Sécuriser son Smartphone : 15 Mesures Ado et Senior

La sécurisation du smartphone est devenue un enjeu de cybersécurité majeur en 2026, alors que nos téléphones concentrent désormais l'essentiel de notre vie numérique : comptes bancaires, messageries professionnelles et personnelles, applications de santé, documents confidentiels, accès aux réseaux sociaux, et même authentification à double facteur pour l'ensemble de nos services en ligne. Les menaces mobiles ont explosé ces dernières années avec une augmentation de 50 % des malwares mobiles détectés selon le rapport Lookout Mobile Threat Landscape 2025, l'essor du SIM swapping qui permet aux cybercriminels de prendre le contrôle de votre numéro de téléphone, et l'apparition d'exploits zero-click capables de compromettre un appareil sans aucune interaction de l'utilisateur, comme l'a démontré le scandale Pegasus. Ce guide pratique détaille 15 mesures concrètes de sécurisation applicables immédiatement sur Android et iOS, avec des sections spécifiques pour les adolescents et les seniors, deux populations particulièrement vulnérables aux menaces numériques mobiles.

Le paysage des menaces mobiles en 2026

Les smartphones sont devenus des cibles prioritaires pour les cybercriminels, et le paysage des menaces évolue rapidement. Les malwares mobiles représentent une menace croissante : les trojans bancaires (Cerberus, TeaBot, Vultur) ciblent les applications bancaires en superposant de faux écrans de connexion pour capturer les identifiants. Les stalkerwares permettent la surveillance à distance d'un appareil (géolocalisation, lecture des messages, enregistrement des appels) et sont souvent installés par un conjoint ou un employeur malveillant. Les adwares et fleeceware génèrent des revenus frauduleux par l'affichage publicitaire intempestif ou la facturation d'abonnements cachés.

Le SIM swapping est une technique d'ingénierie sociale par laquelle l'attaquant convainc l'opérateur télécom de transférer votre numéro de téléphone sur une nouvelle carte SIM. Une fois le transfert effectué, l'attaquant reçoit tous vos SMS, y compris les codes d'authentification à double facteur envoyés par SMS, et peut prendre le contrôle de vos comptes bancaires, e-mail et réseaux sociaux. En France, les opérateurs ont renforcé leurs procédures de vérification, mais le risque persiste, notamment via la compromission de comptes opérateur en ligne.

Les exploits zero-click représentent la menace la plus sophistiquée : ils exploitent des vulnérabilités dans le traitement des messages (iMessage, WhatsApp, RCS) pour exécuter du code malveillant sur l'appareil sans aucune action de la victime — la simple réception d'un message suffit. Le logiciel espion Pegasus du NSO Group a exploité ce type de vulnérabilités pour surveiller des journalistes, des militants et des chefs d'État. Si ces attaques ciblent principalement des personnalités, elles démontrent que même les systèmes réputés sûrs (iOS) ne sont pas invulnérables.

Mesure 1 : Configurer un verrouillage d'écran robuste

Le verrouillage d'écran est la première ligne de défense contre l'accès physique non autorisé à votre appareil. Un smartphone sans verrouillage donne un accès total à toutes vos données, applications et comptes en cas de perte ou de vol.

Sur Android : accédez à Paramètres > Sécurité > Verrouillage de l'écran. Choisissez un code PIN de 6 chiffres minimum (évitez les schémas de déverrouillage, facilement devinables par les traces de doigts sur l'écran) ou, idéalement, un mot de passe alphanumérique. Activez le verrouillage automatique après 30 secondes à 1 minute d'inactivité. Désactivez l'affichage des notifications sur l'écran de verrouillage (Paramètres > Notifications > Notifications sur l'écran de verrouillage > Masquer le contenu).

Sur iOS : accédez à Réglages > Face ID et code (ou Touch ID et code). Définissez un code numérique personnalisé de 6 chiffres minimum ou un code alphanumérique. Activez « Effacer les données » après 10 tentatives infructueuses (cette option est désactivée par défaut). Réduisez le délai de verrouillage automatique à 30 secondes (Réglages > Luminosité et affichage > Verrouillage automatique).

