Cybersécurité (congés) 2026 : check-list avant de partir en vacances

Vous partez en vacances cet été. Vous avez prévu les valises, les réservations, l’assurance voyage, peut-être même le check-up chez le médecin. Mais avez-vous pensé à votre cybersécurité ? Chaque année, la période juillet-août est marquée par un pic d’incidents informatiques : selon l’ANSSI et le CERT-FR, le nombre d’attaques réussies contre les particuliers en vacances augmente de 38% par rapport au reste de l’année, et celui des incidents professionnels impliquant un collaborateur en déplacement grimpe de 27%.

Ce guide propose 17 fiches pratiques structurées en 4 phases : avant le départ, pendant les congés, au retour, et au niveau de l’entreprise. Il s’adresse autant aux particuliers qu’aux dirigeants et responsables IT qui veulent protéger leurs collaborateurs en déplacement. Pour une approche plus large de la cybersécurité personnelle, vous pouvez consulter notre panorama cybersécurité en voyage.

🌴

L’essentiel en 60 secondes

  • Le chiffre : 38% d’augmentation des attaques réussies contre les particuliers en juillet-août, et 27% pour les collaborateurs en déplacement professionnel.
  • Le pic Google : les recherches “arnaque vacances” et “vol identité été” culminent entre le 15 juillet et le 15 août, ce qui reflète la réalité des arnaques saisonnières.
  • La méthode : 4 phases (avant, pendant, retour, entreprise), 17 fiches concrètes, applicables sans compétences techniques avancées.
  • Le piège à éviter : croire qu’un antivirus suffit. La majorité des incidents de vacances impliquent l’ingénierie sociale (arnaques, phishing, vol physique) plutôt que des failles techniques.
📅 Pourquoi l’été est une période à haut risque

Trois facteurs expliquent le pic estival : l’attention relâchée (le particulier en vacances consulte ses emails de manière plus distraite), l’exposition réseau augmentée (Wi-Fi publics, hôtels, locations de vacances mal sécurisés), et la disponibilité réduite des équipes IT en entreprise (collaborateurs en congé, validations ralenties, escalades reportées à septembre). Les attaquants le savent et programment leurs campagnes en conséquence.

Phase 1 : avant le départ (5 fiches)

La préparation avant le départ est la phase la plus importante : 80% des incidents de vacances auraient pu être évités par une préparation simple de 30 minutes. Ces 5 fiches couvrent l’essentiel à faire avant de fermer la porte de votre domicile.

Fiche 1 : sauvegarder l’essentiel avec la règle 3-2-1

La première chose à faire avant de partir est de sauvegarder vos données importantes selon la règle 3-2-1 : 3 copies de vos données critiques, sur 2 supports différents, dont 1 copie hors site (cloud sécurisé ou chez un proche). Cette règle, standard dans le monde professionnel, est trop rarement appliquée par les particuliers.

Application concrète avant des vacances de 2 semaines :

  • Sauvegarde locale : copiez vos photos, documents importants et fichiers de travail sur un disque dur externe USB que vous laissez chez vous (vol et casse sont possibles en voyage).
  • Sauvegarde cloud : synchronisez vos données professionnelles via un service cloud de confiance (Tresorit, iCloud avec chiffrement avancé, Nextcloud auto-hébergé pour les plus techniques).
  • Sauvegarde vérification : testez la restauration d’un fichier depuis la sauvegarde pour vous assurer qu’elle fonctionne réellement.

Pour les données professionnelles, vérifiez que la sauvegarde respecte la politique de votre entreprise : certains secteurs (santé, finance, juridique) imposent des sauvegardes chiffrées avec hébergement en France.

Fiche 2 : mettre à jour tous ses appareils avant le départ

Les mises à jour logicielles corrigent les vulnérabilités découvertes récemment. Un appareil non à jour expose ses utilisateurs à des failles connues, documentées publiquement, et donc facilement exploitables par les attaquants. Avant de partir, programmez une session de mise à jour de 30 minutes.

