Cybersécurité site web PME : les 10 bases à sécuriser en 2026

Un jeudi matin de mars 2026, Sébastien, gérant d'une menuiserie près de Rouen, découvre que son site web affiche des promotions pour des médicaments contrefaits. Son référencement Google s'effondre, son adresse Gmail professionnelle tombe en blacklist, et deux clients lui signalent que leur antivirus a bloqué la page "devis en ligne". Diagnostic : un plugin WordPress de galerie photo non mis à jour depuis 14 mois a servi de porte d'entrée à un botnet automatisé. La remise en état coûte 2 400 euros, 11 jours d'indisponibilité, et trois semaines pour retrouver la position Google perdue.

Le cas de Sébastien n'a rien de rare. Selon le dernier rapport CERT-FR publié fin 2025, plus de 60 % des sites WordPress de PME françaises contiennent au moins un plugin obsolète avec une faille connue publiquement. Les TPE et PME représentent désormais 74 % des victimes de cyberattaques en France, devant les grands groupes et les administrations. La raison est simple : les pirates automatisent tout, cherchent les cibles faciles, et une PME moyenne reste un maillon faible peu coûteux à compromettre.

En 2026, la cybersécurité d'un site vitrine n'est plus un luxe de grand compte : c'est une hygiène minimale pour ne pas perdre son référencement, sa messagerie, ses clients et sa conformité RGPD. La bonne nouvelle : les 10 bases à mettre en place coûtent entre 0 et 800 euros par an pour une TPE, se déploient en 2 à 5 jours de travail, et protègent contre la quasi-totalité des attaques automatisées qui représentent 95 % des incidents.

Ce guide liste les 10 bases concrètes à sécuriser, avec les coûts, les outils, les erreurs courantes et les seuils à partir desquels il faut passer à la vitesse supérieure.

Un doute sur la sécurité de votre site web ? Demandez un audit sécurité offert, on vous renvoie sous 48h un diagnostic clair avec les 10 points prioritaires à corriger et un chiffrage sans engagement.

Pourquoi les PME sont devenues la cible numéro 1

Une cible économiquement rentable

Les grands groupes investissent massivement dans la cybersécurité : SOC internes, équipes dédiées, audits trimestriels, bug bounties, assurances cyber. Le retour sur investissement pour un pirate de haut niveau s'est effondré. À l'inverse, une TPE artisanale type atteint rarement la barre de 1 000 euros de budget cybersécurité annuel. Les pirates ont migré vers le volume : mille petites cibles faciles rapportent plus que dix cibles blindées.

Le rapport Hiscox Cyber Readiness 2025 chiffre la rançon moyenne demandée à une PME française à 6 200 euros, contre 45 000 euros il y a cinq ans. Ce n'est pas un signe que les attaques diminuent : c'est le signe qu'elles se démocratisent. Mieux vaut pour le pirate attaquer 200 PME à 6 000 euros que 5 ETI à 100 000 euros.

Une surface d'attaque massive et standardisée

WordPress fait tourner environ 43 % des sites web dans le monde, Prestashop et WooCommerce couvrent la majorité des petits e-commerces français. Un pirate qui développe un exploit pour une version donnée d'un plugin populaire peut l'utiliser sur plusieurs dizaines de milliers de sites en quelques heures. Les bots scannent en permanence l'internet, classifient les CMS, repèrent les versions et déclenchent les attaques sans intervention humaine.

Un site sur-mesure (Next.js, Laravel, Ruby on Rails, Django) ne présente pas cette surface standardisée : les chemins d'administration sont spécifiques, les dépendances uniques, l'architecture n'est pas devinable. C'est une des raisons pour lesquelles les sites modernes comparés dans Next.js vs WordPress : comparatif technique sortent en moyenne avec moins d'incidents par an, à rigueur de maintenance égale.

Une conformité RGPD qui durcit les obligations

Depuis 2023, la CNIL publie régulièrement des sanctions visant des PME pour défaut de sécurité "approprié" (article 32 du RGPD). Les cas typiques : base de données clients exposée en clair, mot de passe admin "admin123", absence de sauvegarde, site compromis non-notifié. Les amendes PME les plus fréquentes se situent entre 3 000 et 30 000 euros, mais le risque réputationnel est souvent bien pire, comme détaillé dans le guide RGPD PME. Sécuriser son site, ce n'est plus seulement protéger son activité : c'est aussi se mettre en règle avec la loi.

