre pare-feu personnel

06

Sécurisez votre réseau Wi-Fi domestique (WPA3, mot de passe fort)

07

Séparez vos usages professionnels et personnels (appareils, comptes)

08

Maîtrisez vos données personnelles en ligne (réseaux sociaux, RGPD)

09

Protégez vos appareils mobiles (code PIN, chiffrement, verrouillage)

10

Activez l'authentification à deux facteurs (2FA) sur tous vos comptes

QUIZ M1 Module 1 — Panorama SSI 09 / 30

Quiz — Module 1

Panorama de la SSI · 4 questions

QUESTION 01 / 04

Que signifie le sigle ANSSI ?

✓ Correct ! L'ANSSI est l'Agence Nationale de la Sécurité des Systèmes d'Information, placée sous l'autorité du Premier Ministre.

✗ Incorrect. La bonne réponse est B : Agence Nationale de la Sécurité des Systèmes d'Information.

QUESTION 02 / 04

Lequel de ces éléments NE fait PAS partie du modèle DICT (principes fondamentaux de la SSI) ?

✓ Correct ! Le modèle DICT comprend Disponibilité, Intégrité, Confidentialité et Traçabilité. La compatibilité n'en fait pas partie.

✗ Incorrect. "Compatibilité" (C) n'existe pas dans le modèle DICT. Les 4 piliers sont : Disponibilité, Intégrité, Confidentialité, Traçabilité.

QUESTION 03 / 04

Qu'est-ce que l'ingénierie sociale en cybersécurité ?

✓ Correct ! L'ingénierie sociale exploite les comportements humains (confiance, peur, urgence) plutôt que les failles techniques.

✗ Incorrect. L'ingénierie sociale est une manipulation psychologique (phishing, vishing, baiting…) pour obtenir accès ou informations.

QUESTION 04 / 04

Quelle loi française impose des obligations de sécurité aux Opérateurs d'Importance Vitale (OIV) ?

✓ Correct ! La LPM 2014 est la première loi française à imposer des mesures de cybersécurité obligatoires aux OIV.

✗ Incorrect. C'est la LPM 2014 (Loi de Programmation Militaire) qui fixe les obligations de sécurité des OIV en France.

questions correctes

Score : 0 / 4

MODULE 2 Authentification 10 / 30

MODULE 2

Sécurité de l'authentification

Protéger ses accès grâce à des mots de passe robustes et à la cryptographie

U1

Principes de l'authentification

Facteurs (connaissance, possession, inhérence), simple vs MFA.

U2

Attaques sur les mots de passe

Force brute, dictionnaire, credential stuffing, phishing, keylogging.

U3

Sécuriser ses mots de passe

Longueur, complexité, unicité. Recommandations ANSSI actualisées.

U4

Gérer ses mots de passe

Gestionnaires (KeePass, Bitwarden) et authentification à deux facteurs.

U5

Notions de cryptographie

Chiffrement symétrique/asymétrique, hachage, PKI, certificats TLS/SSL.

M2 · U1 Authentification 11 / 30

MODULE 2 — UNITÉ 1

Principes de l'authentification

Les 3 facteurs d'authentification

🧠 Connaissance — Ce que je sais : mot de passe, code PIN, question secrète
📱 Possession — Ce que je possède : token, carte, smartphone (OTP)
👁️ Inhérence — Ce que je suis : empreinte, iris, reconnaissance faciale

MFA = combiner au moins 2 facteurs différents

Niveaux d'assurance (eIDAS)

Faible — Mot de passe simple (services courants)
Substantiel — 2FA obligatoire (services sensibles)
Élevé — Carte à puce + PIN (services critiques)

eIDAS RGS FIDO2 WebAuthn

Authentification moderne

OTP — One-Time Password (TOTP/HOTP via Google Auth, Authy)
FIDO2/Passkeys — Clés cryptographiques sans mot de passe
SSO — Single Sign-On (réduction des mots de passe)
Biométrie — Rapide mais non révocable si compromise