Mesure 2 : Activer la biométrie avec précaution

L'authentification biométrique (empreinte digitale, reconnaissance faciale) offre un excellent compromis entre sécurité et ergonomie au quotidien. Elle permet un déverrouillage rapide tout en maintenant un code PIN/mot de passe robuste comme facteur de secours.

Sur Android : Paramètres > Sécurité > Empreinte digitale. Enregistrez 2 à 3 empreintes (pouce et index de chaque main) pour garantir le déverrouillage dans toutes les positions. La reconnaissance faciale Android est moins sécurisée que Face ID d'Apple (certains modèles Android utilisent la caméra 2D, trompable par une photo) — vérifiez que votre appareil utilise la reconnaissance faciale 3D avant de l'activer.

Sur iOS : Face ID (iPhone X et ultérieur) utilise un capteur TrueDepth 3D qui projette 30 000 points infrarouges sur le visage, offrant une sécurité élevée (probabilité de faux positif : 1 sur 1 million). Touch ID (anciens iPhone, iPad) repose sur un capteur d'empreinte capacitif avec une probabilité de faux positif de 1 sur 50 000. Les deux technologies sont considérées comme sûres pour un usage quotidien.

Mesure 3 : Activer les mises à jour automatiques

Les mises à jour du système d'exploitation et des applications corrigent des vulnérabilités de sécurité critiques. Retarder les mises à jour expose votre appareil aux exploits ciblant les failles connues et non corrigées.

Sur Android : Paramètres > Système > Mises à jour du système > vérifiez que les mises à jour automatiques sont activées. Pour les applications : Google Play Store > Profil > Paramètres > Préférences réseau > Mise à jour automatique des applis > Sur n'importe quel réseau (ou Wi-Fi uniquement si votre forfait data est limité). Vérifiez également les mises à jour de sécurité mensuelles (Paramètres > Sécurité > Mise à jour de sécurité) — si votre appareil ne reçoit plus de mises à jour de sécurité, envisagez son remplacement.

Sur iOS : Réglages > Général > Mise à jour logicielle > Mises à jour automatiques : activez « Télécharger les mises à jour iOS » et « Installer les mises à jour iOS ». Les Réponses rapides de sécurité (Rapid Security Response) permettent l'application de correctifs critiques sans mise à jour complète du système — gardez cette option activée.

Mesure 4 : Installer uniquement depuis les stores officiels

Les magasins d'applications officiels (Google Play Store, Apple App Store) appliquent des contrôles de sécurité qui, bien qu'imparfaits, réduisent considérablement le risque d'installer un malware. Les fichiers APK téléchargés depuis des sources tierces (sites web, forums, messageries) sont le principal vecteur d'infection sur Android.

Sur Android : Paramètres > Sécurité > Sources inconnues — vérifiez que cette option est désactivée pour toutes les applications. Sur les versions récentes d'Android, la permission est gérée application par application : aucune application ne doit avoir la permission d'installer des APK. Activez Google Play Protect (Play Store > Profil > Play Protect) qui analyse en continu les applications installées à la recherche de comportements malveillants.

Sur iOS : Apple restreint nativement l'installation aux applications de l'App Store. Ne jamais jailbreaker votre iPhone, car cela désactive les protections de sécurité fondamentales du système. Méfiez-vous des profils de configuration (Réglages > Général > VPN et gestion des appareils) installés par des sites web : supprimez tout profil que vous ne reconnaissez pas.

Mesure 5 : Auditer les permissions des applications

Les applications demandent souvent des permissions excessives par rapport à leur fonctionnalité réelle. Une application lampe de poche n'a aucun besoin d'accéder à vos contacts, votre microphone ou votre position GPS. La revue régulière des permissions est essentielle.

Sur Android : Paramètres > Applications > Autorisations. Passez en revue chaque catégorie de permission (Appareil photo, Microphone, Position, Contacts, Téléphone, SMS, Stockage) et révoquez les permissions non justifiées. Privilégiez « Autoriser uniquement pendant l'utilisation » pour la position et l'appareil photo plutôt que « Toujours autoriser ».