Les 3 types d'attaques qu'une PME subit vraiment

Avant de détailler les 10 bases, il faut comprendre ce que l'on cherche à bloquer. En 2026, 95 % des incidents sur les sites PME français relèvent de trois grandes familles.

1. Les attaques par force brute

Un bot essaie des milliers de combinaisons identifiant / mot de passe par minute sur la page /wp-admin, /admin, /login, /user. Si vous avez un utilisateur admin avec un mot de passe dans le top 1 000 des fuites connues, le site tombe en moins de 10 minutes. Les bases à activer : 2FA, limitation du nombre de tentatives, masquage de la page d'admin, et mots de passe gérés par un password manager.

2. L'exploitation de failles connues (plugins, thèmes, dépendances)

Un plugin WordPress populaire annonce une faille critique. Patch disponible le jour J. Les bots lancent leurs exploits le jour J+1, parfois le jour même. Les sites qui n'ont pas mis à jour tombent en série. En 2025, deux campagnes majeures ont touché plus de 120 000 sites français (Jetpack CVE, File Manager Pro CVE). Les bases à activer : mises à jour automatiques ou hebdomadaires, suppression des plugins inutilisés, WAF avec règles managées.

3. Le phishing et le vol d'identifiants

Un prestataire, un employé ou vous-même cliquez sur un email bien imité (Microsoft 365, OVH, Gmail, banque). Les identifiants entrés sur la fausse page sont réutilisés pour se connecter au back-office du site. Aucune faille technique exploitée : tout se passe au niveau humain. Les bases à activer : 2FA, segmentation des comptes, formation de l'équipe, et gestionnaire de mots de passe qui refuse d'auto-remplir sur un faux domaine.

Les 10 bases à sécuriser en 2026

1. HTTPS et TLS 1.3 partout

Le minimum absolu. En 2026, un site en HTTP non chiffré est immédiatement signalé comme "Non sécurisé" dans Chrome, Firefox et Safari, dégrade le SEO, et bloque l'accès à certaines fonctionnalités navigateur (géolocalisation, notifications, webcam). Le HTTPS via un certificat Let's Encrypt est gratuit depuis 2016 et supporté par la quasi-totalité des hébergeurs.

Trois points à vérifier :

• Le certificat couvre à la fois domaine.fr et www.domaine.fr (éviter les erreurs de redirection).
• Le serveur accepte uniquement TLS 1.2 et TLS 1.3 (désactiver TLS 1.0 et 1.1 obsolètes).
• Toutes les ressources chargées (images, scripts, polices) sont en HTTPS, sinon Chrome bloque le chargement (mixed content).

Coût : 0 euro avec Let's Encrypt. 50 à 200 euros par an pour un certificat EV payant (Extended Validation) utile surtout aux banques et e-commerces sensibles.

Bonus SEO : le HTTPS reste un critère officiel de classement Google confirmé dans les guidelines 2025, détaillé dans le guide SEO ultime.

2. Mots de passe : gestionnaire, passphrase, rotation ciblée

Les règles d'antan (changement tous les 90 jours, majuscule + chiffre + caractère spécial) ont été officiellement abandonnées par l'ANSSI et le NIST en 2024. Les nouvelles règles :

• Un mot de passe long (passphrase de 4 mots aléatoires, 20 caractères minimum) bat un mot de passe court complexe.
• Un mot de passe unique par service, généré et stocké dans un gestionnaire (Bitwarden gratuit, 1Password à 3 USD/mois, Dashlane à 4 USD/mois).
• Rotation uniquement après incident ou départ d'un collaborateur, pas selon un calendrier arbitraire.
• Vérification systématique via un service de détection de fuite (Have I Been Pwned, intégré dans tous les bons gestionnaires).

Une PME qui généralise un gestionnaire de mots de passe à toute son équipe divise par 10 le risque de compromission. Coût : entre 0 et 5 euros par utilisateur et par mois.

3. Double authentification (2FA / MFA)

Activer la 2FA sur toutes les interfaces d'administration est la seule mesure qui rend inutile 99 % des attaques par force brute. Même avec un mot de passe volé, le pirate bute sur le second facteur.

