J'ai passé trente ans sur la sécurité bancaire. Mais quand mes proches me demandent ce qu'ils doivent faire chez eux, la réponse tient en quelques gestes simples. Des gestes que la plupart des gens ne font pas encore — pas parce que c'est compliqué, mais parce que personne ne leur a expliqué clairement. Cet article est pour eux.

I have spent thirty years on banking security. But when people ask me what to do at home, the answer comes down to a handful of simple habits. Habits most people still haven't adopted — not because they are complicated, but because nobody explained them clearly. This article is for them.

Aucune compétence technique requise. Pas d'investissement financier. Juste un peu de temps — une fois.

No technical skills required. No financial investment. Just a little time — once.

"Les cybercriminels ne ciblent pas les gens parce qu'ils sont importants. Ils les ciblent parce qu'ils sont accessibles."

"Cybercriminals don't target people because they're important. They target them because they're accessible."

1. Ne jamais divulguer son mot de passe

1. Never share your password

C'est la règle la plus fondamentale — et la plus souvent violée. Votre banque ne vous demandera jamais votre mot de passe. Ni par téléphone, ni par e-mail, ni par SMS. Ni votre opérateur télécom, ni Microsoft, ni le "service technique" qui vous appelle pour vous dire que votre ordinateur est infecté. Personne de légitime ne vous demandera jamais ce renseignement.

This is the most fundamental rule — and the most frequently broken. Your bank will never ask for your password. Not by phone, not by email, not by text message. Neither will your telecom provider, nor Microsoft, nor the "technical support" caller claiming your computer is infected. No legitimate organisation will ever ask for this information.

Si quelqu'un vous le demande, c'est une tentative d'escroquerie. Raccrochez. Supprimez le message. Ne cliquez sur rien.

If anyone asks for it, it's a scam. Hang up. Delete the message. Don't click anything.

🛡️ Règle d'orGolden rule

Une instance officielle — banque, administration, entreprise — ne vous demandera jamais de communiquer votre mot de passe, vos coordonnées bancaires ou votre code PIN par téléphone, e-mail ou SMS. En cas de doute, raccrochez et rappelez vous-même le numéro officiel.

Any legitimate institution — bank, government, company — will never ask you to share your password, banking details or PIN by phone, email or text. When in doubt, hang up and call back the official number yourself.

2. Des mots de passe solides — et un gestionnaire

2. Strong passwords — and a password manager

Une seule clé pour tout — maison, voiture, bureau, boîte aux lettres. Si on la vole, c'est la catastrophe. Or les fuites de données sont quotidiennes : des millions de combinaisons identifiant/mot de passe se revendent chaque jour sur le marché noir.

One key for everything — home, car, office, letterbox. If it gets stolen, everything is gone. Data breaches happen daily: millions of username/password combinations are sold on the black market every day.

La solution : un gestionnaire de mots de passe. Si vous êtes dans l'écosystème Apple, vous en avez déjà un — le trousseau iCloud, intégré à votre iPhone, iPad et Mac, fonctionne très bien et ne coûte rien. Google propose l'équivalent pour Android et Chrome. Si vous préférez une solution indépendante de votre plateforme, NordPass, 1Password… font le travail — sur tous vos appareils à la fois. Dans tous les cas, le principe est le même : un mot de passe unique et complexe pour chaque site, généré et mémorisé automatiquement. Un seul à retenir : celui du gestionnaire lui-même (avec de l'authentification multi-facteur, bien entendu).

The solution: a password manager. If you are in the Apple ecosystem, you already have one — iCloud Keychain, built into your iPhone, iPad and Mac, works well and costs nothing. Google offers the equivalent for Android and Chrome. If you prefer a platform-independent solution, NordPass, 1Password… cover all your devices at once. In every case, the principle is the same: a unique, complex password for each site, generated and remembered automatically. One to remember: the manager's own (with multi-factor authentication, of course).

Mieux encore : les clefs d'accès (passkeys)

Even better: passkeys

La technologie évolue et les mots de passe sont progressivement remplacés par les passkeys — des clefs cryptographiques stockées sur votre appareil (téléphone, ordinateur) qui vous identifient sans mot de passe du tout. Votre empreinte digitale ou votre visage suffisent. Google, Apple, Microsoft et de nombreux sites les supportent déjà. Quand un site vous propose d'activer un passkey, acceptez — c'est plus sûr qu'un mot de passe, même complexe.

Technology is evolving and passwords are gradually being replaced by passkeys — cryptographic keys stored on your device (phone, computer) that identify you without any password at all. Your fingerprint or face is enough. Google, Apple, Microsoft and many websites already support them. When a site offers to set up a passkey, accept — it's more secure than even a complex password.

3. Activer l'authentification à deux facteurs — partout où c'est possible

3. Enable two-factor authentication — everywhere you can

Un mot de passe se vole — par fuite de données, phishing ou keylogger. La MFA (authentification multi-facteurs) ajoute une barrière : sans ce deuxième facteur, l'accès reste bloqué même si quelqu'un connaît votre mot de passe.