La check-list minimale :

  • Système d’exploitation : Windows (Paramètres > Windows Update), macOS (Préférences Système > Mise à jour de logiciels), iOS et Android (Paramètres > Mise à jour système).
  • Navigateur : Chrome, Firefox, Edge, Safari doivent être en dernière version stable.
  • Applications critiques : banque, email, messagerie, VPN, antivirus, stockage cloud.
  • Firmware des appareils connectés : si vous emportez une montre connectée, des écouteurs Bluetooth, ou un routeur 4G, vérifiez les mises à jour de firmware sur les sites des fabricants.

Important : les mises à jour téléchargées avant le départ doivent être installées et le système redémarré. Une mise à jour téléchargée mais non installée ne protège rien.

Fiche 3 : activer l’authentification forte partout où c’est possible

L’authentification à deux facteurs (2FA) est la mesure unique la plus efficace pour bloquer les tentatives de connexion frauduleuses. Un compte protégé par 2FA résiste à 99,9% des attaques par mot de passe, selon les données publiées par Microsoft et Google.

Comptes critiques à protéger en priorité :

  • Email principal : Gmail, Outlook, Yahoo (c’est la clé de voûte, car il permet de réinitialiser les autres comptes).
  • Banque et services financiers : toutes les applications bancaires proposent la 2FA, activez-la systématiquement.
  • Réseaux sociaux : Facebook, Instagram, LinkedIn, X (anciennement Twitter).
  • Stockage cloud : Google Drive, OneDrive, iCloud, Dropbox.
  • Comptes professionnels : VPN d’entreprise, outils SaaS (Slack, Teams, Notion, Salesforce).

Préférez une application d’authentification (Authy, Aegis, Google Authenticator) plutôt que le SMS comme seconde méthode : les SIM swap attacks permettent à des pirates d’intercepter les codes SMS.

Fiche 4 : préparer un canal de communication sécurisé pour les urgences

Pendant les vacances, vous restez parfois joignable pour des urgences professionnelles. Le canal de communication choisi doit être à la fois sécurisé et pratique. Le piège classique consiste à continuer à utiliser le mail professionnel depuis un Wi-Fi public d’hôtel, ce qui expose identifiants et contenus.

Configuration recommandée :

  • Application de messagerie chiffrée : Signal ou Threema pour les échanges sensibles (clé de chiffrement stockée localement, pas dans le cloud).
  • VPN d’entreprise : si vous devez consulter vos mails pros, utilisez toujours le VPN de votre entreprise (déployé par la DSI), jamais un VPN tiers.
  • Numéro de téléphone secondaire : un numéro dédié, connu uniquement de votre responsable et de votre RSSI, pour les urgences vraiment critiques.
  • Règle de temporisation : convenez avec votre employeur que vous ne répondez aux urgences qu’à des heures définies (par exemple 18h-19h en semaine), pour préserver votre droit à la déconnexion.

Prévenez votre direction et votre équipe : pendant les vacances, vous n’êtes joignable que pour les urgences vraies, et via un canal sécurisé, jamais via WhatsApp ou un email perso.

Fiche 5 : désigner une personne de confiance pendant l’absence

Toute absence prolongée crée une vulnérabilité opérationnelle : si une attaque survient pendant vos vacances et que vous êtes le seuldécideur technique, le temps de réaction de l’entreprise peut être multiplié par 10. Désigner un collègue de confiance formé et briefé est une mesure simple et efficace.

La procédure de désignation en 4 étapes :

  • Étape 1 – Identification : choisir un collègue ayant les compétences techniques de base et la confiance de la direction. Pas forcément un expert : un cadre formé suffit souvent.
  • Étape 2 – Briefing : expliquer les risques spécifiques (phishing estival, escroquerie au président, ransomware), montrer les procédures de gestion d’incident.
  • Étape 3 – Délégation temporaire : donner formellement délégation sur certains comptes critiques (banque d’urgence, prestataire IT) pour la durée des vacances.
  • Étape 4 – Disponibilité partagée : convenir que vous restez joignable en cas d’urgence critique, mais que le collègue est décisionnaire par défaut.

Pour les dirigeants et indépendants, cette fiche 5 est probablement la plus importante du guide : un incident non géré pendant vos congés peut avoir des conséquences bien plus graves que le stress d’avoir été briefé un collègue.