Priorités d'activation :

1. Panel hébergeur (OVH, Infomaniak, o2switch, Gandi, Vercel, etc.).
2. Panel DNS (très critique : une prise de contrôle DNS redirige tout votre trafic).
3. Back-office CMS (WordPress, Prestashop, Shopify, Webflow).
4. Compte email professionnel (Microsoft 365, Google Workspace).
5. Compte Git (GitHub, GitLab) si vous avez un site sur-mesure.
6. Comptes analytics, Google Search Console, Stripe, Mollie, Resend.

Formats recommandés : application d'authentification (Authy, Google Authenticator, 1Password, Bitwarden Authenticator) ou clé physique FIDO2 / YubiKey (40 à 70 euros pour une clé professionnelle). Éviter les SMS, vulnérables au SIM swapping.

Coût : 0 euro pour les applications d'authentification. 40 à 180 euros pour équiper deux comptes administrateurs avec des clés YubiKey.

4. Sauvegardes automatisées (règle 3-2-1 + tests)

La sauvegarde est le dernier filet de sécurité. En cas de ransomware, de piratage total ou d'erreur humaine (fichier supprimé, base écrasée), c'est ce qui fait la différence entre 2 heures d'indisponibilité et 3 semaines de reconstruction.

La règle 3-2-1 à appliquer :

• 3 copies de vos données (production + 2 sauvegardes).
• 2 supports différents (serveur + stockage objet type S3 ou Backblaze).
• 1 copie hors-site (différent datacenter, différente région géographique).

Points souvent oubliés :

• Tester la restauration au moins une fois par trimestre (50 % des PME ne l'ont jamais fait).
• Chiffrer les sauvegardes, pas seulement les transférer en HTTPS.
• Sauvegarder aussi la base de données, pas seulement les fichiers.
• Conserver au moins 30 jours d'historique (certains ransomware attendent 15 jours avant de chiffrer).

Coût : 60 à 300 euros par an pour une TPE via UpdraftPlus Premium, BackupBuddy, Cloudways, ou les options managed des hébergeurs sérieux. À rapprocher des coûts de maintenance détaillés dans l'article sur la maintenance des applications, qui applique les mêmes principes côté mobile.

5. Mises à jour : CMS, plugins, dépendances

Les failles les plus exploitées en 2025-2026 ont toutes un point commun : un patch existait depuis 3 à 18 mois quand l'attaque a eu lieu. Les PME qui tombent sont celles qui retardent les mises à jour par peur de casser le site.

La cadence recommandée :

Outils utiles : wp-cli en ligne de commande pour scripter les mises à jour WordPress, GitHub Dependabot gratuit pour monitorer automatiquement les dépendances des sites sur-mesure, Snyk ou Renovate pour une approche plus complète.

Erreur fréquente : désactiver les mises à jour automatiques "par sécurité". C'est l'inverse qui est vrai. Un staging + mise à jour automatique + rollback possible protège bien mieux qu'un site figé. Le débat entre WordPress et site sur-mesure se joue souvent sur ce point : qui maintient quoi, et à quel rythme.

6. Pare-feu applicatif (WAF)

Un WAF (Web Application Firewall) filtre les requêtes HTTP entrantes, bloque les attaques connues (injection SQL, XSS, traversal, force brute, scans), et n'exige pas de toucher au code du site. C'est la barrière externe qui absorbe la majorité des tentatives automatisées.

Options selon votre profil :

• TPE site vitrine : Cloudflare Free suffit dans 80 % des cas. Règles managées OWASP de base, protection DDoS, cache CDN gratuit, DNS anycast. Mise en place : 30 minutes.
• PME active ou e-commerce : Cloudflare Pro à 20 USD/mois (protection bot, règles avancées, images optimization).
• WordPress spécifique : Wordfence Premium (150 USD/an) ou Sucuri (200 USD/an) pour des règles spécifiques CMS et un monitoring continu.
• Infrastructure Vercel / Next.js : Vercel WAF managed inclus dans certains plans, règles à configurer par route.

Point clé : un WAF bloque les attaques connues, pas les attaques nouvelles (zero-day). Il complète, il ne remplace pas, les autres mesures.

Vous n'êtes pas sûr que votre site filtre correctement le trafic malveillant ? Parlons-en via le formulaire de contact, on audite gratuitement votre configuration WAF actuelle et on vous propose la couverture adaptée.