A password can be stolen — through a data breach, phishing or a keylogger. MFA (multi-factor authentication) adds a barrier: without that second factor, access stays blocked even if someone has your password.

Trois catégories de facteurs : ce que vous savez (mot de passe, code PIN), ce que vous avez (téléphone, application, clé physique), ce que vous êtes (empreinte, visage — la biométrie que vous utilisez déjà chaque jour pour déverrouiller votre téléphone). Combinez-en deux : c'est quasi-impossible à forcer.

Three categories of factors: something you know (password, PIN), something you have (phone, app, physical key), something you are (fingerprint, face — the biometrics you already use every day to unlock your phone). Combine two of them: it becomes near-impossible to force.

Activez-la sur tous les services qui le permettent, en commençant par les plus sensibles :

Enable it on every service that supports it, starting with the most sensitive:

Où activer la MFA en priorité
Where to enable MFA first

Quelle méthode choisir ? Du moins sécurisé au plus sécurisé :

Which method to choose? From least to most secure:

Code par SMS
SMS code

Un code à 6 chiffres envoyé sur votre téléphone. C'est le minimum — mieux que rien, mais vulnérable à certaines attaques ciblées (SIM swapping). À activer si c'est la seule option proposée.

A 6-digit code sent to your phone. This is the minimum — better than nothing, but vulnerable to certain targeted attacks (SIM swapping). Enable it if it's the only option available.

Application d'authentification
Authenticator app

Google Authenticator, Microsoft Authenticator, ou Authy génèrent un code temporaire toutes les 30 secondes, sans réseau. Plus sûr que le SMS. C'est la méthode recommandée pour la grande majorité des gens.

Google Authenticator, Microsoft Authenticator, or Authy generate a temporary code every 30 seconds, without network access. More secure than SMS. This is the recommended method for the vast majority of people.

Une précaution importante : lors de l'activation, la plupart des services vous proposent des codes de secours (backup codes). Imprimez-les ou notez-les et rangez-les en lieu sûr — ils vous permettront de récupérer votre compte si vous perdez votre téléphone.

One important precaution: when setting up MFA, most services offer backup codes. Print them or write them down and store them somewhere safe — they will allow you to recover your account if you lose your phone.

4. Faire les mises à jour — sans attendre

4. Apply updates — without delay

Les mises à jour sont ennuyeuses. Elles tombent au mauvais moment. On les reporte. C'est compréhensible — et c'est précisément ce que les cybercriminels espèrent. La grande majorité des attaques réussies exploitent des vulnérabilités connues, pour lesquelles un correctif existe mais n'a pas encore été appliqué.

Updates are annoying. They arrive at inconvenient moments. We postpone them. That's understandable — and precisely what cybercriminals are counting on. The vast majority of successful attacks exploit known vulnerabilities for which a patch already exists but hasn't been applied yet.

Activez les mises à jour automatiques sur votre téléphone, votre ordinateur, et votre navigateur. Pour votre box internet et vos objets connectés (cameras, imprimantes, thermostats…), vérifiez régulièrement si des mises à jour de firmware sont disponibles — ces appareils sont souvent les plus négligés et les plus exposés.

Enable automatic updates on your phone, computer and browser. For your internet router and connected devices (cameras, printers, thermostats…), regularly check whether firmware updates are available — these devices are often the most neglected and the most exposed.

5. Reconnaître le phishing

5. Recognising phishing

Le phishing — l'hameçonnage — est de loin la technique d'attaque la plus utilisée. Un e-mail, un SMS ou un message WhatsApp qui semble venir de votre banque, de bpost, de la SNCB, de mypension ou d'un colis non livré. L'objectif est toujours le même : vous faire cliquer sur un lien et saisir vos données.

Phishing is by far the most widely used attack technique. An email, text or WhatsApp message that appears to come from your bank, the post office, the railway company, or a parcel delivery service. The goal is always the same: get you to click a link and enter your details.

01
Vérifiez l'adresse de l'expéditeur
Check the sender's address
Un vrai message de votre banque ne vient pas de gmail.com ou d'un domaine bizarre. Regardez attentivement — pas juste le nom affiché, mais l'adresse réelle.
A genuine message from your bank doesn't come from gmail.com or a strange domain. Look carefully — not just the display name, but the actual address.
02
Survolez le lien avant de cliquer
Hover over the link before clicking
Posez le curseur sur le lien sans cliquer. L'URL qui apparaît correspond-elle au vrai site ? Le domaine doit être reconnaissable avant le premier "/" .
Rest your cursor on the link without clicking. Does the URL that appears match the real site? The domain should be recognisable before the first "/".
03
L'urgence est un signal d'alarme
Urgency is a red flag
"Votre compte sera bloqué dans 24h", "Paiement urgent requis"... La pression temporelle est une technique de manipulation classique. Prenez le temps de vérifier.
"Your account will be blocked in 24h", "Urgent payment required"… Time pressure is a classic manipulation technique. Take the time to verify.
04
Signalez et supprimez
Report and delete
Transférez tout message suspect à suspect@safeonweb.be puis supprimez-le. En 2025, près de 10 millions de signalements ont permis de bloquer des milliers de sites frauduleux.
Forward any suspicious message to suspect@safeonweb.be then delete it. In 2025, nearly 10 million reports helped block thousands of fraudulent sites.