Phase 2 : pendant les congés (4 fiches)

Une fois en vacances, la vigilance ne doit pas se relâcher. Les 4 fiches suivantes couvrent les situations les plus courantes pendant un déplacement : Wi-Fi public, perte ou vol d’appareil, et arnaques saisonnières. Ces réflexes s’acquièrent rapidement et protègent contre la majorité des incidents de vacances.

Fiche 6 : Wi-Fi public voyage, les règles d’or

Le Wi-Fi public d’un hôtel, d’un aéroport, d’un café ou d’une location de vacances est rarement sécurisé. Les réseaux ouverts permettent à un attaquant situé à proximité d’intercepter votre trafic, de capturer vos identifiants, et même d’usurper des sites web que vous consultez. Cette fiche résume les bonnes pratiques, même si la seule règle absolue reste : éviter le Wi-Fi public pour toute action sensible.

Les 6 règles d’or du Wi-Fi en voyage :

  • Règle 1 – Vérifier le nom exact du réseau : demandez à l’hôtel ou au café le nom officiel de leur réseau. Les réseaux “Free_Wifi” portent souvent des noms piégeants imitant le vrai réseau (“Hotel_Free_Wifi” par exemple).
  • Règle 2 – Désactiver la connexion automatique : dans les paramètres Wi-Fi de votre téléphone, désactivez la reconnexion automatique aux réseaux ouverts.
  • Règle 3 – Utiliser un VPN : un VPN d’entreprise ou personnel chiffre l’intégralité de votre trafic, rendant toute interception inutile. C’est la mesure la plus efficace.
  • Règle 4 – HTTPS strict : vérifiez que les sites que vous consultez utilisent HTTPS (cadenas dans la barre d’adresse). N’accédez jamais à un site en HTTP sur un réseau public.
  • Règle 5 – Pas d’opération sensible : consultez vos comptes bancaires et emails pros depuis votre partage de connexion 4G/5G personnel, jamais depuis le Wi-Fi public.
  • Règle 6 – Oublier le réseau après usage : après chaque connexion, demandez à votre appareil d’oublier le réseau, pour éviter de s’y reconnecter automatiquement plus tard.

⚠️ Le piège du Wi-Fi de location de vacances

Les locations de vacances entre particuliers (Airbnb, Abritel, Booking) sont souvent équipées de Wi-Fi laissé par d’anciens locataires, sans changement de mot de passe. Le réseau est donc connu d’inconnus. Traitez-le comme un Wi-Fi public, même s’il est personnel à la location.

Fiche 7 : VPN en vacances, quand et pourquoi l’utiliser

Le VPN (Virtual Private Network) crée un tunnel chiffré entre votre appareil et un serveur distant. Tout votre trafic Internet passe par ce tunnel, ce qui empêche toute interception locale. En voyage, c’est la mesure la plus efficace pour sécuriser votre connexion, que vous utilisiez le Wi-Fi de l’hôtel ou un partage de connexion mobile.

Les situations où le VPN est indispensable :

  • Toute connexion à un Wi-Fi public : hôtel, aéroport, gare, café, restaurant, location de vacances.
  • Accès à des comptes professionnels : email d’entreprise, VPN d’entreprise, outils internes, documents partagés.
  • Opérations bancaires : même depuis votre partage 4G/5G personnel, un VPN ajoute une couche de protection face aux SIM swaps.
  • Pays avec surveillance renforcée : dans certains pays (Chine, Russie, Iran), le VPN permet de contourner la censure et d’accéder aux services occidentaux.

Choix du fournisseur VPN : évitez les VPN gratuits, qui monnayent souvent vos données. Privilégiez un fournisseur payant réputé (Mullvad, ProtonVPN, IVPN) ou, mieux, le VPN fourni par votre employeur pour les usages professionnels.

Fiche 8 : vol ou perte d’appareil, que faire dans l’heure

Le vol ou la perte d’un téléphone portable en vacances est le scénario classique du désastre numérique. Les enjeux sont multiples : accès à vos comptes, données personnelles, messageries, photos. Une réaction rapide dans la première heure limite fortement les dégâts.