Sur iOS : Réglages > Confidentialité et sécurité. Passez en revue chaque catégorie (Service de localisation, Contacts, Calendriers, Photos, Microphone, Appareil photo, etc.). Pour la localisation, privilégiez « Pendant l'utilisation de l'app » plutôt que « Toujours ». Vérifiez le Rapport de confidentialité des apps (Réglages > Confidentialité > Rapport de confidentialité des apps) qui liste les accès récents aux données et les connexions réseau de chaque application.

Mesure 6 : Utiliser un VPN sur les réseaux Wi-Fi publics

Les réseaux Wi-Fi publics (cafés, hôtels, aéroports, gares) sont des environnements intrinsèquement dangereux où des attaquants peuvent intercepter le trafic non chiffré, créer de faux points d'accès (evil twin), ou exploiter des vulnérabilités dans les protocoles de connexion. L'utilisation d'un VPN est indispensable pour protéger vos communications sur ces réseaux.

Choisissez un VPN réputé avec une politique de non-conservation des logs vérifiée par audit indépendant (Mullvad, ProtonVPN, NordVPN). Activez la fonctionnalité « kill switch » qui coupe automatiquement la connexion internet si le VPN se déconnecte inopinément, évitant ainsi toute fuite de données en clair. Sur Android, configurez le VPN « toujours actif » (Paramètres > Réseau et Internet > VPN > icône engrenage > VPN permanent). Sur iOS, les VPN se configurent via l'application du fournisseur ou via Réglages > Général > VPN et gestion des appareils.

Mesure 7 : Activer la localisation et l'effacement à distance

En cas de perte ou de vol, la capacité à localiser et effacer votre appareil à distance est essentielle pour protéger vos données personnelles.

Sur Android : activez Localiser mon appareil (Paramètres > Sécurité > Localiser mon appareil). En cas de perte, connectez-vous à android.com/find depuis n'importe quel navigateur pour localiser, faire sonner, verrouiller ou effacer l'appareil à distance.

Sur iOS : activez Localiser mon iPhone (Réglages > [votre nom] > Localiser > Localiser mon iPhone). Activez également « Envoyer la dernière position » pour que l'appareil transmette sa position juste avant que la batterie ne s'épuise. En cas de perte, utilisez icloud.com/find ou l'application Localiser sur un autre appareil Apple.

Mesure 8 : Configurer des sauvegardes chiffrées

Les sauvegardes régulières protègent vos données contre la perte, le vol ou le ransomware. Elles doivent être chiffrées pour protéger la confidentialité de vos données.

Sur Android : Paramètres > Système > Sauvegarde. La sauvegarde Google One chiffre automatiquement vos données avec votre code de verrouillage d'écran. Vérifiez que la sauvegarde est active et récente. Pour une sauvegarde locale, utilisez un logiciel de sauvegarde sur PC avec chiffrement.

Sur iOS : deux options : sauvegarde iCloud (Réglages > [votre nom] > iCloud > Sauvegarde iCloud) ou sauvegarde locale sur Mac/PC via Finder/iTunes. Pour les sauvegardes locales, cochez « Chiffrer la sauvegarde locale » pour protéger les données sensibles (mots de passe Wi-Fi, données de santé, historique d'appels). Activez la Protection avancée des données iCloud (Réglages > [votre nom] > iCloud > Protection avancée des données) pour un chiffrement de bout en bout de la quasi-totalité des données iCloud.

Mesure 9 : Vérifier le chiffrement de l'appareil

Le chiffrement du stockage garantit que les données de votre appareil sont illisibles sans le code de déverrouillage, même si la mémoire flash est extraite physiquement de l'appareil.

Sur iOS, le chiffrement (Data Protection) est activé par défaut dès qu'un code de verrouillage est configuré. Sur Android, le chiffrement est activé par défaut sur tous les appareils depuis Android 10. Vérifiez dans Paramètres > Sécurité > Chiffrement que l'appareil affiche « Chiffré ». Si vous utilisez une carte SD, chiffrez-la également (Paramètres > Sécurité > Chiffrer la carte SD) ou, mieux, évitez de stocker des données sensibles sur une carte SD amovible.