7. Principe du moindre privilège

La règle : chaque utilisateur, chaque service, chaque application n'a accès qu'au strict nécessaire. Un plugin de galerie photo n'a aucune raison d'avoir accès à la table users. Un stagiaire n'a aucune raison d'être administrateur global. Un script de déploiement n'a aucune raison d'avoir les droits root sur le serveur.

À auditer chaque trimestre :

• Comptes WordPress : un seul administrateur principal, les autres en rôle Éditeur ou Auteur.
• Accès FTP / SFTP : supprimer tous les comptes d'anciens prestataires, éviter le FTP non chiffré.
• Clés SSH : une clé par personne, retirées à chaque départ.
• Accès base de données : l'utilisateur applicatif n'a jamais les droits DROP TABLE ou GRANT.
• Tokens d'API tiers (Stripe, Mollie, Resend) : un token par usage, scope minimal.
• Comptes Google Workspace / Microsoft 365 : révoquer les accès aux anciens collaborateurs dans les 24h du départ.

Dans les incidents traités en Normandie en 2024-2025, près de 30 % impliquaient un ancien prestataire encore administrateur du site, simplement oublié après la fin de mission.

8. Protection anti-bots et anti-spam (formulaires)

Les formulaires de contact et de newsletter sont deux vecteurs fréquents : spam massif, tentative d'injection, énumération d'utilisateurs, pollution de base email. Sans protection, un formulaire reçoit plusieurs centaines de spams par jour dès qu'il est indexé.

Les outils de base :

• reCAPTCHA v3 (Google) : invisible, analyse le comportement, score de 0 à 1. Gratuit jusqu'à 1 million d'appels par mois. Configuré par défaut dans les formulaires de contact de ce site (seuil 0.5, cf. CLAUDE.md du projet).
• Honeypot : un champ invisible que les humains ne remplissent pas mais que les bots détectent. Complément gratuit de reCAPTCHA.
• Rate limiting : limiter à 5 soumissions par IP et par heure côté serveur.
• Validation email côté serveur : refuser les emails en formats douteux, les domaines jetables, les emails déjà blacklistés.
• Turnstile Cloudflare : alternative gratuite à reCAPTCHA, plus respectueuse de la vie privée et RGPD-friendly.

Un formulaire mal protégé fait perdre du temps, dégrade la réputation email, et peut même saboter la délivrabilité de vos campagnes légitimes.

9. Monitoring, logs et détection d'intrusion

On ne peut pas défendre ce qu'on ne voit pas. Un site PME moyen passe souvent en moyenne 47 jours entre la compromission initiale et sa détection (rapport Mandiant 2025). Pendant ces 47 jours, le pirate extrait des données, installe des portes dérobées, et utilise le serveur pour attaquer d'autres cibles.

Le minimum à monitorer :

• Uptime : surveiller toutes les 1 à 5 minutes (UptimeRobot gratuit, Better Uptime, Pingdom).
• Logs d'authentification : alerter sur 5 tentatives de connexion ratées consécutives.
• Modifications de fichiers critiques : .htaccess, wp-config.php, fichiers de thème (Wordfence, ImunifyAV, Tripwire).
• Trafic anormal : pic soudain de 500 % sur une page, pattern géographique inhabituel.
• Certificats TLS : alerte 7 jours avant expiration.
• Dépendances vulnérables : Dependabot, Snyk en continu.
• Google Search Console : alertes "malware", "contenu piraté", "problèmes de sécurité".

Un site qui subit une baisse brutale de visibilité Google présente souvent des symptômes décrits dans Signes qu'un site web perd des clients, le premier à explorer avant même d'envisager une refonte.

10. Plan de réponse aux incidents

Même avec les 9 premières bases en place, un incident reste possible. Ce qui différencie une PME qui s'en sort d'une PME qui coule, c'est la rapidité et la clarté de la réaction.

Le plan minimum à avoir prêt :

1. Qui appeler : hébergeur (numéro d'urgence), développeur ou freelance de confiance, assurance cyber, CIL / DPO ou référent RGPD, avocat spécialisé (cabinet IT/RGPD).
2. Checklist 48h : isolation, changement de mots de passe, restauration propre, patch de la faille, réouverture contrôlée.
3. Communication externe : modèle d'email client à adapter, post réseaux sociaux, page dédiée "incident" si besoin.
4. Notification CNIL : formulaire en ligne prêt à remplir, informations à réunir (nature, volume, impact, mesures prises).
5. Dépôt de plainte : gendarmerie ou commissariat, indispensable pour activer une assurance cyber.

