Marc-André, 38 ans, comptable à Trois-Rivières. En janvier 2026, il remarque que son PC rame depuis quelques semaines. Il appelle un technicien qui trouve, après une analyse rapide, deux choses : un mineur de cryptomonnaie installé via un faux téléchargement d’Adobe Reader, et Recall activé — avec six mois d’écrans capturés, y compris ses fenêtres bancaires et ses fichiers clients.
Le chiffrement du disque? Non activé. Windows Defender? Désactivé par le « meilleur antivirus gratuit » qu’un collègue lui avait recommandé il y a deux ans. Mises à jour automatiques? Repoussées indéfiniment parce qu’elles « prenaient trop de temps ».
Windows 11 a de bons mécanismes de sécurité. Le problème, c’est qu’une bonne partie n’est pas activée par défaut, et que les mauvaises habitudes des 10 dernières années restent souvent intactes quand on migre depuis Windows 10.
Cette checklist couvre tous les réglages importants, dans l’ordre d’urgence. Comptez 45 minutes pour un premier passage complet.
1. Recall — désactiver immédiatement
Si votre PC a un processeur Copilot+ (NPU intégré, puce Snapdragon X, Intel Core Ultra 200V, ou AMD Ryzen AI 300), Recall est peut-être actif ou disponible. C’est la fonctionnalité qui capturait des captures d’écran toutes les quelques secondes et les indexait en local avec l’IA pour que vous puissiez « retrouver » n’importe quoi.
Microsoft a reculé sur le déploiement initial après un tollé général — mais Recall est revenu progressivement début 2026, avec prétendument de meilleures protections.
La réalité : l’index Recall est un fichier SQLite local qui contient l’historique complet de vos activités écran. Si un ransomware ou un info-stealer s’installe sur votre machine, il peut exfiltrer cet index. Les chercheurs ont montré dès 2024 que des outils comme TotalRecall permettaient d’extraire ces données en quelques secondes.
Comment désactiver :
Paramètres > Confidentialité et sécurité > Recall et captures d'instantanés > Désactiver "Enregistrer les instantanés"
Si vous ne voyez pas l’option, votre PC n’est pas un PC Copilot+. Vous n’avez pas à vous en inquiéter pour l’instant.
Pour ceux qui veulent aller plus loin, l’article Windows Recall : le danger et comment le désactiver couvre le sujet en détail.
2. Compte Microsoft vs compte local
Windows 11 pousse fortement vers l’utilisation d’un compte Microsoft lors de l’installation. Si vous avez cédé, toutes vos données de navigation Edge, votre historique d’activités, vos paramètres et vos mots de passe sont synchronisés sur les serveurs de Microsoft.
Vérification :
Paramètres > Comptes > Vos informations
Si vous voyez une adresse @outlook.com, @hotmail.com ou @live.com, vous êtes connecté avec un compte Microsoft.
Option 1 — Garder le compte Microsoft mais réduire la synchronisation :
Paramètres > Comptes > Sauvegarde Windows
Désactivez « Mémoriser mes applications », « Mémoriser mes préférences », et tout ce que vous ne voulez pas synchroniser.
Paramètres > Confidentialité et sécurité > Historique des activités
Désactivez « Stocker mon historique d’activités sur cet appareil » et surtout « Envoyer mon historique d’activités à Microsoft ».
Option 2 — Passer à un compte local :
Paramètres > Comptes > Vos informations > Se connecter avec un compte local
Microsoft va tenter de vous décourager. Ignorez les avertissements et finalisez la migration. Vous perdez la synchronisation mais vous reprenez le contrôle de vos données.
3. BitLocker — chiffrer votre disque dur
C’est le réglage avec le meilleur rapport effort/protection. Si votre ordinateur portable est volé, perdu ou récupéré, personne ne peut lire vos fichiers sans votre mot de passe Windows. Sans BitLocker, il suffit de démarrer depuis une clé USB pour accéder à tous vos fichiers en quelques minutes.
