Votre site web sera attaqué cette année. Pas peut-être, pas si vous avez de la chance, simplement cette année. La sécurité site web n'est plus un sujet réservé aux DSI : selon le rapport Verizon Data Breach Investigations Report 2025, 88 % des compromissions chez les PME impliquent un rançongiciel, contre 39 % pour les grandes structures. Vous êtes la cible la plus rentable du marché : peu défendue, dépendante de votre site et solvable sous pression.
Le formulaire de contact qui vous amène vos demandes de devis tient à quatre lignes de code et trois mots de passe. Voici comment ça se casse, et ce qu'il faut faire avant que ça arrive.
Sécurité site web : pourquoi votre TPE est devenue une cible prioritaire
L'idée que les pirates ne s'intéresseraient qu'aux grosses structures est morte avec la professionnalisation du ransomware. Les attaques sont automatisées, ratissent en masse et frappent tout ce qui répond sur le port 443. Vous n'êtes pas visé personnellement, vous êtes ramassé dans un filet.
Les chiffres français le confirment. Le baromètre Cybermalveillance.gouv.fr 2025 montre que les demandes d'assistance des entreprises (essentiellement TPE PME) ont bondi de 73 % en un an, et que 16 % des structures interrogées déclarent avoir subi au moins un incident dans les 12 derniers mois. L'ANSSI dans son Panorama de la cybermenace 2025 précise que les PME, TPE et ETI représentent 48 % des victimes de rançongiciel signalées au CERT-FR.
Trois raisons à cette concentration sur les petites structures :
- Aucune équipe sécurité dédiée, donc aucune détection avant qu'il soit trop tard.
- Des sites souvent montés rapidement, avec des plugins jamais mis à jour et des mots de passe d'admin créés en 2019.
- Une dépendance opérationnelle forte : sans site, plus de prises de rendez-vous, plus de devis, plus de chiffre d'affaires. La pression pour payer la rançon est maximale.
Les 5 attaques qui touchent vraiment les sites de TPE en 2026
Vous n'allez pas vous faire pirater par un commando d'État-nation. Vous allez vous faire pirater par un bot qui parcourt 50 000 URL par minute et exploite une faille publique connue depuis trois mois. Voici les cinq vecteurs qui causent la quasi-totalité des incidents sur des sites de TPE.
1. Brute force sur la page d'administration
Wordfence, le plugin de sécurité WordPress le plus déployé, bloque chaque mois plus de 6,4 milliards de tentatives de brute force sur l'ensemble de son réseau (rapport trimestriel Q4 2025). Un attaquant essaie automatiquement les combinaisons login et mot de passe sur /wp-admin, /administrator ou /backend. Si vous avez gardé le compte « admin » avec un mot de passe à 10 caractères sans double authentification, c'est ouvert en quelques heures.
2. Plugin ou extension vulnérable
Selon le rapport Patchstack State of WordPress Security 2025, 96 % des vulnérabilités WordPress proviennent de plugins, 4 % seulement des thèmes. Et 57 % des failles divulguées en première moitié 2025 ne nécessitaient aucune authentification pour être exploitées. Un visiteur lambda peut déclencher la compromission sans même avoir de compte.
Plus grave : la médiane du temps entre divulgation publique et exploitation massive est de 5 heures (Wordfence). Si vous mettez à jour vos plugins une fois par mois, vous êtes mathématiquement exposé chaque mois. C'est exactement ce que doit couvrir un vrai contrat de maintenance site web, et non un simple « forfait sauvegardes ».
3. Phishing du compte hébergeur ou registrar
L'attaquant ne s'intéresse pas toujours à votre code. Il vise vos identifiants OVH, o2switch, Gandi, Stripe ou votre boîte mail pro. Un faux email « Votre certificat SSL expire dans 24h », un clic, et il prend la main sur tout votre dispositif. Le phishing reste, selon Cybermalveillance.gouv.fr, le vecteur numéro un des incidents signalés (43 %).
4. Injection sur les formulaires et upload non filtré
Tout formulaire qui accepte du texte ou un fichier sans filtrer ses entrées est une porte ouverte. Les classiques restent les mêmes depuis 20 ans : injection SQL pour aspirer la base de données, XSS pour injecter un script qui vole les sessions, upload de webshell pour prendre le contrôle complet du serveur. Sur un site sur mesure bien codé, ces failles n'existent pas. Sur un site assemblé à la va-vite avec des plugins de formulaire douteux, elles s'invitent gratuitement.
5. Compromission d'un sous-traitant ou tiers
Le DBIR 2025 signale que l'implication d'un tiers dans les compromissions a doublé pour atteindre 30 %. Vous pouvez avoir un site impeccable, si votre prestataire de newsletter, votre outil d'analytics ou votre développeur freelance se fait pirater, vous tombez avec lui. C'est ce qu'on appelle une attaque sur la chaîne d'approvisionnement, et elle explique une part croissante des incidents qui frappent les petites structures par ricochet.