Mesure 10 : Activer le verrouillage au niveau des applications

Le verrouillage par application ajoute une couche de protection supplémentaire pour les applications les plus sensibles (banque, e-mail, gestionnaire de mots de passe), même si l'appareil est déjà déverrouillé.

Sur Android, certains fabricants (Samsung, Xiaomi) proposent un « Dossier sécurisé » ou un verrouillage d'applications natif. La plupart des applications bancaires intègrent leur propre mécanisme de verrouillage (code PIN, biométrie). Votre gestionnaire de mots de passe doit être configuré pour se verrouiller automatiquement après 1 à 5 minutes d'inactivité. Sur iOS, à partir d'iOS 18, il est possible de verrouiller et masquer des applications individuellement via Face ID/Touch ID.

Mesure 11 : Sécuriser la navigation web mobile

Le navigateur est le principal point d'entrée des menaces web sur smartphone. Utilisez un navigateur à jour (Chrome, Firefox, Safari) et activez les fonctionnalités de navigation sécurisée : Google Safe Browsing sur Chrome (activé par défaut, mode « Protection renforcée » recommandé), Intelligent Tracking Prevention sur Safari. Évitez de cliquer sur des liens reçus par SMS ou messagerie, surtout s'ils sont raccourcis (bit.ly, t.co) — saisissez manuellement l'URL du site dans le navigateur. Installez un bloqueur de publicités (AdGuard, 1Blocker) pour réduire l'exposition aux publicités malveillantes (malvertising). Désactivez JavaScript pour les sites non fiables si votre navigateur le permet (Firefox avec uBlock Origin).

Mesure 12 : Désactiver Bluetooth et NFC quand inutilisés

Le Bluetooth et le NFC sont des vecteurs d'attaque potentiels lorsqu'ils sont actifs en permanence. Les attaques BlueBorne (exploitation de vulnérabilités Bluetooth sans appairage) et les attaques par relais NFC (interception et relais des communications NFC pour les paiements sans contact) sont des menaces réelles. Désactivez le Bluetooth et le NFC lorsque vous ne les utilisez pas activement. Sur Android, accédez aux réglages rapides (swipe vers le bas) pour basculer rapidement ces fonctionnalités. Sur iOS, utilisez le Centre de contrôle — attention, la désactivation du Bluetooth via le Centre de contrôle ne le désactive que temporairement ; pour une désactivation complète, allez dans Réglages > Bluetooth.

Mesure 13 : Se méfier des QR codes

Les QR codes sont devenus omniprésents (restaurants, transports, publicités) mais peuvent être détournés pour rediriger vers des sites malveillants. La technique du « quishing » (QR code phishing) consiste à coller un QR code malveillant par-dessus un QR code légitime, ou à diffuser des QR codes frauduleux par e-mail ou sur des affiches. Avant de scanner un QR code, vérifiez visuellement qu'il n'a pas été collé par-dessus un autre. Utilisez l'application appareil photo native (qui affiche l'URL avant ouverture) plutôt qu'une application tierce de scan. Vérifiez l'URL affichée avant de cliquer : elle doit correspondre au service attendu et utiliser HTTPS.

Mesure 14 : Configurer un DNS sécurisé

Le DNS chiffré (DNS over HTTPS ou DNS over TLS) protège vos requêtes DNS contre l'interception et la manipulation, empêchant un attaquant sur le même réseau de voir les sites que vous visitez ou de vous rediriger vers des sites frauduleux.

Sur Android (9+) : Paramètres > Réseau et Internet > DNS privé > choisissez un fournisseur DNS sécurisé (dns.quad9.net pour le filtrage des domaines malveillants, 1dot1dot1dot1.cloudflare-dns.com pour la rapidité, ou dns.google pour Google Public DNS).

Sur iOS (14+) : installez un profil de configuration DNS chiffré (disponible sur les sites des fournisseurs DNS comme Quad9 ou Cloudflare) via Réglages > Général > VPN et gestion des appareils, puis activez-le dans Réglages > Général > DNS.