M2 · U2 Authentification 12 / 30

MODULE 2 — UNITÉ 2

Attaques sur les mots de passe

Types d'attaques

Attaque	Méthode	Contre-mesure
Force brute	Toutes combinaisons possibles	MDP long, blocage tentatives
Dictionnaire	Liste de mots communs	Éviter mots du dictionnaire
Credential stuffing	Réutilisation de fuites connues	MDP unique par service
Phishing	Faux site pour capturer MDP	Vérifier URL, 2FA
Keylogger	Enregistrement des frappes	MFA, clavier virtuel
Rainbow table	Table de hachages pré-calculés	Salage des hashs côté serveur

Temps de crack selon la complexité

8 car. minuscules → < 1 seconde 8 car. + chiffres → quelques minutes 10 car. mixte → quelques heures 12 car. + symboles → plusieurs années 20 car. passphrase → milliers d'années

⚠ Attaque "Have I Been Pwned"

Des milliards d'identifiants circulent sur le dark web suite aux fuites de données (LinkedIn, Adobe, Yahoo…). Vérifiez vos adresses sur haveibeenpwned.com

M2 · U3-U4 Authentification 13 / 30

MODULE 2 — UNITÉS 3 & 4

Sécuriser & Gérer ses mots de passe

Critères ANSSI pour un bon MDP

Minimum 12 caractères (idéal 16+)
Mélange : majuscules, minuscules, chiffres, symboles
Unique par service — jamais réutilisé
Pas de données personnelles (nom, date de naissance)
Méthode phonétique : "J'ai 2 chats & 1 chien!" → J2c&1c!

Gestionnaires de mots de passe

KeePassXC — Open source, local, recommandé ANSSI
Bitwarden — Open source, cloud chiffré
Dashlane / 1Password — Solutions propriétaires

1 seul MDP à retenir : le maître. Tous les autres sont générés et stockés chiffrés.

Authentification à deux facteurs (2FA)

📱 App TOTP — Google Authenticator, Aegis (préféré)
🔑 Clé physique — YubiKey, clé FIDO2 (le plus sûr)
📧 Email OTP — Moyen (email peut être compromis)
📲 SMS OTP — Déconseillé (SIM swapping possible)

M2 · U5 Authentification 14 / 30

MODULE 2 — UNITÉ 5

Notions de cryptographie

Chiffrement symétrique

Une seule clé pour chiffrer et déchiffrer. Rapide, utilisé pour les grandes quantités de données.

Alice ─[clé K]→ chiffre Bob ─[clé K]→ déchiffre (même clé partagée)

AES-256ChaCha203DES

Chiffrement asymétrique (PKI)

Paire de clés : publique (diffusée) + privée (secrète). Lent mais résout le problème d'échange de clés.

Alice → chiffre avec clé pub Bob Bob → déchiffre avec sa clé privée (clés différentes !)

RSA-2048ECDSAEd25519

Fonctions de hachage

Empreinte numérique à sens unique. Même entrée → même hash. Irréversible. Utilisé pour vérifier l'intégrité et stocker les MDP.

"bonjour" → SHA256 → a7fd3b2c...e9f1 (64 hex)

SHA-256SHA-3bcryptArgon2

MD5 et SHA-1 sont obsolètes et ne doivent plus être utilisés.

QUIZ M2 Module 2 — Authentification 15 / 30

Quiz — Module 2

Authentification & Cryptographie · 4 questions

QUESTION 01 / 04

Parmi les formes de 2FA suivantes, laquelle est considérée comme la MOINS sécurisée ?

✓ Correct ! Le SMS est vulnérable au SIM swapping (usurpation de carte SIM). L'ANSSI déconseille ce mode pour les services sensibles.

✗ Incorrect. Le SMS 2FA (C) est le moins sécurisé car vulnérable au SIM swapping et aux interceptions SS7.

QUESTION 02 / 04

Qu'est-ce que le "credential stuffing" ?

✓ Correct ! Le credential stuffing exploite les bases de données de mots de passe volées — raison pour laquelle chaque service doit avoir un mot de passe unique.

✗ Incorrect. Le credential stuffing (B) consiste à réutiliser des identifiants issus de fuites connues sur d'autres sites.

QUESTION 03 / 04

Quelle longueur minimale recommande l'ANSSI pour un mot de passe standard ?

✓ Correct ! L'ANSSI recommande un minimum de 12 caractères pour un mot de passe standard, avec majuscules, minuscules, chiffres et symboles.

✗ Incorrect. L'ANSSI recommande 12 caractères minimum (C), avec idéalement 16+ pour les comptes sensibles.

