Cybersécurité au collège : 5 réflexes simples à transmettre aux élèves
En bref
Lecture 7 min. Les 5 réflexes de cybersécurité à transmettre aux élèves de 4e et 3e, alignés avec le programme officiel cycle 4.
- Mots de passe longs, uniques par compte, et phrase mémo
- Double authentification activée sur les comptes sensibles
- Phishing : 3 signaux à reconnaître (urgence, adresse, lien)
- Vie privée sur les réseaux sociaux et droit à l’image
- Mises à jour, antivirus de base et sauvegardes régulières
Les programmes cycle 4 demandent qu’on aborde la cybersécurité en cours de techno, mais avec peu d’heures et beaucoup d’autres notions à caser, c’est souvent traité en une séance ou survolé. Pourtant, les élèves de 4e et 3e ont déjà tous au moins une boîte mail, un compte sur un réseau social, parfois une carte bancaire jeune.
Voilà les 5 réflexes que je donne systématiquement à mes classes, et dont je parle aussi aux parents lors des réunions. Ce sont des bases. Rien de technique. Juste des automatismes à installer tôt pour éviter les gros ennuis plus tard.
Tableau récapitulatif
| # | Réflexe | Ce que ça évite |
|---|---|---|
| 1 | Mot de passe long et différent par compte | Vol de comptes en cascade |
| 2 | Double authentification activée | Piratage même avec mot de passe volé |
| 3 | Méfiance face au phishing (mail, SMS, appel) | Arnaques et vol d’identifiants |
| 4 | Contrôle de ce qu’on publie en ligne | Atteinte à la vie privée et au droit à l’image |
| 5 | Mises à jour et hygiène numérique de base | Infection par virus et failles connues |
Réflexe 1 : un mot de passe long, et différent pour chaque compte
Le mot de passe est encore aujourd’hui la première porte d’entrée d’un compte. Et la plus mal verrouillée. Quand je demande à une classe ce qu’ils utilisent, j’entends régulièrement « mon prénom et ma date de naissance ». C’est exactement ce qu’un attaquant essaie en premier.
Deux règles à tenir, simples à expliquer :
Longueur d’abord, complexité ensuite. Un mot de passe de 14 caractères, même tous en minuscules, est plus dur à casser qu’un mot de passe de 8 caractères avec majuscule, chiffre et symbole. L’astuce que je donne aux élèves : prendre une phrase qu’ils retiennent (une réplique de film, un vers, une phrase de coach) et la coller sans espaces. Genre « MonChienAime LesCroquettes » devient « MonChienAimeLesCroquettes ». Long, mémorisable, et chaque caractère compte.
Un mot de passe différent par site important. Si un service se fait pirater (et ça arrive aux plus gros), tous les sites où vous avez utilisé le même mot de passe tombent en cascade. Mail, école, réseau social, jeu en ligne. Pour gérer ça sans tout retenir, un gestionnaire de mots de passe est l’outil le plus efficace. La plupart des navigateurs en intègrent un nativement maintenant.
Réflexe 2 : activer la double authentification
C’est probablement la mesure qui a le meilleur rapport effort/protection. Une fois en place, même si un attaquant a votre mot de passe, il ne peut pas se connecter sans le code envoyé sur votre téléphone (ou généré par une application).
Concrètement : sur leur boîte mail, leur compte de jeu, leur réseau social, les élèves doivent aller dans « paramètres de sécurité » et chercher « authentification à deux facteurs » ou « validation en deux étapes » ou « 2FA ». L’activation prend deux minutes et n’a pas d’inconvénient majeur.
Une nuance que je tiens à donner : préférer une application d’authentification (codes générés localement) au SMS quand c’est possible. Le SMS reste mieux que rien, mais il existe des techniques pour intercepter le SMS (SIM swap notamment). Pour des comptes adolescents non sensibles, le SMS suffit largement.
Réflexe 3 : reconnaître une tentative de phishing
Le phishing, c’est ce mail ou ce SMS qui imite un service connu (banque, opérateur, jeu, plateforme de cours) pour récupérer vos identifiants. Les élèves en reçoivent, leurs parents en reçoivent, tout le monde en reçoit.
Trois signaux à enseigner :
L’urgence artificielle. « Votre compte sera suspendu dans 24h », « Réagissez immédiatement », « Dernier rappel avant blocage ». Une vraie communication d’un service ne pousse jamais à cliquer dans la précipitation.
L’adresse de l’expéditeur. Cliquer sur le nom affiché pour voir l’adresse mail complète. Si elle se termine par « @bnp-securite-client.com » ou « @ameli-fr-verification.net », c’est une arnaque. Les vrais domaines sont courts et propres.
Le lien sur lequel on veut vous faire cliquer. Survoler sans cliquer pour voir l’URL réelle. Si ça pointe vers autre chose que le site officiel, ne pas cliquer.
J’ajoute toujours une règle de bon sens : en cas de doute, on ne clique pas sur le lien dans le message. On va directement sur le site officiel en tapant l’adresse soi-même.
Réflexe 4 : ce qu’on publie en ligne ne s’efface pas
Cette partie est moins technique mais aussi importante. Tout ce qu’un élève publie sur un réseau social, un forum, une story, peut être capturé en écran et ressortir des années plus tard. Ce qui semblait drôle en 4e peut coûter un stage en seconde ou un job d’été plus tard.
