Sécurité site web : guide protection PME

"Nous, on est trop petits pour être piratés." C'est la phrase qu'on entend le plus souvent quand on parle de sécurité web avec des PME à Strasbourg. Pourtant, 43 % des cyberattaques ciblaient les petites entreprises en 2015 selon le rapport Symantec ISTR — un chiffre confirmé par le Verizon DBIR 2019. L'ANSSI (Agence nationale de la sécurité des systèmes d'information) alerte régulièrement sur la montée des cybermenaces visant les PME.

Les hackers ne ciblent pas que les grandes entreprises. Ils ciblent les sites faciles à pirater. Et un site de PME mal protégé, c'est souvent une porte grande ouverte.

La bonne nouvelle ? Les mesures de base sont simples à mettre en place et éliminent 90 % des risques. Voici ce que vous devez savoir.

Points clés :

• 43 % des cyberattaques ciblaient les PME (Symantec ISTR 2016, Verizon DBIR 2019) — les hackers visent les sites faciles à pirater, pas seulement les grandes entreprises
• Les mesures de base (HTTPS, mises à jour, 2FA, sauvegardes) éliminent 90 % des risques de piratage
• Un site WordPress avec 15 plugins non mis à jour est une porte ouverte — chaque plugin tiers est un vecteur potentiel d'attaque
• En cas de fuite de données, vous avez 72 heures pour notifier la CNIL et vos clients — une obligation légale souvent ignorée

Quelles sont les cybermenaces pour un site de PME ?

Les cinq attaques les plus courantes contre les sites de PME sont : le défacement (modification du contenu visible), l'injection de malware (code malveillant qui redirige vos visiteurs), le phishing (emails frauduleux depuis votre domaine), le ransomware (données chiffrées contre rançon) et le vol de données (obligation de notifier la CNIL sous 72h).

On ne va pas vous parler de cyberguerre ou d'espionnage industriel. Voici les attaques les plus courantes contre les sites de petites entreprises.

Le défacement

Un hacker modifie le contenu de votre site. Vos visiteurs tombent sur un message en anglais, des liens douteux ou pire — du contenu offensant avec le nom de votre entreprise. C'est la version numérique du graffiti sur votre vitrine, sauf que ça se propage beaucoup plus vite.

L'injection de malware

Du code malveillant est injecté dans votre site sans que vous le remarquiez. Vos visiteurs sont redirigés vers des sites frauduleux, ou leur navigateur télécharge un virus. Google détecte le malware et affiche un gros avertissement rouge "Ce site est dangereux" — et là, c'est la catastrophe pour votre activité.

Le phishing

Votre site est utilisé comme support pour envoyer des emails frauduleux. Les victimes reçoivent des emails qui semblent venir de votre domaine. En plus des dégâts pour les victimes, votre domaine se retrouve blacklisté et vos vrais emails finissent en spam.

Le ransomware

Vos données sont chiffrées et on vous demande une rançon pour les récupérer. Si vous n'avez pas de sauvegarde, vous êtes coincé. C'est le scénario cauchemar pour un site e-commerce qui stocke des commandes et des données clients.

Le vol de données

Si votre site collecte des emails, des numéros de téléphone ou — pire — des données de paiement, ces informations ont de la valeur sur le marché noir. Une fuite de données, c'est aussi une obligation légale de notifier la CNIL et vos clients dans les 72 heures. Notre checklist RGPD pour les PME détaille toutes les obligations de conformité liées à la collecte de données. La CNIL détaille les sanctions en cas de fuite. Pas le genre de communication qu'on a envie de faire.

Comment sécuriser son site web ?

Six mesures de base éliminent 90 % des risques de piratage : HTTPS avec certificat SSL (gratuit via Let's Encrypt), mises à jour régulières du CMS et des plugins, mots de passe forts avec authentification à deux facteurs, sauvegardes automatiques quotidiennes (règle 3-2-1), en-têtes de sécurité HTTP configurés et protection anti-force brute sur les formulaires de connexion.

1. HTTPS partout

Si votre site n'est pas en HTTPS (le petit cadenas dans la barre d'adresse), arrêtez tout et réglez ça aujourd'hui. Un certificat SSL est gratuit avec Let's Encrypt et la plupart des hébergeurs l'incluent.

Pourquoi c'est critique :

• Sans HTTPS, les données échangées entre vos visiteurs et votre site transitent en clair — n'importe qui sur le même réseau WiFi peut les intercepter
• Google pénalise les sites non-HTTPS dans ses résultats
• Les navigateurs affichent "Non sécurisé" à côté de votre URL — ça inspire confiance, non ?

2. Mises à jour régulières

C'est la mesure la plus simple et la plus négligée. Chaque mise à jour de votre CMS, de vos plugins ou de vos dépendances corrige des failles de sécurité connues. Ne pas mettre à jour, c'est laisser la porte ouverte avec un panneau "Entrez, c'est gratuit".

C'est d'ailleurs un des arguments majeurs en faveur d'un site développé sur mesure versus WordPress. Un site WordPress avec 15 plugins nécessite une vigilance constante. Un site moderne développé avec des technologies comme Next.js a une surface d'attaque beaucoup plus réduite.

3. Mots de passe solides + 2FA

Ça paraît évident, et pourtant. Le mot de passe "admin123" reste dans le top 10 des mots de passe les plus utilisés pour les panneaux d'administration. Utilisez un gestionnaire de mots de passe (Bitwarden, 1Password) et activez l'authentification à deux facteurs (2FA) sur tous vos accès critiques.