QUESTION 04 / 04

Quelle propriété différencie le chiffrement asymétrique du chiffrement symétrique ?

✓ Correct ! L'asymétrique utilise une clé publique (diffusable) et une clé privée (secrète). RSA, ECDSA et Ed25519 en sont des exemples.

✗ Incorrect. Le chiffrement asymétrique (B) utilise une paire de clés : publique pour chiffrer, privée pour déchiffrer.

questions correctes

Score : 0 / 4

MODULE 3 Internet 16 / 30

MODULE 3

Sécurité sur Internet

Naviguer, communiquer et télécharger en toute sécurité sur le web

U1

Internet, de quoi s'agit-il ?

TCP/IP, DNS, HTTP/HTTPS et points de vulnérabilité de l'architecture.

U2

Les fichiers d'Internet

Malwares, ransomwares, chevaux de Troie. Comment reconnaître les sources fiables.

U3

La navigation web

Extensions, cookies, HTTPS, certificats. Menaces XSS, clickjacking.

U4

La messagerie électronique

Phishing, spear phishing, SPF, DKIM, DMARC. Réflexes de vigilance.

U5

L'envers d'une connexion Web

TLS handshake, certificats X.509, autorités de certification.

M3 · U1+U5 Internet 17 / 30

MODULE 3 — UNITÉS 1 & 5

Architecture Internet & Connexion Web sécurisée

Protocoles fondamentaux

Protocole	Rôle	Sécurité
TCP/IP	Transport des données	Pas de chiffrement natif
DNS	Résolution de noms	Peut être empoisonné (DNS poisoning)
HTTP	Web non sécurisé	❌ Texte clair
HTTPS	Web chiffré via TLS	✓ Chiffré + authentifié
SMTP/IMAP	Messagerie email	Nécessite TLS/STARTTLS

TLS Handshake — Comment fonctionne HTTPS

Client Serveur │──ClientHello──────→│ (versions TLS, algos) │←─ServerHello───────│ (algo choisi + certificat) │ Vérif. cert. │ (CA, date, domaine ✓) │──PreMasterSecret──→│ (chiffré clé pub serveur) │←────────────────────│ Finished │═══ Données chiffrées (AES) ════│

HSTS : force HTTPS même si l'utilisateur tape http://

M3 · U2-U3 Internet 18 / 30

MODULE 3 — UNITÉS 2 & 3

Fichiers d'Internet & Navigation web sécurisée

Types de malwares

Virus — S'attache à des fichiers légitimes
Cheval de Troie — Déguisé en logiciel légitime
Ransomware — Chiffre et rançonne vos données
Spyware — Surveille et exfiltre vos données
Rootkit — Se cache dans le système (niveau kernel)
Botnet — Machine zombie contrôlée à distance

Navigation web sécurisée

Toujours vérifier le cadenas HTTPS et le nom de domaine exact
Méfiance des extensions de navigateur (accès total au contenu)
Nettoyer régulièrement les cookies tiers
Utiliser un bloqueur de pubs (uBlock Origin)
Activer le DNS over HTTPS (DoH)

Attaques web courantes

XSS — Injection de scripts JS dans des pages web
Clickjacking — Superposer un iframe invisible sur un bouton
Drive-by download — Téléchargement automatique à la visite
Typosquatting — Faux domaine (gooogle.com)

CSPSRINoScript

M3 · U4 Internet 19 / 30

MODULE 3 — UNITÉ 4

La messagerie électronique

Phishing vs Spear Phishing

Phishing — Email de masse, usurpe une marque (banque, Ameli, impôts)
Spear Phishing — Ciblé, personnalisé avec infos OSINT sur la victime
Whaling — Cible les dirigeants (CEO fraud, arnaque au président)
Vishing — Hameçonnage par téléphone (voice phishing)

Réflexes anti-phishing

Vérifier l'adresse email réelle de l'expéditeur (pas le nom affiché)
Survoler les liens avant de cliquer pour voir l'URL réelle
Ne jamais saisir ses identifiants sur un lien reçu par email
Signaler via le bouton "Signaler comme phishing" du client mail

Mécanismes anti-spam & authentification email

SPF → Autorise les serveurs d'envoi (enregistrement DNS TXT) DKIM → Signature cryptographique du mail (clé privée serveur + clé pub DNS) DMARC→ Politique en cas d'échec SPF/DKIM (rejeter, quarantaine, rapport)

SPFDKIMDMARCS/MIMEPGP

S/MIME et PGP permettent de chiffrer et signer les emails de bout en bout.