Mesure 15 : Effectuer un audit de sécurité régulier

La sécurisation du smartphone n'est pas une action ponctuelle mais un processus continu. Planifiez un audit mensuel de 15 minutes couvrant : vérification des mises à jour système et applications, revue des permissions accordées aux applications, suppression des applications inutilisées (réduction de la surface d'attaque), vérification du verrouillage biométrique et du code PIN, vérification de la sauvegarde (date et contenu), scan avec un outil de sécurité mobile (Lookout, Bitdefender Mobile Security, Malwarebytes Mobile), et vérification des comptes et sessions actives sur vos applications sensibles.

Section spécifique pour les adolescents : cybersécurité mobile des 10-17 ans

Les adolescents sont parmi les utilisateurs les plus intensifs du smartphone et les plus exposés aux risques spécifiques. Leur accompagnement en matière de cybersécurité est une responsabilité parentale essentielle.

Contrôle parental : sur Android, activez Family Link (google.com/familylink) qui permet de gérer le temps d'écran, de filtrer les applications et sites web, de localiser l'appareil et de verrouiller l'appareil à distance. Sur iOS, activez Temps d'écran (Réglages > Temps d'écran) avec un code parental, configurez les restrictions de contenu (Réglages > Temps d'écran > Restrictions relatives au contenu et à la confidentialité) et les limites d'utilisation par application.

Paramétrage de la confidentialité sur les réseaux sociaux : accompagnez votre adolescent dans le paramétrage de la confidentialité de ses comptes Instagram, TikTok, Snapchat et autres : compte privé (visible uniquement par les abonnés approuvés), désactivation de la géolocalisation dans les publications, restriction des messages directs aux contacts connus, et désactivation de l'affichage du statut en ligne. Rappelez que ce qui est publié en ligne est potentiellement permanent et peut resurgir des années plus tard.

Cyberharcèlement et numéro 3018 : sensibilisez votre adolescent au cyberharcèlement : ne pas répondre aux provocations, conserver les preuves (captures d'écran), en parler immédiatement à un adulte de confiance, et contacter le 3018 (numéro national de lutte contre le cyberharcèlement, gratuit et anonyme, disponible aussi via l'application 3018). Le harcèlement en ligne est un délit puni par la loi française (article 222-33-2-2 du Code pénal).

Risques liés au sexting : la diffusion d'images intimes de mineurs constitue un délit de pédopornographie (article 227-23 du Code pénal), y compris lorsque le mineur est consentant et même lorsqu'il est lui-même l'auteur de l'image. Informez votre adolescent que l'envoi d'images intimes l'expose au risque de diffusion non consentie (revenge porn), de chantage, et de poursuites pénales pour le destinataire.

Section spécifique pour les seniors : simplification et protection

Les seniors sont particulièrement ciblés par les arnaques numériques : faux appels du support technique, SMS frauduleux (faux colis, fausse Carte Vitale, faux remboursement), et escroqueries sentimentales. Voici des mesures adaptées à leurs besoins spécifiques.

Simplification de l'interface : activez le mode « facile » ou « simplifié » disponible sur de nombreux smartphones Android (Samsung Easy Mode, Xiaomi Simple Mode) qui agrandit les icônes, simplifie la navigation et affiche les contacts favoris en accès direct. Sur iOS, configurez les tailles de texte en grand (Réglages > Accessibilité > Affichage et taille du texte) et réduisez le nombre d'applications sur l'écran d'accueil aux essentielles.

Reconnaissance des arnaques : les signaux d'alerte à retenir sont l'urgence (« votre compte sera fermé dans 24h »), la demande d'action inhabituelle (« cliquez sur ce lien », « rappelez ce numéro »), l'expéditeur inconnu ou usurpé, et la promesse trop belle (remboursement inattendu, gain de loterie). En cas de doute, la règle est simple : ne pas cliquer, ne pas rappeler, ne pas donner d'information personnelle, et demander l'avis d'un proche ou appeler le 0 805 805 817 (numéro d'aide aux victimes de cybermalveillance.gouv.fr).