La procédure d’urgence en 7 étapes :

  • Étape 1 – À distance, localiser l’appareil : utiliser “Localiser mon iPhone” (iCloud.com/find) ou “Localiser mon appareil” (Google Find My Device) pour voir où se trouve l’appareil.
  • Étape 2 – Le verrouiller : activer le verrouillage à distance avec un code spécifique et un message à l’écran (“Cet appareil a été perdu, contactez le 06 XX XX XX XX”).
  • Étape 3 – Effacer les données : en dernier recours, activer l’effacement total à distance, qui supprime tout le contenu de l’appareil. Cette option est irréversible.
  • Étape 4 – Avertir l’opérateur : appeler votre opérateur mobile pour suspendre la ligne et bloquer le forfait (évite les SMS premium et appels à l’étranger).
  • Étape 5 – Changer les mots de passe critiques : depuis un autre appareil (prêté par l’hôtel, cybercafé sécurisé), changez les mots de passe de vos comptes principaux (email, banque, réseaux sociaux).
  • Étape 6 – Déposer plainte : au commissariat de police local ou à la gendarmerie, avec le numéro IMEI de l’appareil (disponible sur la boîte d’origine ou via votre opérateur).
  • Étape 7 – Prévenir votre employeur : si l’appareil contenait des données professionnelles, alerter immédiatement le RSSI et la DSI pour appliquer la procédure d’incident.

Pour les vols à l’étranger, le dépôt de plainte local permet de déclencher l’assurance et l’opérateur, mais ne couvre pas la récupération de l’appareil. Conservez précieusement le numéro IMEI de chacun de vos appareils avant le départ.

Fiche 9 : reconnaître les arnaques spécifiques aux vacances

Chaque saison estivale voit émerger de nouvelles arnaques ciblant les vacanciers. Ces arnaques exploitent l’urgence, l’émotion, et la baisse de vigilance. Reconnaître les grandes familles d’arnaques permet de les éviter dans 95% des cas.

Le top 5 des arnaques de vacances 2026 :

  • Fausse amende ou contravention : SMS ou email imitant la préfecture ou la police vous informant d’une contravention non payée. Lien malveillant imitant le site officiel.
  • Fausse réservation confirmée : email imitant Booking, Airbnb, Expedia, annonçant une annulation ou un problème de paiement. Ouverture d’une session volée.
  • Faux remboursement de frais : email de votre compagnie aérienne ou hôtel annonçant un remboursement extraordinaire nécessitant la saisie d’un RIB.
  • Faux support technique : message imitant Microsoft, Apple, ou votre banque, annonçant un problème de sécurité nécessitant une action immédiate.
  • Arnaque au péage ou stationnement : QR code frauduleux sur les bornes de paiement de péage ou de stationnement, imitant le service officiel.

Règle absolue pour toute communication inattendue : ne cliquez jamais directement sur les liens des emails ou SMS. Allez directement sur le site officiel en tapant l’adresse vous-même dans votre navigateur.

Phase 3 : au retour de vacances (4 fiches)

La plupart des gens pensent que la sécurité numérique concerne uniquement la période des vacances. En réalité, le retour est tout aussi critique : un appareil compromis pendant un voyage peut rester dormant pendant des semaines avant d’être exploité. Ces 4 fiches garantissent un retour sécurisé.

Fiche 10 : vérifier ses comptes avant de reprendre le travail

Avant de reprendre votre activité professionnelle, consacrez 30 minutes à vérifier l’état de vos comptes numériques. Cette habitude permet de détecter une compromission à temps, avant qu’elle ne se propage à votre environnement professionnel.

La check-list de vérification :

  • Email principal : vérifier les filtres et transferts d’email. Un compte compromis peut filtrer les emails de banque ou de RH pour empêcher la détection.
  • Banque et PayPal : parcourir les transactions des dernières semaines. Signaler toute opération non reconnue.
  • Google, Apple, Microsoft : consulter la liste des appareils connectés et des sessions actives. Supprimer toute session inconnue.
  • Réseaux sociaux : vérifier les publications et messages récents. Un compte compromis poste parfois du contenu malveillant ou des arnaques.
  • Cloud : Google Drive, OneDrive, Dropbox : vérifier la liste des fichiers supprimés récemment et restaurer ceux qui sont importants.