QUIZ M3 Module 3 — Internet 20 / 30

Quiz — Module 3

Sécurité sur Internet · 4 questions

QUESTION 01 / 04

Qu'est-ce qu'une attaque XSS (Cross-Site Scripting) ?

✓ Correct ! Le XSS injecte du code JavaScript malveillant dans une page web légitime, s'exécutant dans le navigateur des visiteurs.

✗ Incorrect. XSS (B) consiste à injecter des scripts dans des pages web pour voler des cookies, rediriger des utilisateurs, etc.

QUESTION 02 / 04

Quel protocole garantit que l'expéditeur d'un email est bien autorisé par le domaine ?

✓ Correct ! SPF (Sender Policy Framework) liste dans le DNS les serveurs autorisés à envoyer des emails pour un domaine.

✗ Incorrect. SPF (C) autorise les serveurs d'envoi. DKIM signe le message. DMARC définit la politique en cas d'échec.

QUESTION 03 / 04

Que signifie HTTPS par rapport à HTTP ?

✓ Correct ! HTTPS ajoute TLS sur HTTP : les données sont chiffrées et l'identité du serveur est vérifiée via un certificat.

✗ Incorrect. HTTPS (C) = HTTP + TLS. Il chiffre les échanges et authentifie le serveur, mais n'anonymise pas l'utilisateur.

QUESTION 04 / 04

Un email prétend venir de votre banque avec votre nom dessus. L'adresse réelle est "support@b4nque-securite.net". De quelle attaque s'agit-il ?

✓ Correct ! L'utilisation de votre nom et le domaine frauduleux (typosquatting) indiquent du spear phishing : une tentative d'hameçonnage ciblée et personnalisée.

✗ Incorrect. C'est du spear phishing (C) : email personnalisé usurpant l'identité de votre banque avec un faux domaine.

questions correctes

Score : 0 / 4

MODULE 4 Poste de travail 21 / 30

MODULE 4

Sécurité du poste de travail

Sécuriser son environnement de travail fixe et mobile

U1

Applications & mises à jour

Gestion des correctifs, risques des logiciels non maintenus, patch management.

U2

Configuration de base

Pare-feu local, antivirus, chiffrement de disque (BitLocker, VeraCrypt).

U3

Configurations complémentaires

Secure Boot, services inutiles, journalisation, EDR, Wi-Fi, Bluetooth.

U4

Périphériques amovibles

Risques USB : autorun, vol de données, BadUSB. Contrôle et chiffrement.

U5

Séparation des usages

Hygiène numérique : pro/perso, VMs, profils navigateur, VPN.

M4 · U1 Poste de travail 22 / 30

MODULE 4 — UNITÉ 1

Applications & Mises à jour de sécurité

Pourquoi les mises à jour sont critiques

Les failles logicielles sont découvertes quotidiennement
CVE (Common Vulnerabilities and Exposures) : base mondiale des failles
0-Day : faille connue des attaquants avant le correctif
WannaCry (2017) : a exploité EternalBlue, un patch existait depuis 2 mois
Délai moyen entre patch et exploitation : 15 jours

Patch Management

Activer les mises à jour automatiques (OS, navigateur)
Appliquer les correctifs critiques sous 72h en entreprise
Inventorier tous les logiciels installés (CMDB)
Supprimer les logiciels non utilisés et en fin de vie (EOL)
WSUS (Windows) / Ansible / Puppet pour déploiement centralisé

Logiciels à risque élevé

Navigateurs web (surface d'attaque maximale)
Lecteurs PDF (Adobe Acrobat, Foxit)
Suites Office (macros VBA malveillantes)
Java et Flash Player (obsolète, à désinstaller)
Plugins tiers (WordPress, extensions navigateur)

Règle : si tu n'utilises pas un logiciel, désinstalle-le.