Configuration d'un contact de confiance : désignez un proche (enfant, neveu/nièce, voisin de confiance) comme « référent numérique » capable d'intervenir en cas de problème technique ou de suspicion d'arnaque. Sur iOS, configurez le « Contact légataire » (Réglages > [votre nom] > Mot de passe et sécurité > Contact légataire) qui pourra accéder au compte Apple en cas de décès. Sur Android, configurez le « Contact d'urgence » et le « Gestionnaire de compte inactif » dans les paramètres Google.

Comprendre le modèle de sécurité Android versus iOS

Pour appliquer efficacement les 15 mesures, il est utile de comprendre les différences fondamentales entre les modèles de sécurité d'Android et d'iOS. iOS adopte une approche de jardin clos (walled garden) : le système est fermé, les applications sont isolées dans des sandboxes strictes et ne peuvent pas accéder aux données d'autres applications, l'installation d'applications se fait exclusivement via l'App Store (où Apple contrôle chaque application avant publication), et le chiffrement matériel est intégré à la puce Apple depuis l'iPhone 5s (Secure Enclave). Cette approche offre une sécurité élevée par défaut mais au prix d'une flexibilité réduite.

Android adopte une approche plus ouverte : le système est basé sur Linux avec un noyau open source, les applications peuvent être installées depuis des sources tierces (sideloading), et les fabricants peuvent personnaliser le système (surcouches Samsung, Xiaomi, etc.). Cette ouverture offre une plus grande flexibilité mais augmente la surface d'attaque. Les mises à jour de sécurité dépendent du fabricant et de l'opérateur, créant une fragmentation significative : un smartphone Samsung Galaxy S24 recevra des patches mensuels pendant 7 ans, tandis qu'un smartphone d'entrée de gamme d'un fabricant moins engagé pourrait ne plus recevoir de mises à jour après 2-3 ans.

Le sandboxing est le mécanisme de sécurité fondamental sur les deux plateformes. Chaque application s'exécute dans un environnement isolé avec un accès limité aux ressources système. Les permissions (caméra, microphone, contacts, localisation) constituent des ponts contrôlés entre le sandbox de l'application et les ressources protégées. C'est pourquoi la revue des permissions (mesure 5) est si importante : chaque permission accordée élargit la surface d'attaque potentielle d'une application compromise.

Google Play Protect analyse chaque application avant et après installation, en utilisant des modèles de machine learning pour détecter les comportements malveillants. Apple effectue une revue manuelle et automatique de chaque application soumise à l'App Store. Malgré ces contrôles, des applications malveillantes passent régulièrement à travers les mailles du filet : en 2025, Google a retiré plus de 2 millions d'applications violant ses règles, et Apple plusieurs centaines. La vigilance de l'utilisateur reste donc indispensable.

Sécurisation des applications de messagerie

Les applications de messagerie contiennent vos conversations les plus intimes et professionnelles. Leur sécurisation mérite une attention particulière. Signal est la messagerie la plus sécurisée pour les communications sensibles : chiffrement de bout en bout par défaut pour tous les messages et appels, protocole Signal open source et audité, messages éphémères (auto-destruction programmable), aucune collecte de métadonnées, et organisation à but non lucratif. WhatsApp utilise le même protocole Signal pour le chiffrement des messages mais collecte des métadonnées significatives (contacts, fréquence de communication, localisation) partagées avec Meta. Telegram ne chiffre PAS les conversations par défaut de bout en bout : seuls les « chats secrets » (à activer manuellement) utilisent le chiffrement E2E. Les conversations classiques et les groupes sont chiffrés en transit mais stockés sur les serveurs de Telegram, accessibles à l'entreprise. Pour les communications professionnelles sensibles, privilégiez Signal ou une solution de messagerie d'entreprise chiffrée (Element/Matrix pour l'auto-hébergement, Microsoft Teams avec chiffrement E2E activé pour les appels 1:1).