Le CCB et Safeonweb : une ressource belge de qualité

The CCB and Safeonweb: a quality Belgian resource

La Belgique a le CCB (Centre pour la Cybersécurité Belgique) — une autorité nationale sérieuse, avec une plateforme grand public : Safeonweb. Des guides gratuits, clairs, zéro jargon. Conçu pour tout le monde, pas pour les techniciens.

Belgium has the CCB (Centre for Cybersecurity Belgium) — a serious national authority with a public-facing platform: Safeonweb. Free guides, clear language, no jargon. Designed for everyone, not just IT people.

En 2025, Safeonweb a reçu près de 10 millions de signalements de messages suspects, bloquant des centaines de millions d'accès à des sites malveillants.

In 2025, Safeonweb received nearly 10 million reports of suspicious messages, blocking hundreds of millions of accesses to malicious sites.

Ressources Safeonweb à consulter
Safeonweb resources worth bookmarking
safeonweb.be/fr/conseils — Tous les conseils pour surfer en sécurité— All tips for safe browsing safeonweb.be/fr/au-secours — Victime d'une arnaque ? Les démarches— Fallen victim to a scam? What to do safeonweb.be — Fraude à l'investissement : reconnaître les signaux— Investment fraud: recognising the warning signs safeonweb.be — Reconnaître les e-mails frauduleux en 10 minutes— Recognise fraudulent emails in 10 minutes ccb.belgium.be — Site officiel du CCB— Official CCB website

Les scams bancaires : une menace en forte hausse

Banking scams: a rapidly growing threat

Les arnaqueurs ne font plus juste des faux e-mails. Ils appellent — en se faisant passer pour votre conseiller bancaire, en connaissant déjà votre nom, parfois votre numéro de compte. Ils créent une fausse urgence ("votre carte est compromise, nous devons agir maintenant") et vous guident pas à pas vers un virement frauduleux.

Fraudsters don't just send fake emails anymore. They call — impersonating your bank advisor, already knowing your name, sometimes your account number. They create false urgency ("your card has been compromised, we need to act now") and walk you step by step into a fraudulent transfer.

Quelques règles absolues face à ces appels :

A few absolute rules when faced with such calls:

🏦 Fraude bancaire : ce qu'il faut retenirBanking fraud: what to remember

Installez l'extension Safeonweb dans votre navigateur (Belgique)

Install the Safeonweb browser extension (Belgium)

Un geste simple et gratuit : installez l'extension Safeonweb dans Chrome ou Firefox. Elle vous avertit automatiquement quand vous naviguez vers un site connu pour être malveillant — avant que vous ne saisissiez quoi que ce soit. En 2025, le Belgian Anti-Phishing Shield a enregistré plus de 185 millions de visites vers sa page d'avertissement. C'est 185 millions d'internautes potentiellement protégés.

A simple, free step: install the Safeonweb browser extension in Chrome or Firefox. It automatically warns you when you navigate to a site known to be malicious — before you enter anything. In 2025, the Belgian Anti-Phishing Shield recorded more than 185 million visits to its warning page. That's 185 million potentially protected internet users.

Extension navigateur
Browser extension
Extension Safeonweb — Disponible pour Chrome et Firefox, gratuite— Available for Chrome and Firefox, free Application Safeonweb — Alertes en temps réel sur votre smartphone— Real-time alerts on your smartphone

En résumé : six gestes, ce week-end

In summary: six actions, this weekend

Si vous deviez ne retenir qu'une liste de choses à faire :

If you had to take away just one list of things to do:

Liste d'actionsAction list

Zéro compétence technique requise. Juste de la discipline. Et une fois en place, ça tient.

No technical skills required. Just discipline. And once in place, it holds.

La sérendipité, parfois, c'est de prendre les bonnes décisions avant d'en avoir besoin.

Serendipity, sometimes, is making the right decisions before you need them.

Denis Neuforge
CISSP · CCSP · CIPP/E · PECB NIS2 Senior Lead Implementer

Senior Cybersecurity Consultant et Managing Director de Serendipity SRL. 30 ans d'expérience en sécurité de l'information dans les institutions financières internationales et le secteur public belge. Spécialiste NIS2, gouvernance de la sécurité et gestion des risques.

Senior Cybersecurity Consultant and Managing Director of Serendipity SRL. 30 years of experience in information security in international financial institutions and the Belgian public sector. Specialist in NIS2, security governance and risk management.