Une PME qui dispose d'un plan écrit et testé réduit en moyenne de 62 % le coût total d'un incident par rapport à une PME qui improvise (rapport IBM Cost of a Data Breach 2025).

Checklist express : les 10 actions, niveau, temps, coût

Pour une PME plus active ou un e-commerce, multiplier par 1,5 à 3 les temps et coûts indicatifs. Pour un site à enjeu critique (santé, finance, e-commerce > 500k€/an), compter entre 4 000 et 15 000 euros par an en cybersécurité et maintenance, un ordre de grandeur aligné sur les budgets de refonte sécurisée évoqués dans ce guide prix.

WordPress vs sur-mesure : l'angle sécurité

WordPress bien maintenu : la voie raisonnable pour une TPE

La majorité des sites PME normands tournent sur WordPress, et c'est un choix rationnel. Avec :

• Un hébergeur managed (Infomaniak, Kinsta, Cloudways, o2switch, WP Engine).
• Un thème premium maintenu (Astra, GeneratePress, Kadence).
• 5 à 10 plugins maximum, tous officiels et maintenus.
• Un WAF Cloudflare ou Wordfence.
• Une sauvegarde quotidienne UpdraftPlus + S3.
• La 2FA via WP 2FA ou Wordfence.

Un WordPress moderne peut rester sécurisé pendant des années avec 2 à 4 heures de maintenance mensuelle, pour 300 à 800 euros par an tout compris.

Sur-mesure (Next.js, Laravel, etc.) : moins de surface d'attaque

Un site sur-mesure ne souffre pas des failles de plugins tiers puisqu'il n'en a pas. Chaque ligne de code est auditable, chaque dépendance choisie, et le tableau d'administration n'existe souvent pas (gestion par Git + CI/CD). En contrepartie, la maintenance exige une équipe ou un freelance de confiance.

Les projets modernes type Next.js hébergés sur Vercel bénéficient par défaut : HTTPS auto-renew, CDN global, headers de sécurité stricts, protection DDoS, rollback instantané. C'est l'approche utilisée pour ce site et détaillée dans Next.js vs WordPress : comparatif technique.

Le bon choix dépend de votre capacité à maintenir : si vous n'avez personne pour surveiller, un WordPress en managed hosting reste plus sûr qu'un site sur-mesure abandonné.

Combien coûte vraiment la sécurisation d'un site PME

Scénario 1 : TPE site vitrine (artisan, cabinet libéral, restaurant)

• DIY encadré : 100 à 400 euros par an (Cloudflare Free, UpdraftPlus, WP 2FA, temps personnel 2h / mois).
• Accompagné par un prestataire : 600 à 1 400 euros par an (maintenance mensuelle incluse, monitoring, patches, restauration en cas de pépin).

Scénario 2 : PME active ou e-commerce (100k€ à 1M€ de CA web)

• Bundle pro : 1 800 à 4 500 euros par an (hébergement managed renforcé, WAF payant, sauvegardes multi-régions, monitoring 24/7, plan de réponse, assurance cyber 1 000 à 2 400 €/an).

Scénario 3 : refonte sécurisée intégrale

• Site sur-mesure Next.js ou Laravel : 4 500 à 12 000 euros (one-shot), maintenance 60 à 200 euros par mois. Sécurité intégrée dès la conception, suppression des plugins tiers, architecture CDN mondiale. Ordre de grandeur confirmé par le simulateur de prix site web en ajustant le curseur "sécurité renforcée".

Le retour sur investissement s'évalue simplement : 800 euros par an pour éviter un incident qui en coûte 15 000 à 85 000 en moyenne, c'est un multiple 20 à 100 sur le budget investi. Et c'est sans compter la sérénité, la crédibilité client, et la conformité RGPD.