Configurez les paramètres de confidentialité de chaque messagerie : sur WhatsApp, désactivez la confirmation de lecture et le statut en ligne (Paramètres > Confidentialité), limitez la visibilité de votre photo de profil et de votre statut aux contacts enregistrés. Sur Telegram, activez la vérification en deux étapes (mot de passe supplémentaire), désactivez le transfert automatique et configurez l'auto-destruction des messages dans les conversations sensibles. Utilisez un gestionnaire de mots de passe pour sécuriser les codes PIN et mots de passe de vérification de chaque messagerie.

Protection contre le phishing et les arnaques par SMS (smishing)

Le smishing (phishing par SMS) est en forte augmentation en France. Les SMS frauduleux les plus courants imitent : l'Assurance Maladie (fausse Carte Vitale à renouveler), La Poste ou Chronopost (faux colis en attente), les impôts (faux remboursement), la banque (faux blocage de compte), et l'opérateur télécom (fausse facture). Ces SMS contiennent un lien vers un site frauduleux parfaitement imité qui capture vos identifiants ou installe un malware.

Les règles d'or contre le smishing sont les suivantes. Aucun organisme officiel ne demande vos coordonnées bancaires par SMS ou par lien. En cas de doute, ne cliquez jamais sur le lien : ouvrez votre navigateur et accédez manuellement au site officiel de l'organisme. Vérifiez le numéro d'expéditeur : les organismes officiels utilisent des numéros courts identifiables. Signalez les SMS frauduleux en les transférant au 33700 (plateforme nationale de signalement des spams SMS). Installez un filtre anti-spam SMS (intégré sur iOS via Réglages > Messages > Filtrer les expéditeurs inconnus, et disponible via des applications tierces sur Android comme Truecaller). Consultez régulièrement les alertes de cybermalveillance.gouv.fr qui publie des alertes sur les campagnes de smishing en cours.

BYOD et MDM : sécurisation des smartphones en entreprise

En entreprise, la gestion des smartphones se complexifie avec la pratique du BYOD (Bring Your Own Device) où les collaborateurs utilisent leur smartphone personnel pour accéder aux ressources professionnelles. Le MDM (Mobile Device Management) est la solution technique permettant de concilier la sécurité de l'entreprise avec la vie privée des collaborateurs.

Les solutions MDM leaders (Microsoft Intune, VMware Workspace ONE, Jamf pour iOS, MobileIron) permettent de : imposer un code de verrouillage conforme à la politique de mots de passe, vérifier le chiffrement de l'appareil, distribuer et configurer automatiquement les applications professionnelles, créer un conteneur chiffré séparant les données professionnelles et personnelles, effacer à distance les données professionnelles uniquement (selective wipe) en cas de perte/vol ou de départ du collaborateur, et bloquer l'accès aux ressources d'entreprise depuis des appareils non conformes (jailbreakés, non mis à jour, sans chiffrement). La charte informatique doit encadrer le BYOD en définissant les obligations du collaborateur et les droits de l'employeur sur l'appareil personnel.

Questions fréquentes sur la sécurisation du smartphone

Mon smartphone peut-il être piraté à distance sans que je fasse quoi que ce soit ?

Oui, c'est techniquement possible via des exploits zero-click, mais ces attaques sont extrêmement sophistiquées et coûteuses (les exploits Pegasus se vendaient plusieurs millions de dollars). Elles ciblent principalement des personnalités (journalistes, militants, dirigeants politiques). Pour le grand public, le risque principal reste le phishing, les applications malveillantes et les réseaux Wi-Fi non sécurisés. Maintenez votre appareil à jour pour bénéficier des correctifs contre les vulnérabilités connues.

Faut-il installer un antivirus sur smartphone ?

Sur iOS, les antivirus tiers n'ont pas accès au système de fichiers en raison du sandboxing strict d'Apple : ils sont donc inutiles pour la détection de malwares. Les protections intégrées d'iOS sont suffisantes. Sur Android, Google Play Protect offre une protection de base acceptable. Un antivirus tiers (Bitdefender, Lookout, Malwarebytes) peut apporter une protection supplémentaire, notamment le filtrage des URL de phishing, la détection des réseaux Wi-Fi dangereux et le scan des applications installées hors Play Store. C'est recommandé pour les utilisateurs moins avertis.