4. Sauvegardes automatiques

La question n'est pas "si" votre site aura un problème, mais "quand". Et quand ça arrive, la seule chose qui compte, c'est d'avoir une sauvegarde récente.

Règle des 3-2-1 :

• 3 copies de vos données
• Sur 2 supports différents
• Dont 1 hors site (cloud)

Vérifiez régulièrement que vos sauvegardes fonctionnent. Une sauvegarde qu'on n'a jamais testée, c'est comme un extincteur vide — ça rassure, mais ça ne sert à rien.

5. En-têtes de sécurité HTTP

C'est un peu plus technique, mais essentiel. Les en-têtes de sécurité sont des instructions que votre serveur envoie aux navigateurs pour limiter les risques d'attaque. Les principaux :

Sur nos sites, ces en-têtes sont configurés par défaut dans le middleware. C'est le genre de détail qu'une agence web professionnelle gère pour vous.

6. Protection contre les attaques par force brute

Si votre site a un formulaire de connexion (admin, espace client), il sera attaqué. C'est automatisé — des bots testent des milliers de combinaisons login/mot de passe chaque jour. Mettez en place :

• Un rate limiting (limiter le nombre de tentatives par IP)
• Un captcha après X tentatives échouées
• Un blocage temporaire après trop d'échecs

Pourquoi WordPress est une cible privilégiée

WordPress propulse 40 % du web. C'est sa force et sa faiblesse. Sa popularité en fait la cible n°1 des hackers parce que :

• L'écosystème de plugins est une jungle. Certains plugins populaires n'ont pas été mis à jour depuis des mois. D'autres ont des failles connues non corrigées — le Top 10 OWASP recense les vulnérabilités les plus exploitées. Chaque plugin est un point d'entrée potentiel.
• Les installations par défaut sont mal sécurisées. L'URL d'admin est toujours /wp-admin, le compte admin est souvent "admin", et les permissions de fichiers sont trop permissives.
• Les thèmes gratuits peuvent contenir du code malveillant. Un thème "gratuit" téléchargé sur un site tiers peut inclure une backdoor — un accès caché pour le hacker.

Ce n'est pas une critique de WordPress en soi. C'est un excellent outil quand il est correctement maintenu. Mais "correctement maintenu" demande du temps et des compétences. Si vous n'avez ni l'un ni l'autre, c'est un risque que vous prenez avec votre activité.

C'est exactement pour ça que notre service de maintenance et optimisation inclut une surveillance sécuritaire permanente.

Comment savoir si votre site a été compromis ?

Voici les signes qui doivent vous alerter :

• Votre site est lent sans raison. Un site qui tourne normalement et qui ralentit soudainement peut exécuter du code malveillant en arrière-plan. Et la lenteur a aussi un impact direct sur votre business.
• Des pages inconnues apparaissent. Vérifiez régulièrement votre sitemap et vos pages indexées sur Google (tapez site:votredomaine.fr dans Google).
• Votre hébergeur vous contacte. Si votre hébergeur vous signale une activité suspecte, prenez-le au sérieux immédiatement.
• Google affiche un avertissement. Si vous voyez "Ce site est peut-être piraté" dans les résultats de recherche, c'est déjà grave. Votre trafic s'effondre tant que l'avertissement est actif.
• Vos emails partent en spam. Si votre domaine est utilisé pour du phishing, il sera blacklisté et tous vos emails légitimes seront affectés.

Votre site est-il vraiment protégé ?

Passez en revue ces points :

• Certificat SSL/HTTPS actif et renouvelé automatiquement
• CMS et plugins à jour (dernière version)
• Mots de passe forts + 2FA sur tous les accès admin
• Sauvegardes automatiques quotidiennes testées
• En-têtes de sécurité HTTP configurés
• Rate limiting sur les formulaires de connexion
• Monitoring de disponibilité (uptime)
• Scan régulier de malware
• Permissions de fichiers correctes (pas de 777)
• Formulaires protégés contre le spam et les injections

Si plus de 3 points ne sont pas cochés, votre site est vulnérable. Ce n'est pas de l'alarmisme — c'est de la réalité.

Notre approche sécurité chez Nexel Dev

On intègre la sécurité dès la conception de chaque site, pas comme une couche ajoutée après coup.

Ce que ça inclut :

• Architecture sécurisée par défaut. Nos sites Next.js ont une surface d'attaque réduite — pas de base de données exposée, pas de panel admin accessible publiquement pour les sites vitrines
• En-têtes de sécurité configurés dans le middleware — CSP, HSTS, X-Frame-Options et les autres
• Monitoring 24/7 — on est alertés avant vous si quelque chose cloche
• Mises à jour proactives — on n'attend pas qu'une faille soit exploitée pour la corriger
• Sauvegardes quotidiennes — avec restauration possible en quelques minutes

Pour les entreprises qui ont besoin d'aller plus loin, notre contrôle sécurité offre un audit complet : test de pénétration, analyse de vulnérabilités, recommandations et correction.

La sécurité web, ce n'est pas un luxe. C'est une assurance. Le coût d'une bonne protection est dérisoire comparé au coût d'un piratage — en argent, en temps et en réputation. Contactez-nous pour un diagnostic sécurité de votre site. On vous dira exactement où vous en êtes et ce qu'il faut corriger.