M4 · U2-U3 Poste de travail 23 / 30

MODULE 4 — UNITÉS 2 & 3

Configuration de base & Durcissement du poste

Sécurité de base — Checklist

✓ Pare-feu local activé et configuré (entrant + sortant)
✓ Antivirus/EDR à jour (Windows Defender suffisant pour la plupart)
✓ Chiffrement de disque : BitLocker (Windows), FileVault (Mac), LUKS (Linux)
✓ Principe de moindre privilège : compte admin ≠ compte courant
✓ Écran verrouillé automatiquement (5 min max)
✓ Désactivation des services inutiles (Telnet, FTP, Remote Desktop si non utilisé)

Durcissement avancé

Secure Boot — Vérifie l'intégrité du démarrage (UEFI)
TPM 2.0 — Puce cryptographique pour stocker les clés BitLocker
AppLocker / SRP — Contrôle les applications autorisées
Journalisation — Activer les logs système (SIEM)
Wi-Fi entreprise — WPA3-Enterprise + certificats (EAP-TLS)
Bluetooth — Désactiver si non utilisé

M4 · U4-U5 Poste de travail 24 / 30

MODULE 4 — UNITÉS 4 & 5

Périphériques amovibles & Séparation des usages

Risques des clés USB

Autorun — Exécution automatique à la connexion (désactiver sur Windows)
BadUSB — Firmware malveillant se faisant passer pour un clavier
USB Drop — Clé abandonnée intentionnellement pour piéger une victime
Exfiltration — Copie de données sensibles sur support amovible

Règle : Ne jamais brancher une clé USB de provenance inconnue.

Contrôle des périphériques

Désactiver l'exécution automatique (Autoplay)
Chiffrer les clés USB avec VeraCrypt ou BitLocker To Go
En entreprise : whitelisting par Device Control (Endpoint Protection)
Scaner tout support amovible avant ouverture des fichiers

Hygiène numérique — Séparation

Appareils séparés — PC pro ≠ PC perso (idéalement)
Machines virtuelles — Isoler les activités sensibles (Qubes OS)
Profils navigateur — Séparation par usage (pro, perso, achat)
VPN — Chiffrer le trafic sur les réseaux non maîtrisés
Réseau invité — IoT isolé du réseau principal

QUIZ M4 Module 4 — Poste de travail 25 / 30

Quiz — Module 4

Sécurité du poste de travail · 4 questions

QUESTION 01 / 04

Qu'est-ce qu'une attaque "BadUSB" ?

✓ Correct ! BadUSB reprogramme le firmware d'un périphérique pour imiter un clavier et exécuter des commandes automatiquement, indétectable par l'antivirus.

✗ Incorrect. BadUSB (B) modifie le firmware USB pour simuler un clavier et injecter des commandes à l'insu de l'utilisateur.

QUESTION 02 / 04

Quel outil de chiffrement de disque est recommandé par l'ANSSI pour Windows ?

✓ Correct ! BitLocker est la solution de chiffrement de disque intégrée à Windows, recommandée par l'ANSSI (avec TPM 2.0). VeraCrypt est l'alternative open source.

✗ Incorrect. BitLocker (B) est la solution Windows recommandée. TrueCrypt est obsolète et abandonné depuis 2014.

QUESTION 03 / 04

Qu'est-ce que le principe de "moindre privilège" ?

✓ Correct ! Le moindre privilège limite l'impact d'une compromission : si un compte est piraté, l'attaquant ne dispose que de droits limités.

✗ Incorrect. Le moindre privilège (C) consiste à n'attribuer que les droits nécessaires, limitant les dégâts en cas de compromission.

QUESTION 04 / 04

Que signifie "EOL" dans le contexte des logiciels ?

✓ Correct ! Un logiciel EOL ne reçoit plus de correctifs de sécurité. Continuer à l'utiliser expose à des vulnérabilités connues et non corrigées.

✗ Incorrect. EOL (C) = End of Life. Un logiciel en EOL ne reçoit plus aucun patch — il faut le mettre à jour ou le remplacer.

questions correctes

Score : 0 / 4

MENACES Attaques courantes 26 / 30

Menaces & Attaques
courantes abordées

Panorama des cybermenaces traitées dans le MOOC SecNumacadémie

Ransomware

Chiffre les données et exige une rançon. Propagation : email, USB, RDP exposé, vulnérabilité non patchée.

M1 U2 / M4 U2

Phishing / Spear phishing

Usurpation d'identité par email frauduleux. Spear phishing = personnalisé avec OSINT sur la victime.