Comment savoir si mon smartphone a été piraté ?

Les signes d'alerte incluent : batterie qui se décharge anormalement vite (un processus malveillant fonctionne en arrière-plan), consommation de données inhabituelle, apparition d'applications inconnues, envoi de messages que vous n'avez pas rédigés, pop-ups publicitaires intempestifs, smartphone qui chauffe sans raison apparente, et lenteur inexpliquée. Consultez notre arbre de décision « ai-je été piraté ? » pour une procédure de diagnostic complète.

Le Wi-Fi public est-il vraiment dangereux même avec HTTPS ?

HTTPS protège le contenu de vos communications mais pas les métadonnées (les sites que vous visitez restent visibles). Un attaquant sur le même réseau peut voir les domaines que vous consultez (via les requêtes DNS non chiffrées), tenter des attaques de downgrade SSL, ou créer un portail captif frauduleux pour capturer vos identifiants. Le VPN ajoute une couche de protection en chiffrant l'intégralité du trafic, y compris les requêtes DNS. Le DNS chiffré (mesure 14) est une alternative minimale si le VPN n'est pas disponible.

Comment protéger mon numéro de téléphone contre le SIM swapping ?

Contactez votre opérateur pour activer toutes les protections disponibles : code PIN de sécurité supplémentaire pour les opérations sur le compte (distinct du code PIN de la carte SIM), désactivation du transfert de ligne à distance, authentification renforcée pour les modifications de compte. Ne publiez pas votre numéro de téléphone sur les réseaux sociaux. Remplacez le SMS comme facteur d'authentification par une application TOTP ou une clé FIDO2 sur tous les services qui le permettent.

À quelle fréquence faut-il changer de smartphone pour des raisons de sécurité ?

Le critère déterminant n'est pas l'âge du téléphone mais la disponibilité des mises à jour de sécurité. Apple garantit généralement 5 à 6 ans de mises à jour iOS. Les fabricants Android varient : Samsung et Google garantissent 5 à 7 ans de mises à jour, les fabricants chinois généralement 3 à 4 ans. Lorsque votre appareil ne reçoit plus de mises à jour de sécurité mensuelles, il est temps de le remplacer, car les vulnérabilités découvertes après la fin du support ne seront jamais corrigées.

Mon enfant a besoin d'un smartphone : quel modèle et quelle configuration ?

Pour un premier smartphone (10-13 ans), privilégiez un modèle simple et maîtrisable : un iPhone SE ou un Android d'entrée de gamme récent (pour bénéficier des mises à jour de sécurité). Configurez le contrôle parental dès l'activation (Family Link ou Temps d'écran), limitez le temps d'écran, installez uniquement les applications nécessaires, et désactivez les achats intégrés. Pour les 14-17 ans, la supervision peut être progressivement allégée, en maintenant la discussion ouverte sur les risques numériques. Pour aller plus loin, nos formations de sensibilisation à la cybersécurité proposent des modules adaptés aux familles.

Que faire si mon smartphone est volé ?

Agissez immédiatement dans cet ordre : (1) localisez l'appareil via Localiser mon iPhone/Find my Device, (2) verrouillez l'appareil à distance avec un message de contact, (3) changez les mots de passe de vos comptes les plus sensibles (e-mail, banque) depuis un autre appareil, (4) contactez votre opérateur pour bloquer la carte SIM (numéro IMEI à conserver précieusement — tapez *#06# pour l'afficher et notez-le), (5) effacez l'appareil à distance si la récupération semble impossible, (6) déposez plainte au commissariat ou à la gendarmerie (obligatoire pour l'assurance).

Inspiré des recommandations de cybermalveillance.gouv.fr (licence Etalab 2.0), de l'ANSSI et de la CNIL.

Conclusion

La prévention et la préparation restent les meilleures armes face aux cybermenaces. Téléchargez cette ressource, diffusez-la dans votre organisation et n'hésitez pas à nous contacter pour un accompagnement personnalisé.