Ce que vous devez faire avant lundi (sans budget)
Une partie significative du risque tombe en quelques heures de travail, sans investir un centime. Si vous deviez tout faire avant lundi prochain, voici l'ordre :
- Forcer HTTPS partout. Si votre site répond encore en http://, vous avez 20 ans de retard. Let's Encrypt fournit le certificat SSL gratuit, la plupart des hébergeurs l'activent en un clic.
- Activer la double authentification sur tous les comptes critiques. Admin du site, hébergeur, registrar du nom de domaine, boîte mail pro, Stripe. Pas de 2FA, pas de protection réelle.
- Renommer le compte admin et utiliser un mot de passe long. Plus de « admin » comme identifiant. Mot de passe minimum 16 caractères généré par un gestionnaire (Bitwarden, 1Password, ProtonPass).
- Mettre à jour le CMS, les plugins et les thèmes. Tout, immédiatement. Activer les mises à jour automatiques de sécurité quand c'est possible.
- Désinstaller tout plugin que vous n'utilisez pas. Un plugin désactivé reste exploitable. Supprimez-le.
- Vérifier que vos sauvegardes existent vraiment. Et qu'elles sont stockées ailleurs que sur le même serveur. Une sauvegarde locale ne sert à rien quand le serveur entier est chiffré.
Ces six actions suppriment 80 % du risque pratique. Le reste demande un travail d'architecture, qui rejoint aussi le choix de votre hébergement web et de ses mécanismes de protection.
Sauvegardes : la vraie ligne de défense quand tout tombe
La meilleure prévention n'évite pas tous les incidents. La question n'est pas « est-ce que je serai attaqué », mais « combien de temps je mets à me relever ». La réponse tient dans la qualité de vos sauvegardes.
La règle qu'utilisent les administrateurs système depuis 30 ans s'appelle le 3-2-1 :
- 3 copies de vos données (l'originale plus deux backups).
- 2 supports différents (disque local plus cloud, ou serveur principal plus NAS).
- 1 copie hors-site, dans un autre lieu physique ou un autre fournisseur cloud.
Si votre seule sauvegarde est sur le même serveur que votre site, vous n'avez pas de sauvegarde. Le ransomware chiffrera les deux en même temps. Sur les projets de site vitrine que je livre, je configure systématiquement une sauvegarde quotidienne externalisée, avec rétention sur 30 jours minimum, et je teste la restauration au moins une fois.
Un détail oublié par 9 prestataires sur 10 : tester la restauration. Une sauvegarde qui n'a jamais été restaurée n'est pas une sauvegarde, c'est un fichier dont on espère qu'il fonctionne.
Sécurité site web : le coût d'une attaque vs celui de la prévention
Beaucoup de TPE arbitrent la sécurité comme un poste de coût optionnel. Le calcul est faussé.
| Poste | Coût annuel typique |
|---|---|
| Hébergement performant avec sauvegardes externalisées | 200 à 600 € |
| Contrat de maintenance avec mises à jour mensuelles | 600 à 2 400 € |
| Audit de sécurité ponctuel | 500 à 1 500 € |
| Total annuel prévention site vitrine TPE | 1 300 à 4 500 € |
| Remédiation après incident (nettoyage, restauration, perte d'exploitation) | 3 000 à 30 000 € |
| Rançon médiane payée selon le DBIR 2025 | environ 115 000 $ |
Le ratio prévention/réparation est de l'ordre de 1 à 10 dans le meilleur cas, 1 à 100 si vous payez une rançon. Et ce calcul ignore les conséquences indirectes : perte de positionnement Google si le site reste hors-ligne plusieurs semaines, perte de confiance client, signalement à la CNIL si des données personnelles ont fuité (jusqu'à 4 % du chiffre d'affaires d'amende), obligation d'information des personnes concernées. Sur ce dernier point, jetez un œil aux obligations légales d'un site web en 2026, la facture grimpe vite.
Le critère qui décide : un seul interlocuteur responsable
La sécurité d'un site web n'est pas un produit que vous achetez une fois. C'est un état permanent qui demande qu'une personne précise surveille les mises à jour, monitore les tentatives d'intrusion, teste les sauvegardes, fasse les arbitrages techniques. Si personne n'a explicitement ce rôle dans votre dispositif actuel, alors personne ne le fait.
La question à vous poser ce soir : si demain matin votre site renvoie une erreur 500 et que votre messagerie ne reçoit plus aucun mail, qui appelez-vous, et combien de temps cette personne mettra-t-elle à remettre tout en ligne ? Si la réponse est floue, c'est exactement le moment de la clarifier.
Pour discuter d'un audit, d'un contrat de maintenance ou de la reprise en main d'un site sur lequel vous avez perdu le contrôle, prenez 20 minutes en visio.