M3 U4

Force Brute

Tentative systématique de mots de passe. Accélérée par dictionnaires et GPU modernes.

M2 U2

Man-in-the-Middle

Interception des communications (Wi-Fi public, ARP spoofing). Contré par TLS/HTTPS avec vérification de certificat.

M3 U5

Injection SQL / XSS

Attaques applicatives web : manipulation de requêtes BDD ou injection de scripts JS côté client.

M3 U3

BadUSB / USB Drop

Firmware malveillant ou clé abandonnée pour piéger une victime. Indétectable par antivirus classique.

M4 U4

CERTIFICATION Parcours officiel 27 / 30

Parcours de certification
SecNumacadémie

1

Inscription

Créer un compte sur secnumacademie.gouv.fr

Gratuit et sans prérequis →

2

Formation

Suivre les 4 modules à votre rythme

~10-15h de contenu →

3

Quiz

QCM de validation par module

Seuil : 75 % de réussite →

4

Certification

Attestation officielle de l'ANSSI

Valable 3 ans

Reconnue

par les employeurs français et institutions publiques

Officielle

émise directement par l'ANSSI, autorité nationale

Gratuite

aucun frais d'inscription ni de certification

Actualisée

contenu mis à jour régulièrement par les experts ANSSI

QUIZ FINAL Tous modules confondus 28 / 30

Quiz Final

Évaluation générale — 4 modules · 5 questions

QUESTION 01 / 05

Vous recevez un SMS de votre banque demandant de "confirmer votre identité immédiatement" via un lien. Quelle est la bonne réaction ?

✓ Correct ! La création d'urgence est un signal de phishing/smishing. Ne jamais cliquer — contacter toujours directement votre banque via ses coordonnées officielles.

✗ Incorrect. C'est du smishing (SMS phishing). Il faut ignorer et appeler directement la banque via son numéro officiel (C).

QUESTION 02 / 05

Votre collègue trouve une clé USB dans le parking. Que doit-il faire ?

✓ Correct ! C'est peut-être un USB Drop. Le BadUSB agit dès la connexion, avant tout scan antivirus. La DSI dispose de matériel spécialisé pour analyser ces supports.

✗ Incorrect. Une clé inconnue peut contenir un BadUSB actif dès connexion. La remettre sans la brancher (C) est la seule réponse sûre.

QUESTION 03 / 05

Un ransomware vient de chiffrer vos fichiers. Quelle est la PREMIÈRE action à mener ?

✓ Correct ! L'isolation réseau empêche le ransomware de chiffrer les lecteurs réseau et de se propager aux autres machines. Ensuite : alerter la DSI, conserver les preuves, restaurer depuis les sauvegardes.

✗ Incorrect. Il faut d'abord isoler la machine (B) pour limiter la propagation. L'ANSSI déconseille de payer la rançon car rien ne garantit la récupération des données.

QUESTION 04 / 05

Quelle combinaison représente une stratégie de sauvegarde "3-2-1" robuste ?

✓ Correct ! La règle 3-2-1 : 3 copies des données, sur 2 types de supports différents, dont 1 copie déconnectée (offline). Cela protège contre le ransomware qui ne peut chiffrer que ce qui est connecté.

✗ Incorrect. La règle 3-2-1 (B) : 3 copies, 2 supports différents, 1 déconnectée. La copie hors ligne est essentielle face aux ransomwares.

QUESTION 05 / 05

Vous vous connectez depuis un café avec un Wi-Fi public. Quelle mesure est INDISPENSABLE ?

✓ Excellent ! Sur un Wi-Fi public, le trafic peut être intercepté (attaque Man-in-the-Middle). Le VPN chiffre tout votre trafic. N'effectuez jamais d'opérations sensibles (banque, pro) sans VPN sur un réseau non maîtrisé.