Si une seule vérification révèle une anomalie, changez immédiatement le mot de passe concerné et activez la 2FA si ce n’est pas déjà fait. Pour les comptes bancaires, appelez votre conseiller.

Fiche 11 : auditer les appareils qui ont voyagé

Un appareil utilisé sur des Wi-Fi publics etdes bornes de charge peut être compromis silencieusement. Un audit rapide au retour permet de détecter les logiciels malveillants et de nettoyer l’appareil avant de le reconnecter au réseau professionnel.

La procédure d’audit recommandée :

  • Étape 1 – Scan antivirus complet : lancez un scan complet avec votre antivirus (Windows Defender, Avast, Bitdefender, Malwarebytes). Supprimez toute menace détectée.
  • Étape 2 – Vérifier les applications installées : sur Android et iOS, parcourez la liste des applications installées pendant les vacances. Supprimez toute application non reconnue.
  • Étape 3 – Vérifier les autorisations : parcourez les autorisations accordées aux applications (micro, caméra, localisation). Révoquez les autorisations inutiles, surtout pour les applications installées pendant les vacances.
  • Étape 4 – Mise à jour complète : relancez les mises à jour système pour combler toute faille découverte pendant votre absence.
  • Étape 5 – Changement de mot de passe utilisateur : changez le mot de passe principal de l’appareil, ainsi que le mot de passe principal du gestionnaire de mots de passe.

Pour une tranquillité totale, certains experts recommandent une réinstallation complète du système (factory reset) après un voyage dans des pays à haut risque cyber, ou après une perte/appareil récupéré suspect.

Fiche 12 : réinitialiser les mots de passe utilisés pendant les vacances

Pendant vos vacances, vous avez peut-être saisi certains mots de passe sur des Wi-Fi publics ou des appareils de prêt. La règle absolue est de considérer ces mots de passe comme compromis, et de les changer dès le retour. Cette fiche semble excessive, mais elle correspond à ce que font les RSSI des grandes entreprises.

Les comptes à changer en priorité :

  • Comptes email : Gmail, Outlook, Yahoo, et tous les emails professionnels consultés en voyage.
  • Comptes financiers : banque en ligne, PayPal, cartes bancaires sans contact (vérifier les plafonds).
  • Comptes professionnels : VPN d’entreprise, SSO, tout outil SaaS auquel vous avez accédé depuis un Wi-Fi public.
  • Comptes de voyage : Booking, Airbnb, Expedia, compagnie aérienne : ces comptes contiennent souvent vos coordonnées bancaires.
  • Gestionnaire de mots de passe : votre mot de passe principal, qui ouvre l’accès à tous les autres mots de passe.

Pour faciliter cette tâche, utilisez un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass) et profitez-en pour générer des mots de passe uniques pour chaque compte.

Fiche 13 : détecter une compromission silencieuse

Une compromission silencieuse (ou “dormante”) est un type d’attaque où le pirate obtient un accès à un système mais choisit de ne pas l’exploiter immédiatement, attendant un moment plus opportun. Ces compromissions peuvent rester actives pendant des mois sans symptôme visible, ce qui rend leur détection difficile.

Les 7 signes indirects d’une compromission :

  • Batterie qui se vide rapidement : un logiciel malveillant actif consomme de l’énergie en arrière-plan.
  • Appareil qui chauffe : sans raison visible, le processeur tourne à plein régime.
  • Conso data inhabituelle : un malware communique avec un serveur distant et consomme du forfait mobile.
  • Popups et redirections inexpliquées : le navigateur ouvre des pages non sollicitées.
  • Comptes déconnectés à répétition : un attaquant a peut-être modifié le mot de passe principal.
  • Emails envoyés non reconnus : vérifiez votre dossier “Envoyés” pour des messages que vous n’avez pas écrits.
  • Activité bancaire inexpliquée : de petits montants vers des destinataires inconnus sont un signe classique.

Si vous détectez un ou plusieurs de ces signes : passez en mode “incident” (cf. fiche 14). En cas de doute sur une compromission professionnelle, contactez immédiatement votre RSSI.

Phase 4 : au niveau de l’entreprise (4 fiches)

Les 4 fiches précédentes concernent les particuliers et les collaborateurs en déplacement. Mais la cybersécurité des congés est aussi un sujet d’entreprise : si uneattaque réussit pendant la période estivale, l’absence de personnel clé peut amplifier l’impact. Ces 4 fiches s’adressent aux dirigeants, RSSI, et responsables IT.

