Le piratage ne concerne pas que les grandes entreprises

Beaucoup de dirigeants de petites entreprises pensent que les pirates informatiques ne s'intéressent qu'aux grands groupes. C'est une idée reçue dangereuse. En réalité, 43 % des cyberattaques ciblent les petites entreprises, précisément parce qu'elles sont souvent moins bien protégées.

Un site piraté, ce n'est pas qu'un problème technique. C'est votre crédibilité en jeu. Imaginez qu'un client potentiel tombe sur votre site et soit accueilli par un avertissement de sécurité de son navigateur, ou pire, redirigé vers un site frauduleux. La confiance est perdue instantanément, et elle est très difficile à reconstruire.

La bonne nouvelle, c'est que protéger votre site ne demande ni compétences techniques avancées ni budget conséquent. Quelques bonnes pratiques suffisent à décourager la grande majorité des attaques.

Le HTTPS : la base absolue

Si l'adresse de votre site commence par « http:// » au lieu de « https:// », vous avez un problème urgent à régler. Le « s » signifie que la connexion entre votre site et le visiteur est chiffrée, c'est-à-dire que les données échangées ne peuvent pas être interceptées par un tiers.

Pourquoi c'est indispensable

  • Google pénalise les sites sans HTTPS dans ses résultats de recherche
  • Les navigateurs comme Chrome affichent un avertissement « Non sécurisé » qui fait fuir les visiteurs
  • Si votre site comporte un formulaire de contact ou de paiement, les données de vos clients transitent en clair sans HTTPS

Comment l'activer

La plupart des hébergeurs proposent aujourd'hui un certificat SSL gratuit via Let's Encrypt. Il suffit généralement de l'activer depuis votre espace client en quelques clics. Si votre hébergeur ne le propose pas, c'est peut-être le moment d'en changer.

Des mots de passe à la hauteur

Le mot de passe est la serrure de votre site. Et trop souvent, cette serrure est ridiculement facile à crocheter.

Les règles d'un mot de passe solide

Un bon mot de passe doit comporter au minimum 12 caractères et mélanger majuscules, minuscules, chiffres et caractères spéciaux. Mais surtout, il doit être unique. Utiliser le même mot de passe pour votre site, votre boîte email et vos réseaux sociaux, c'est comme utiliser la même clé pour votre maison, votre voiture et votre bureau : si quelqu'un la trouve, il a accès à tout.

Le gestionnaire de mots de passe

Retenir des dizaines de mots de passe complexes est impossible, et c'est normal. Un gestionnaire de mots de passe comme Bitwarden (gratuit) ou 1Password fait le travail pour vous. Il génère des mots de passe uniques et complexes, les stocke de manière sécurisée et les remplit automatiquement quand vous en avez besoin.

L'identifiant administrateur

Si l'identifiant pour accéder à l'administration de votre site est « admin », changez-le immédiatement. C'est la première combinaison que testent les tentatives d'intrusion. Choisissez un identifiant qui n'est pas devinable.

Les mises à jour : votre bouclier invisible

Votre site fonctionne grâce à des logiciels : un système de gestion de contenu (comme WordPress), un thème graphique et des extensions. Chacun de ces éléments peut contenir des failles de sécurité que les développeurs corrigent régulièrement via des mises à jour.

Pourquoi ne pas remettre à plus tard

Quand une faille est découverte, les pirates l'exploitent massivement dans les heures qui suivent. Chaque jour où votre site n'est pas à jour est un jour où il est vulnérable. Les statistiques montrent que 56 % des sites piratés utilisaient des logiciels obsolètes au moment de l'attaque.

Comment s'organiser

  • Vérifiez les mises à jour disponibles au moins une fois par semaine
  • Activez les mises à jour automatiques pour les correctifs de sécurité mineurs
  • Avant une mise à jour majeure, faites toujours une sauvegarde complète de votre site
  • Supprimez les extensions et thèmes que vous n'utilisez plus : même désactivés, ils peuvent contenir des failles

Les sauvegardes : votre filet de sécurité

Même avec toutes les précautions du monde, le risque zéro n'existe pas. Une sauvegarde récente de votre site est votre assurance vie numérique. Si votre site est compromis, vous pourrez le restaurer en quelques minutes au lieu de tout reconstruire.