BitLocker est disponible sur Windows 11 Pro, Enterprise et Education. Sur Windows 11 Home, Microsoft a ajouté le « chiffrement de l’appareil » (Device Encryption), une version simplifiée de BitLocker.
Vérification si déjà actif :
Ouvrez l’Explorateur de fichiers. Si votre disque C: affiche une icône de cadenas jaune, BitLocker est actif. Si le cadenas est ouvert ou absent, ce n’est pas actif.
Activation sur Windows 11 Pro :
Paramètres > Confidentialité et sécurité > Chiffrement de l'appareil
Ou recherchez « Gérer BitLocker » dans le menu Démarrer.
Cliquez sur « Activer BitLocker » pour le lecteur C:.
Points importants :
- Votre PC doit avoir une puce TPM 2.0 pour BitLocker sans mot de passe supplémentaire. Vérifiez avec
Win + Rpuistpm.msc. - Sauvegardez la clé de récupération (48 chiffres) dans votre compte Microsoft OU imprimez-la et rangez-la en lieu sûr. Si vous perdez cette clé et que votre Windows plante, vos données sont irrécupérables.
- Le chiffrement initial prend de 1 à 3 heures selon la taille du disque. Vous pouvez continuer à utiliser le PC pendant ce temps.
L’article Comment chiffrer votre disque dur : BitLocker et FileVault expliqués donne plus de détails sur le processus complet.
4. Windows Defender — configuration correcte
Defender est votre protection principale contre les malwares, et il est bon. Le problème qu’on voit souvent : il a été partiellement désactivé par un autre logiciel, ou ses fonctions avancées sont éteintes.
Vérification de l’état général :
Sécurité Windows > Protection contre les virus et menaces
Vous devriez voir « Protection en temps réel : Activée » et « Protection fournie dans le cloud : Activée ». Si l’un ou l’autre est éteint, activez-le.
Protection contre les ransomwares — accès contrôlé aux dossiers :
Sécurité Windows > Protection contre les virus et menaces > Gérer la protection contre les ransomwares
Activez « Accès contrôlé aux dossiers ». Cette fonction empêche les programmes non autorisés d’écrire dans vos dossiers Documents, Images, Bureau et Téléchargements. Si un ransomware tente de chiffrer vos fichiers, il est bloqué.
Note : vous devrez peut-être autoriser manuellement certains programmes légitimes qui veulent accéder à ces dossiers (comme des logiciels de montage photo). Le pop-up d’autorisation apparaîtra la première fois.
Protection basée sur la réputation (SmartScreen) :
Sécurité Windows > Contrôle des applications et du navigateur > Protection basée sur la réputation
Assurez-vous que toutes les options SmartScreen sont activées. Elles bloquent les téléchargements et les sites connus comme malveillants.
Isolation du noyau (Virtualisation) :
Sécurité Windows > Sécurité des appareils > Isolation du noyau > Intégrité de la mémoire
Si l’option existe et est désactivée, activez-la. Elle protège contre les malwares qui tentent d’injecter du code dans des processus système. Redémarrage requis.
Si l’activation échoue, c’est souvent parce qu’un vieux pilote (driver) incompatible est installé. Windows vous dira lequel — souvent un pilote d’imprimante ou de périphérique ancien.
5. Pare-feu Windows — vérification et configuration
Le pare-feu Windows est activé par défaut, mais vérifiez qu’il ne soit pas désactivé (certains logiciels, VPN ou « optimiseurs » système le coupent).
Vérification :
Sécurité Windows > Pare-feu et protection du réseau
Les trois profils (Domaine, Privé, Public) doivent tous afficher « Activé ». Si votre connexion habituelle à la maison est classée en « Public » au lieu de « Privé », c’est un problème — le profil Public est plus restrictif et peut causer des problèmes de partage, mais surtout il indique que Windows ne fait pas confiance à votre réseau.