Fiche 14 : politique “congés cybersécurité” pour les dirigeants

Les dirigeants et personnes à haut profil sont des cibles privilégiées pendant les vacances : ils sont moins joignables, plus enclins à consulter leurs messages de manière distraite, et leurs comptes donnent accès à des informations stratégiques. Une politique spécifique aux congés s’impose.

Les 6 mesures recommandées pour les dirigeants :

  • Transfert d’autorité documenté : désigner formellement un dirigeant remplaçant pendant les congés, avec délégation de signature pour les décisions critiques.
  • Réduction des accès : suspendre ou restreindre les accès aux données stratégiques pendant la durée des congés, plutôt que de les laisser en l’état.
  • Communication sécurisée : exiger l’usage d’un canal chiffré (Signal avec clé de chiffrement vérifiée) pour toute communication sensible.
  • Surveillance renforcée : activer une surveillance renforcée des comptes dirigeants pendant les congés (alertes en temps réel sur connexions inhabituelles).
  • Briefing du RSSI : avant le départ, briefing de 30 minutes avec le RSSI sur les risques spécifiques à la période.
  • Droit à la déconnexion : acter par écrit que les congés sont sacrés, sauf urgence vitale pour l’entreprise.

Cette politique protège à la fois l’entreprise et le dirigeant : moins d’exposition, moins de stress, et une reprise plus sereine.

Fiche 15 : former les remplaçants aux bons réflexes

La désignation d’un remplaçant pendant les vacances n’est efficace que si ce remplaçant est correctement formé. Trop souvent, le collègue désigné hérite d’une boîte mail ou d’un accès sans avoir été briefé sur les bons réflexes. Le risque : il commet une erreur critique dans les premières 48 heures.

La formation express en 1 heure :

  • Identification des risques clés : phishing estival, escroquerie au président, ransomware, demandes inhabituelles de virement.
  • Procédure de double validation : toute demande sensible doit être validée par deux personnes, jamais une seule.
  • Numéros d’urgence : RSSI, direction, prestataire IT, banques : qui appeler en cas de problème.
  • Outils de signalement : comment signaler un email suspect, où trouver la procédure d’incident.
  • Droit à l’erreur : un remplaçant qui déclenche une fausse alerte doit être félicité, jamais sanctionné.

Pour les postes les plus sensibles (CFO, direction générale), cette formation doit être complétée par une simulation d’attaque avant le départ du titulaire.

Fiche 16 : tests de phishing ciblés “congés d’été”

Les campagnes de phishing en été sont souvent mieux ciblées qu’en période normale : elles imitent les services de voyage, les amendes, les opérateurs télécom, ou les administrations fiscales. Tester la résistance des équipes via des simulations ciblées permet de mesurer le niveau de vigilance réel et de renforcer la formation.

La mise en place d’un test estival :

  • Cadrage juridique et éthique : informer la direction, le CSE, et le DPO avant le test. Définir les scénarios acceptables.
  • Scénarios réalistes : fausse amende, fausse annulation de voyage, faux problème de paie, faux email du dirigeant en déplacement.
  • Mesure du taux de clic : un taux supérieur à 15% indique un besoin de formation renforcée. Un taux inférieur à 5% reflète une bonne culture de sécurité.
  • Débriefing immédiat : les employés qui cliquent reçoivent une micro-formation de 5 minutes, pas une sanction.
  • Récompense des bons réflexes : les employés qui signalent le phishing sont félicités publiquement.

Ces tests sont plus efficaces en été qu’en hiver, car le personnel est en mode “vacances” mentalement et la vigilance baisse naturellement. Les entreprises qui programment leurs tests estivaux obtiennent une amélioration plus marquée des comportements.

Fiche 17 : construire un PCA (Plan de Continuité d’Activité) saisonnier

Le PCA saisonnier est une déclinaison estivale du Plan de Continuité d’Activité. Il identifie les fonctions critiques qui doivent rester opérationnelles pendant la période estivale, et les ressources minimales pour les maintenir. Une PME de 20 salariés peut construire son PCA saisonnier en une demi-journée.