La règle des trois sauvegardes

Pour être réellement protégé, suivez cette approche :

  • Une sauvegarde quotidienne conservée pendant au moins 7 jours
  • Une sauvegarde hebdomadaire conservée pendant un mois
  • Au moins une copie stockée en dehors de votre hébergeur (sur un disque dur externe ou un service cloud distinct)

Testez vos sauvegardes

Une sauvegarde qui ne fonctionne pas est pire qu'aucune sauvegarde, car elle vous donne un faux sentiment de sécurité. Une ou deux fois par an, faites un test de restauration pour vérifier que tout fonctionne correctement.

Reconnaître les signes d'un site compromis

Plus vite vous détectez un piratage, moins les dégâts sont importants. Voici les signaux d'alerte à surveiller.

Votre site se comporte étrangement

  • Des pages que vous n'avez pas créées apparaissent
  • Votre site redirige vers d'autres sites inconnus
  • Le contenu de vos pages a été modifié sans votre intervention
  • Votre site est devenu anormalement lent

Google vous envoie des alertes

  • Un avertissement « Ce site peut être piraté » apparaît dans les résultats de recherche
  • Vous recevez des notifications dans Google Search Console concernant des problèmes de sécurité
  • Votre site disparaît soudainement des résultats de recherche

Vos visiteurs vous signalent des problèmes

  • Des clients vous disent que leur antivirus bloque votre site
  • Vous recevez des plaintes concernant des emails envoyés depuis votre domaine que vous n'avez pas écrits
  • Des commentaires ou des formulaires spam explosent en volume

Que faire si votre site est piraté

Pas de panique. Voici les étapes à suivre dans l'ordre.

Changez immédiatement tous vos mots de passe : administration du site, hébergeur, base de données, comptes FTP. Faites-le depuis un ordinateur que vous savez sain.

Contactez votre hébergeur : il dispose souvent d'outils pour analyser l'attaque et peut vous aider à nettoyer votre site. Certains hébergeurs proposent même un service de nettoyage.

Restaurez une sauvegarde saine : si vous avez des sauvegardes récentes, restaurez la dernière version non compromise de votre site.

Mettez tout à jour : après la restauration, appliquez immédiatement toutes les mises à jour disponibles pour éviter que la même faille soit exploitée à nouveau.

Prévenez Google : si votre site a été signalé comme dangereux, demandez un réexamen via Google Search Console une fois le nettoyage effectué.

Les gestes simples du quotidien

La sécurité n'est pas un projet ponctuel, c'est une habitude. Voici une liste de bonnes pratiques à intégrer dans votre routine.

  • Ne vous connectez jamais à l'administration de votre site depuis un réseau Wi-Fi public sans VPN
  • Limitez le nombre de personnes ayant accès à l'administration de votre site
  • Désactivez les comptes des anciens collaborateurs dès leur départ
  • Méfiez-vous des emails vous demandant de cliquer sur un lien pour « vérifier votre compte » ou « mettre à jour vos informations de paiement »
  • Installez une extension de sécurité qui bloque les tentatives de connexion répétées

Investir dans la sécurité, c'est protéger votre chiffre d'affaires

Le coût moyen d'une cyberattaque pour une petite entreprise en France dépasse les 15 000 euros, entre la perte de chiffre d'affaires, la restauration du site et l'atteinte à la réputation. En comparaison, les mesures de protection décrites dans ce guide ne coûtent quasiment rien et prennent quelques heures à mettre en place.

Votre site web est la vitrine de votre entreprise. Protégez-le comme vous protégeriez votre boutique physique. Les quelques efforts investis aujourd'hui vous éviteront bien des problèmes demain.