Régler le profil réseau :
Paramètres > Réseau et Internet > Wi-Fi (ou Ethernet) > [nom de votre réseau] > Type de profil réseau
Mettez « Privé » pour votre réseau à la maison.
Pour les utilisateurs avancés — voir les règles actives :
Recherchez « Pare-feu Windows Defender avec fonctions avancées de sécurité » dans le menu Démarrer. Vous pouvez voir quelles applications ont des règles entrantes et sortantes. Si vous voyez une application inconnue avec une règle entrante, c’est à investiguer.
6. Mises à jour automatiques — ne jamais reporter
C’est le point le plus négligé et le plus dangereux. En 2017, WannaCry a infecté 230 000 PC en 72 heures via une faille Windows déjà corrigée — mais les machines concernées n’avaient pas appliqué la mise à jour disponible depuis deux mois.
En 2026, les cycles sont plus rapides. Les cybercriminels analysent les mises à jour Microsoft le mardi (Patch Tuesday) et développent des exploits dans les 24-48 heures. Si vous retardez les mises à jour d’une semaine, vous êtes vulnérable pendant cette fenêtre.
Configuration :
Paramètres > Windows Update
Activez « Mises à jour actives » et désactivez la mise en pause si elle est active.
Paramètres > Windows Update > Options avancées
Activez « Recevoir les mises à jour pour d’autres produits Microsoft » (couvre Office, Edge, etc.).
Activez « Mettre à jour à l’heure planifiée » et choisissez une heure où vous n’utilisez pas votre PC (3h du matin, par exemple).
Sur Windows 11 Pro : vous pouvez retarder les mises à jour de fonctionnalités (les grosses mises à jour annuelles) de quelques semaines pour éviter les bugs de première vague — mais NE jamais retarder les mises à jour de sécurité.
Lisez aussi Pourquoi les mises à jour OS sont essentielles : iOS, Android, Windows pour comprendre exactement ce qui se passe quand vous les ignorez.
7. Télémétrie et diagnostics — réduire la collecte
Windows 11 collecte des données de diagnostic et d’utilisation envoyées à Microsoft. Vous ne pouvez pas l’arrêter complètement sur Windows 11 Home, mais vous pouvez réduire ce qui est envoyé.
Niveau de diagnostics :
Paramètres > Confidentialité et sécurité > Diagnostics et commentaires
Mettez le niveau sur « Essentiel » (le minimum autorisé). Désactivez « Améliorer l’écriture manuscrite et la saisie », « Solutions personnalisées » et « Commentaires et diagnostics » si présents.
Publicité et suivi :
Paramètres > Confidentialité et sécurité > Général
Désactivez :
- « Permettre aux applications de m’afficher des publicités personnalisées en utilisant mon ID de publicité »
- « Permettre aux sites web d’accéder à ma liste de langues »
- « Afficher le contenu suggéré dans l’application Paramètres »
Historique de recherche et activités :
Paramètres > Confidentialité et sécurité > Recherche dans Windows > Historique de recherche sur cet appareil
Désactivez l’historique ou effacez-le.
Permissions des applications :
Paramètres > Confidentialité et sécurité > Autorisations des applications
Passez chaque catégorie en revue : localisation, micro, caméra, contacts, calendrier, historique des appels, messages, radio (Bluetooth). Désactivez les accès pour toutes les applications qui n’en ont pas besoin. Pourquoi une app de jeux aurait-elle accès à votre micro? Bonne question.
8. Compte utilisateur — ne pas utiliser le compte administrateur au quotidien
C’est une règle classique de sécurité Windows que presque personne n’applique : utiliser un compte standard pour le travail quotidien, et garder un compte administrateur séparé pour les installations et modifications système.
Pourquoi? Parce que si un malware s’exécute sous votre session, il hérite de vos droits. Avec un compte administrateur, le malware a les droits admin. Avec un compte standard, ses actions sont limitées.