Les 5 étapes de construction :

  • Étape 1 – Identifier les fonctions critiques : production IT, service client, gestion des flux financiers, conformité réglementaire.
  • Étape 2 – Lister les personnes-clés : pour chaque fonction critique, identifier deux personnes (titulaire + remplaçant) joignables pendant les congés.
  • Étape 3 – Documenter les procédures minimales : pour chaque fonction critique, rédiger une fiche d’une page expliquant l’essentiel à savoir en cas d’absence du titulaire.
  • Étape 4 – Tester le PCA : une fois par an, simuler une indisponibilité de 48h du titulaire et vérifier que le PCA fonctionne réellement.
  • Étape 5 – Mettre à jour : après chaque période estivale, mettre à jour le PCA en fonction des incidents survenus (vrais ou simulés).

Un PCA saisonnier efficace transforme la période estivale, traditionnellement risquée, en période normale du point de vue de la sécurité informatique.

✅ À faire systématiquement avant de partir

  • Sauvegarder selon la règle 3-2-1.
  • Mettre à jour tous les appareils et activer la 2FA.
  • Préparer un canal de communication chiffré.
  • Désigner une personne de confiance formée.

❌ À éviter absolument pendant les congés

  • Consulter ses comptes bancaires sur Wi-Fi public.
  • Cliquer sur les liens d’un email inattendu.
  • Utiliser un VPN gratuit non vérifié.
  • Reporter la déclaration d’un vol à votre retour.

Questions fréquentes sur la cybersécurité pendant les congés (FAQ)

Combien de temps avant de partir dois-je préparer ma cybersécurité ?

Idéalement 1 à 2 semaines avant le départ pour les sauvegardes lourdes et la désignation du remplaçant, et 1 à 3 jours avant pour les mises à jour et la configuration des canaux d’urgence. Les sauvegardes et tests de restauration prennent du temps, mieux vaut ne pas les faire à la dernière minute.

Faut-il éteindre son téléphone pendant les vacances ?

Pas nécessairement, mais le mode avion pendant les périodes de repos (la nuit, en excursion) réduit la surface d’attaque et préserve la batterie. Pour les appels d’urgence, gardez votre téléphone à portée, en mode avion désactivé à des moments choisis.

Mon employeur peut-il savoir où je suis pendant mes congés ?

Techniquement oui si vous utilisez un appareil professionnel avec GPS activé, mais c’est illégal sans motif légitime en France (vie privée, droit à la déconnexion). Coupez la géolocalisation professionnelle de votre appareil personnel avant de partir, et utilisez un appareil dédié pour les usages professionnels sensibles.

Que faire si je reçois un appel de mon PDG pendant mes congés ?

Vérifiez l’appel par un canal indépendant avant toute action (rappel sur numéro officiel, vérification auprès d’un collègue). Les deepfakes vocaux sont une réalité 2026, comme nous l’avons documenté dans notre guide deepfake audio. Ne prenez jamais de décision sensible sous la pression d’un appel, même d’une voix familière.

Les locations de vacances sont-elles vraiment risquées ?

Principalement pour deux raisons : le Wi-Fi laissé par d’anciens locataires est connu d’inconnus, et les appareils connectés (smart TV, assistants vocaux) peuvent capter des conversations. Évitez les opérations bancaires depuis le Wi-Fi de la location, et débranchez les smart devices pendant votre séjour si vous voulez être tranquille.

Comment reconnaître un SMS frauduleux imitant la préfecture ?

Les préfectures et la police ne communiquent jamais par SMS pour des contraventions. Tout SMS avec un lien est suspect : allez directement sur le site officiel amendes.gouv.fr en tapant l’adresse vous-même. En cas de doute, contactez votre préfecture par téléphone aux heures ouvrables.

Alexi Tauzin
Alexi Tauzin
🛡️ Éditeur & Expert Cyber

Fondateur d’alexitauzin.com, entrepreneur digital et spécialiste des technologies connectées. Il décrypte les enjeux de la souveraineté numérique, de la protection des données et de la sécurité informatique pour rendre la cyber-vigilance accessible à tous.

Laisser un commentaire