Trois points concrets à transmettre :
Régler la confidentialité du compte. Un compte privé limite l’audience aux contacts acceptés. Un compte public est visible de tout le monde, y compris des moteurs de recherche.
Demander avant de publier une photo de quelqu’un. Le droit à l’image existe à tout âge. Publier une photo d’un copain sans son accord peut entraîner sa suppression à la demande, et au-delà, peut entraîner des sanctions disciplinaires si la photo est moqueuse.
Ne pas partager d’informations personnelles publiquement. Adresse, numéro de téléphone, nom du collège, créneaux d’activités hors scolaire. Tout ça, mis bout à bout, dessine un profil exploitable.
Un argument qui marche bien avec les ados : « Imagine qu’un recruteur, dans cinq ans, tape ton nom sur un moteur de recherche. Qu’est-ce qu’il va trouver ? ». Ça les fait réfléchir mieux que le discours sur la vie privée en abstrait.
Réflexe 5 : mises à jour et hygiène numérique de base
Dernier bloc, plus technique mais court à expliquer. Les failles de sécurité dans les logiciels sont découvertes en permanence et corrigées via des mises à jour. Un ordinateur ou un téléphone qui n’a pas été mis à jour depuis six mois embarque des failles connues, donc exploitables.
Trois habitudes à installer :
Activer les mises à jour automatiques sur l’OS et les applications principales. Sur Windows, macOS, Android, iOS, c’est par défaut, mais beaucoup d’élèves ont désactivé les mises à jour parce que « ça prend du temps ». Leur expliquer pourquoi c’est une mauvaise idée.
Avoir un antivirus actif, même basique. Windows Defender intégré à Windows fait déjà bien le travail pour un usage standard. Sur macOS et Linux, le besoin est moindre mais existe.
Faire des sauvegardes. Photos, devoirs, projets. Un disque externe une fois par mois, ou une copie dans un cloud, évite de tout perdre en cas de panne ou de ransomware. Cette habitude est rarement prise par les élèves, parfois pas plus par les adultes.
Une séance en classe possible
Pour les collègues qui veulent traiter le sujet en 4e ou 3e, voilà le format qui me marche bien sur une séance de 55 minutes :
- 10 min : sondage rapide à main levée sur leurs pratiques actuelles (combien utilisent le même mot de passe partout, combien ont la 2FA activée, combien ont déjà reçu un phishing). Ça pose le diagnostic et capte leur attention.
- 25 min : présentation des 5 réflexes avec exemples concrets et démonstrations (montrer un vrai mail de phishing reçu sur sa propre boîte, anonymisé).
- 15 min : activité en binôme. Chaque binôme prend un compte fictif et liste les 5 actions à faire pour le sécuriser.
- 5 min : synthèse au tableau et fiche méthode à coller dans le cahier.
Si vous voulez la fiche méthode au format A4 imprimable, écrivez à contact@technobriez.fr, je peux l’envoyer.
Questions fréquentes
À quel âge commencer à parler de cybersécurité à un enfant ?
Dès qu’un enfant utilise un appareil connecté, donc souvent dès le primaire. En collège, c’est trop tard pour commencer les bases. Les 5 réflexes décrits ici sont calibrés pour des élèves de 4e et 3e mais peuvent être adaptés dès la 6e.
La cybersécurité est-elle au programme officiel ?
Oui, en cycle 4 (5e, 4e, 3e) sur la partie « informatique » du programme de technologie. Le ministère a aussi déployé des ressources pédagogiques via Éduscol pour faciliter l’intégration en classe.
Quels outils gratuits pour gérer ses mots de passe ?
Plusieurs gestionnaires gratuits existent, intégrés au navigateur ou en application dédiée. Pour les élèves, le plus simple reste d’utiliser celui intégré à leur navigateur principal. Pour les usages plus avancés, des applications dédiées proposent un coffre-fort multi-appareils.
Comment vérifier si un compte a été piraté ?
Le site « Have I Been Pwned » (en anglais) permet de saisir une adresse mail et de voir si elle apparaît dans des fuites de données connues. Service gratuit, sérieux, recommandé par l’ANSSI.
Quelle différence entre virus et phishing ?
Un virus est un programme malveillant qui s’installe sur l’appareil pour voler, chiffrer ou détruire des données. Le phishing est une technique de manipulation psychologique pour pousser l’utilisateur à révéler ses identifiants. Les deux peuvent se combiner mais ce sont deux logiques différentes.
Pour aller plus loin
Le portail éducation à la cybersécurité du ministère rassemble les ressources officielles et les actions menées en milieu scolaire.
Côté programme techno, voir aussi la page programme de technologie cycle 4 pour situer la cybersécurité dans l’ensemble des notions de l’année.
Et si vos élèves préparent le brevet, plusieurs sujets DNB techno abordent indirectement la sécurité informatique. La liste complète des QCM technologie 3e en PDF contient des quiz réseaux qui couvrent les notions de base.
Bonne sensibilisation. Et si une question pose problème en classe, ou si vous voulez la fiche méthode à imprimer, écrivez à contact@technobriez.fr.