Cas concrets vus en Normandie en 2024-2025

Artisan menuisier (Rouen) : plugin obsolète + SEO black hat

Plugin de galerie photo non mis à jour depuis 14 mois. Site infecté pour rediriger vers des pages de médicaments contrefaits. Indisponibilité 11 jours, coût total 2 400 euros (prestataire + perte de leads), récupération SEO sur 3 semaines. Solution déployée : migration sur hébergeur managed, plugin remplacé, WAF Cloudflare, 2FA, sauvegardes quotidiennes, maintenance mensuelle à 45 euros. Aucun incident depuis 18 mois.

Cabinet kinésithérapeute (Caen) : vol d'identifiants admin

Email phishing "OVH renouvellement", identifiants capturés, prise de contrôle du compte client OVH, modification des DNS vers un site frauduleux. Indisponibilité 6 jours, notification CNIL (dossiers patients potentiellement exposés), dépôt de plainte. Coût : 3 100 euros en prestations + 1 800 euros en sanctions CNIL évitées par la notification dans les 72h. Solution : 2FA YubiKey sur tous les comptes critiques, formation anti-phishing de l'équipe, plan de réponse documenté.

E-commerce producteur local (Manche) : ransomware serveur dédié

Serveur dédié mal configuré, accès SSH avec mot de passe, pas de sauvegarde hors-site. Ransomware LockBit, rançon demandée 18 000 euros. Refus de payer, reconstruction complète depuis les emails de commande. Indisponibilité 22 jours en pleine saison, perte estimée 47 000 euros. Solution post-incident : migration sur hébergement managed avec snapshots, WAF Sucuri, sauvegardes S3 multi-régions, plan de continuité. Budget sécurité annuel post-incident : 2 400 euros, soit 5 % du coût de l'incident. Le type même de situation à éviter détaillée dans les signes d'un site web qui perd des clients.

Sécurité et RGPD : deux faces de la même pièce

L'article 32 du RGPD impose des "mesures techniques et organisationnelles appropriées" pour garantir la sécurité des données personnelles. En pratique, les 10 bases listées ici couvrent 90 % des obligations RGPD techniques. À l'inverse, un site non sécurisé est par nature non conforme, même si les mentions légales et la bannière cookies sont parfaites.

Les 4 articles RGPD critiques côté sécurité :

• Article 32 : sécurité du traitement. Chiffrement, confidentialité, intégrité, résilience, tests réguliers.
• Article 33 : notification à la CNIL dans les 72h en cas de violation.
• Article 34 : notification aux personnes concernées en cas de risque élevé.
• Article 35 : analyse d'impact (AIPD) pour les traitements sensibles (santé, biométrie, géolocalisation).

Une PME qui applique les 10 bases de ce guide dispose donc automatiquement de l'essentiel des mesures techniques RGPD. Pour tout le volet documentaire (mentions légales, politique de confidentialité, registre, cookies), se référer au guide RGPD complet publié récemment.

À cela s'ajoute l'obligation récente d'accessibilité numérique, qui s'impose parallèlement aux sujets sécurité pour la majorité des PME. Voir le détail dans obligations EAA / RGAA 2026.

Les 8 erreurs les plus fréquentes à éviter

1. Compte administrateur "admin" avec mot de passe faible : première porte d'entrée, à neutraliser en 10 minutes.
2. Plugins nulled ou piratés : installent presque tous des portes dérobées. À bannir absolument.
3. Sauvegardes jamais testées : 50 % des PME découvrent leur sauvegarde corrompue au pire moment.
4. Pas de 2FA sur l'hébergeur : pour 30 minutes de setup, réduit drastiquement le risque de perte totale.
5. Un seul compte admin partagé entre plusieurs personnes : impossible de tracer qui a fait quoi, irrégulier vis-à-vis du RGPD.
6. Accès FTP d'anciens prestataires jamais révoqués : 30 % des incidents Normandie incluent ce point.
7. Ignorer les alertes Google Search Console : "Malware detected", "Site hacked" passent souvent inaperçues pendant des semaines.
8. Pas de plan de réponse écrit : en situation de crise, l'improvisation multiplie le coût par 3.

Par où commencer quand on part de zéro ?