✗ Incorrect. Sur Wi-Fi public : activer le VPN (C) pour chiffrer le trafic contre les interceptions. Ne jamais désactiver le pare-feu.

questions correctes

Score : 0 / 5

RESSOURCES Pour aller plus loin 29 / 30

Ressources officielles
& Pour aller plus loin

🏛️ Sites officiels

secnumacademie.gouv.fr — MOOC officiel ANSSI
ssi.gouv.fr — Publications et guides ANSSI
cybermalveillance.gouv.fr — Assistance aux victimes
cert.ssi.gouv.fr — Alertes CERT-FR
enisa.europa.eu — Agence européenne

📚 Guides ANSSI essentiels

Guide de l'hygiène informatique (42 règles)
Recommandations mots de passe (DAT-NT-001)
Guide de la sécurité des données personnelles (CNIL)
Panorama de la menace informatique (annuel)
Recommandations Wi-Fi (NT-WSEC)

🛠️ Outils recommandés

KeePassXC — Gestionnaire de MDP
VeraCrypt — Chiffrement de volumes
Proton Mail / Tutanota — Email chiffré
Signal — Messagerie chiffrée
uBlock Origin — Bloqueur de pubs/traceurs
Tails OS — OS live sécurisé (niveau avancé)

ANSSI

Prêt à commencer ?

La cybersécurité,
l'affaire de tous.

SecNumacadémie est la porte d'entrée idéale pour acquérir les réflexes et connaissances nécessaires à votre protection numérique, personnelle ou professionnelle.

secnumacademie.gouv.fr →

4modules complets

20unités détaillées

4quiz interactifs

ANSSIcertifiant officiel

SecNumacadémie

Qu'est-ce queSecNumacadémie ?

Une initiative de l'ANSSI

Un MOOC 100 % gratuit

Une certification officielle

Contenu régulièrement mis à jour

MODULE 1

Panorama de la SSI

MODULE 1 — UNITÉ 1

Un monde numérique hyper-connecté

La transformation numérique

Les nouveaux risques engendrés

Enjeux stratégiques

MODULE 1 — UNITÉ 2

Un monde à hauts risques

Les 4 grandes menaces numériques

Ingénierie sociale

Cycle d'une cyberattaque (Kill Chain)

MODULE 1 — UNITÉ 3

Les acteurs de la cybersécurité

🇫🇷 Acteurs français

🇪🇺 Acteurs européens

🌍 Acteurs internationaux & privés

MODULE 1 — UNITÉ 4

Protéger le cyberespace

Cadre législatif français & européen

Certifications & normes

Principes fondamentaux de la SSI

Les 10 Règles d'Orde la Cybersécurité

Quiz — Module 1

MODULE 2

Sécurité de l'authentification

MODULE 2 — UNITÉ 1

Principes de l'authentification

Les 3 facteurs d'authentification

Niveaux d'assurance (eIDAS)

Authentification moderne

MODULE 2 — UNITÉ 2

Attaques sur les mots de passe

Types d'attaques

Temps de crack selon la complexité

⚠ Attaque "Have I Been Pwned"

MODULE 2 — UNITÉS 3 & 4

Sécuriser & Gérer ses mots de passe

Critères ANSSI pour un bon MDP

Gestionnaires de mots de passe

Authentification à deux facteurs (2FA)

MODULE 2 — UNITÉ 5

Notions de cryptographie

Chiffrement symétrique

Chiffrement asymétrique (PKI)

Fonctions de hachage

Quiz — Module 2

MODULE 3

Sécurité sur Internet

MODULE 3 — UNITÉS 1 & 5

Architecture Internet & Connexion Web sécurisée

Protocoles fondamentaux

TLS Handshake — Comment fonctionne HTTPS

MODULE 3 — UNITÉS 2 & 3

Fichiers d'Internet & Navigation web sécurisée

Types de malwares

Navigation web sécurisée

Attaques web courantes

MODULE 3 — UNITÉ 4

La messagerie électronique

Phishing vs Spear Phishing

Réflexes anti-phishing

Mécanismes anti-spam & authentification email

Quiz — Module 3

MODULE 4

Sécurité du poste de travail

MODULE 4 — UNITÉ 1

Applications & Mises à jour de sécurité

Pourquoi les mises à jour sont critiques

Patch Management

Logiciels à risque élevé

MODULE 4 — UNITÉS 2 & 3

Configuration de base & Durcissement du poste

Sécurité de base — Checklist

SecNum
académie

Qu'est-ce que
SecNumacadémie ?

Les 10 Règles d'Or
de la Cybersécurité

Menaces & Attaques
courantes abordées

Parcours de certification
SecNumacadémie

Ressources officielles
& Pour aller plus loin

La cybersécurité,
l'affaire de tous.