Créer un compte standard :
Paramètres > Comptes > Autres utilisateurs > Ajouter un compte
Créez un nouveau compte, connectez-vous avec, et rétrogradez votre compte actuel à « Standard ». Gardez le mot de passe admin noté en lieu sûr.
En pratique, Windows vous demandera le mot de passe admin chaque fois qu’une installation nécessite des droits élevés — c’est normal, c’est voulu.
UAC — Contrôle de compte d’utilisateur :
Recherchez « Modifier les paramètres de contrôle de compte d’utilisateur » dans le menu Démarrer.
Maintenez le curseur au niveau par défaut ou au niveau maximum. Ne le mettez jamais à « Ne jamais notifier » — c’est une façon de dire « installez ce que vous voulez sans me le dire ».
9. Microsoft Edge — confidentialité du navigateur par défaut
Edge est le navigateur par défaut de Windows 11, et il envoie beaucoup plus de données à Microsoft que la plupart des utilisateurs le réalisent.
Réglages Edge :
Dans Edge, cliquez sur les trois points ... > Paramètres > Confidentialité, recherche et services.
- Prévention du suivi : mettez sur « Strict »
- Données de diagnostic : désactivez « Aider à améliorer Microsoft Edge »
- Personnalisation et publicités : désactivez tout
- Services : désactivez « Typing suggestion », « Shopping features », « Bing search in address bar suggestions »
Search engine par défaut :
Paramètres > Confidentialité, recherche et services > Barre d'adresses et recherche
Changez le moteur de recherche par défaut. DuckDuckGo ou Brave Search pour la vie privée, ou restez avec Bing si vous n’avez pas d’avis.
Réinitialiser les données de navigation actuelles :
Ctrl + Shift + Suppr dans Edge pour effacer l’historique, les cookies et les données de navigation accumulées.
10. Mots de passe — gestionnaire obligatoire
Si vous utilisez le même mot de passe pour plusieurs comptes, la prochaine brèche de données qui expose un site que vous utilisez donne accès à tous vos autres comptes. C’est la réalité statistique — Have I Been Pwned recense plus de 12 milliards de comptes compromis.
Recommandation : Bitwarden (gratuit, open source, multiplateforme) ou 1Password. L’article Comparatif des gestionnaires de mots de passe pour le Québec 2026 compare les options principales.
Sur Windows 11, évitez de stocker les mots de passe dans Edge si vous utilisez un compte Microsoft — ils se synchronisent dans le cloud Microsoft. Préférez un gestionnaire indépendant avec son propre chiffrement.
Chaque compte important doit avoir :
- Un mot de passe unique (généré aléatoirement, 16+ caractères)
- Un authentificateur à deux facteurs (app, pas SMS si possible)
11. Wi-Fi — réseaux publics et sécurité réseau
Désactiver la connexion automatique aux réseaux ouverts :
Paramètres > Réseau et Internet > Wi-Fi > Gérer les réseaux connus
Supprimez tous les réseaux publics auxquels vous vous êtes connecté (café, aéroport, bibliothèque). Ces réseaux sont mémorisés et votre PC peut s’y reconnecter automatiquement — risque de réseau « evil twin » (faux point d’accès avec le même nom).
Désactiver la détection de réseau sur les réseaux publics :
Quand vous vous connectez à un réseau public (café, hôtel), choisissez toujours « Public » comme type de réseau. Votre PC sera moins visible sur le réseau local.
Pare-feu encore plus restrictif en public : Si vous travaillez souvent en déplacement, lisez Wi-Fi public : risques réels et comment se protéger.
12. Sauvegardes — la seule vraie protection contre le ransomware
Aucune protection antivirus n’est à 100%. La vraie dernière ligne de défense contre un ransomware, c’est une sauvegarde récente hors ligne.