Ordre de priorité réaliste pour une TPE qui n'a rien sécurisé :

1. Jour 1 : activer 2FA sur hébergeur + CMS + email (2h, gain 70 % du risque).
2. Jour 2 : installer Cloudflare Free, vérifier HTTPS, changer les mots de passe admin via un gestionnaire (2h).
3. Semaine 1 : configurer sauvegardes automatiques + tester une restauration (4h).
4. Semaine 2 : auditer les plugins, supprimer les inutiles, activer les mises à jour automatiques (3h).
5. Mois 1 : documenter plan de réponse + monitoring uptime + alertes sécurité (6h).
6. Mois 3 : audit complet, test de restauration, revue des accès, formation équipe (1 jour).

Pour les PME de Normandie qui n'ont pas d'équipe interne, un accompagnement régulier par un freelance ou une agence (cf. zones d'intervention) coûte entre 45 et 120 euros par mois selon le volume d'interventions. C'est 20 à 50 fois moins cher qu'une remise en état après incident.

Prêt à sécuriser durablement votre site web ? Contactez-nous pour un audit sécurité offert : on vous renvoie sous 48h un diagnostic clair, les 10 priorités à corriger, et un chiffrage transparent. Basé en Normandie, intervention distante et sur site.

Questions fréquentes

Combien coûte en moyenne une cyberattaque pour une PME française en 2026 ? Selon l'ANSSI et les rapports du CERT-FR publiés en 2025, le coût moyen d'un incident se situe entre 15 000 et 85 000 euros, incluant la remédiation technique, la perte de chiffre d'affaires pendant l'indisponibilité, la notification RGPD et la perte de confiance client. Pour un e-commerce, l'indisponibilité d'une semaine représente régulièrement 40 à 70 % du chiffre mensuel.

Un site vitrine tout simple peut-il vraiment être piraté ? Oui. 95 % des attaques sont automatisées : des bots scannent l'internet à la recherche de sites WordPress ou Prestashop obsolètes. Aucun humain ne vous cible, l'algorithme trouve une faille et installe un malware, un mineur de cryptomonnaie, ou une page de phishing.

WordPress est-il moins sécurisé qu'un site sur-mesure ? WordPress en lui-même n'est pas dangereux : c'est l'écosystème de plugins qui concentre 90 % des failles. Un WordPress à jour, avec peu de plugins officiels, un hébergeur managé, un WAF et de la 2FA reste parfaitement sécurisable.

À quelle fréquence un site PME doit-il être sauvegardé ? Sauvegarde quotidienne automatisée (fichiers + base) avec rétention 30 jours minimum. Règle 3-2-1 : 3 copies, 2 supports, 1 hors-site. Tester la restauration au moins une fois par trimestre.

Le HTTPS avec Let's Encrypt suffit-il à sécuriser un site ? Non. Le HTTPS chiffre uniquement le transport. Il n'empêche ni injection SQL, ni plugin vulnérable, ni mot de passe faible. C'est une brique nécessaire mais très loin d'être suffisante.

Faut-il un WAF payant pour une TPE ? Pas toujours. Cloudflare Free suffit dans 80 % des cas pour un site vitrine. Passer au payant (20 à 250 USD/an) dès que vous traitez des paiements, des données de santé, ou dépassez 50 000 visites mensuelles.

Que faire dans les 48h après avoir découvert un piratage ? Isoler le site, geler les comptes admin, restaurer une sauvegarde propre, patcher la faille d'entrée, notifier la CNIL si données personnelles exposées (72h max), déposer une plainte si activation d'une assurance cyber.

Une faille de sécurité doit-elle être déclarée à la CNIL ? Oui dès qu'il y a eu fuite, altération ou perte de données personnelles. Notification via le formulaire en ligne CNIL dans les 72h. La CNIL sanctionne plus sévèrement une absence de notification qu'un incident en lui-même.

En résumé

La cybersécurité d'un site PME en 2026 tient en 10 bases concrètes : HTTPS, mots de passe gérés, 2FA, sauvegardes 3-2-1, mises à jour régulières, WAF, moindre privilège, protection anti-bots, monitoring, plan de réponse. Budget annuel réaliste pour une TPE : 100 à 900 euros. Budget pour une PME active : 1 800 à 4 500 euros. À comparer aux 15 000 à 85 000 euros d'un incident non anticipé.

Le plus important n'est pas d'être parfait sur un point, mais d'être raisonnablement couvert sur les 10. Une PME qui applique cette checklist bloque 95 % des attaques automatisées, reste conforme au RGPD, protège son référencement et sa messagerie, et dispose d'un plan clair en cas de pépin.