Stratégie minimum recommandée :
- Locale : disque externe branché seulement pendant la sauvegarde (un ransomware peut chiffrer un disque externe branché en permanence)
- Cloud : OneDrive, Google Drive, ou Backblaze avec versioning activé
OneDrive avec Windows 11 offre le « Coffre-fort Personnel » — un dossier chiffré supplémentaire avec authentification à deux facteurs. Vos documents les plus sensibles devraient y être.
Windows Backup intégré :
Paramètres > Système > Stockage > Options de sauvegarde
Ou cherchez « Sauvegarder et restaurer » dans le menu Démarrer pour accéder aux outils classiques.
Configurez au minimum une sauvegarde des fichiers utilisateur vers un disque externe, une fois par semaine. L’article Backup 3-2-1 pour particuliers : photos et documents au Québec explique la stratégie complète.
13. Applications — audit de ce qui est installé
Windows 11 vient avec des applications préinstallées dont certaines collectent des données ou représentent des surfaces d’attaque.
Désinstaller ce que vous n’utilisez pas :
Paramètres > Applications > Applications installées
Passez la liste en revue. Désinstallez tout ce que vous n’utilisez pas. Chaque application installée est une surface d’attaque potentielle — une faille dans une app que vous n’utilisez plus peut être exploitée.
Applications qui démarrent avec Windows :
Ctrl + Shift + Échap (Gestionnaire des tâches) > Démarrage
Désactivez toutes les applications que vous n’avez pas besoin au démarrage. Moins d’applications qui tournent en arrière-plan = moins de surface d’attaque = démarrage plus rapide.
Permissions des applications du Microsoft Store :
Paramètres > Applications > Applications et fonctionnalités
Pour chaque application, vérifiez « Options avancées » pour voir et révoquer les permissions inutiles.
14. Chiffrement courriel et navigateur
HTTPS partout : Assurez-vous que votre navigateur force HTTPS. Dans Edge : Paramètres > Confidentialité > Sécurité > Toujours utiliser des connexions sécurisées. Dans Firefox ou Chrome, cherchez l’option équivalente.
DNS sécurisé :
Paramètres > Réseau et Internet > Wi-Fi ou Ethernet > [votre connexion] > Propriétés du serveur DNS
Configurez un DNS chiffré (DNS-over-HTTPS) : utilisez Cloudflare (1.1.1.1), Quad9 (9.9.9.9) ou AdGuard DNS. Cela empêche votre fournisseur internet de voir quels sites vous visitez.
15. Récapitulatif — ordre de priorité
Si vous ne pouvez pas faire tout ça maintenant, voici l’ordre logique :
- Désactiver Recall (si PC Copilot+) — 2 minutes
- Activer BitLocker — 30 minutes (dont 1-3h de chiffrement en arrière-plan)
- Vérifier Windows Defender — 5 minutes
- Activer les mises à jour automatiques — 2 minutes
- Réduire la télémétrie — 10 minutes
- Configurer un gestionnaire de mots de passe — 30 minutes
- Audit des applications et permissions — 15 minutes
- Sauvegardes — 20 minutes de configuration + automatique ensuite
Total pour les 4 premiers points : environ 40 minutes. Ils couvrent 80% des vecteurs d’attaque les plus courants.
Votre PC vous semble déjà compromis?
Si vous observez des comportements inhabituels — PC lent sans raison, processus inconnus en arrière-plan, votre antivirus désactivé sans que vous l’ayez fait — lisez Mon ordinateur Windows est-il piraté? Les signes à connaître.
Pour les entreprises, le risque est différent. Les ransomwares ciblent maintenant les PME québécoises en priorité — l’article Ransomware PC Windows 2025-2026 : guide pour les PME québécoises couvre les vecteurs d’attaque spécifiques aux entreprises.
Une question sur la sécurité de votre PC?
Si vous préférez qu’on s’en occupe à votre place — audit complet, configuration, vérification qu’il n’y a rien de malveillant en place — l’équipe Sequr est disponible.
Sequr — cybersécurité pour les particuliers et PME au Québec
On s’occupe du PC, vous vous occupez du reste.
