Technologie

Sécurité de site web pour PME : le guide essentiel

Guide complet de sécurité web pour les PME suisses : SSL, mises à jour, sauvegardes, en-têtes HTTP, protection contre les attaques et conformité nLPD.

· tacelo
Sécurité de site web pour les PME suisses

La sécurité web n’est pas réservée aux grandes entreprises. En Suisse, les PME sont des cibles fréquentes de cyberattaques, précisément parce que leurs sites sont souvent moins bien protégés. Selon le National Cyber Security Centre (NCSC), les signalements d’incidents cyber en Suisse ont augmenté de manière constante ces dernières années, avec une part significative touchant les petites et moyennes entreprises.

Un site web compromis peut entraîner la perte de données clients, un défacement public embarrassant, un blacklisting par Google (qui affiche un avertissement “Ce site est dangereux”), et des sanctions au regard de la loi fédérale sur la protection des données (nLPD).

Les bases : ce que chaque PME doit avoir

Certificat SSL / HTTPS

Le protocole HTTPS chiffre les communications entre le navigateur du visiteur et votre serveur. C’est le minimum absolu en 2026.

  • Vérification : votre URL commence par https:// et un cadenas apparaît dans la barre d’adresse.
  • Installation : la plupart des hébergeurs suisses (Infomaniak, cyon, Hostpoint) fournissent un certificat SSL gratuit via Let’s Encrypt.
  • Redirection : configurez une redirection automatique de HTTP vers HTTPS pour que toutes les requêtes soient chiffrées.
  • Renouvellement : les certificats Let’s Encrypt expirent après 90 jours. Activez le renouvellement automatique.

Un site sans HTTPS est pénalisé par Google dans les résultats de recherche et affiche un avertissement “Non sécurisé” dans Chrome.

Mises à jour régulières

Les vulnérabilités de sécurité sont corrigées par des mises à jour. Un CMS ou un plugin obsolète est une porte d’entrée pour les attaquants.

  • WordPress : mettez à jour le core, les thèmes et les plugins dès qu’une mise à jour de sécurité est disponible. Activez les mises à jour automatiques pour les correctifs mineurs.
  • Plugins non utilisés : désinstallez-les. Un plugin désactivé mais présent sur le serveur reste une surface d’attaque.
  • PHP : assurez-vous que votre hébergeur utilise une version PHP supportée (8.2+ en 2026).

Pour les sites statiques (Astro, Next.js, Hugo), le risque est moindre car il n’y a pas de serveur dynamique à compromettre. C’est un avantage structurel de cette architecture.

Sauvegardes

Une sauvegarde fiable est votre filet de sécurité. Si votre site est compromis, vous devez pouvoir le restaurer rapidement.

  • Fréquence : quotidienne pour les sites avec du contenu dynamique, hebdomadaire pour les sites vitrines.
  • Stockage : les sauvegardes doivent être stockées sur un emplacement séparé du serveur principal (autre serveur, cloud, stockage local).
  • Test de restauration : testez régulièrement que vos sauvegardes fonctionnent. Une sauvegarde non testée n’est pas une sauvegarde.
  • Rétention : conservez au moins 30 jours d’historique. Un malware peut être présent depuis plusieurs semaines avant d’être détecté.

Protection avancée

En-têtes de sécurité HTTP

Les en-têtes HTTP sont des directives envoyées par votre serveur au navigateur du visiteur. Certains en-têtes renforcent significativement la sécurité.

Strict-Transport-Security (HSTS) : force le navigateur à utiliser HTTPS, même si l’utilisateur tape HTTP.

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

Content-Security-Policy (CSP) : contrôle les sources autorisées pour les scripts, styles, images et autres ressources. Empêche les attaques XSS (cross-site scripting).

Content-Security-Policy: default-src 'self'; script-src 'self' https://www.googletagmanager.com

X-Content-Type-Options : empêche le navigateur de deviner le type MIME des fichiers.

X-Content-Type-Options: nosniff

X-Frame-Options : empêche l’intégration de votre site dans une iframe tierce (protection contre le clickjacking).

X-Frame-Options: SAMEORIGIN

Referrer-Policy : contrôle les informations de référent envoyées lors de la navigation.

Referrer-Policy: strict-origin-when-cross-origin

Testez vos en-têtes sur SecurityHeaders.com pour obtenir un score et des recommandations.

Protection contre les attaques courantes

Attaques par force brute : si votre site a une zone d’administration (WordPress /wp-admin), protégez-la :

  • Limitez les tentatives de connexion (plugin comme Limit Login Attempts).
  • Utilisez des mots de passe forts et uniques (minimum 16 caractères).
  • Activez l’authentification à deux facteurs (2FA).
  • Changez l’URL de connexion par défaut.

Injection SQL : si votre site utilise une base de données, utilisez des requêtes préparées (prepared statements) et ne faites jamais confiance aux données saisies par l’utilisateur.

Cross-site scripting (XSS) : échappez systématiquement les données affichées et configurez une Content-Security-Policy stricte.

Spam sur les formulaires : protégez vos formulaires de contact avec un honeypot (champ invisible pour les bots) ou un captcha. Validez les données côté serveur, pas uniquement côté client.

Surveillance et détection

Monitoring de disponibilité

Un service de monitoring vous alerte si votre site devient inaccessible. Options gratuites ou peu coûteuses :

  • UptimeRobot (gratuit) : vérifie votre site toutes les 5 minutes.
  • Better Uptime : monitoring avec page de statut publique.
  • Pingdom : monitoring avec historique de performance.

Scan de malware

Effectuez des scans réguliers pour détecter les fichiers compromis :

  • Sucuri SiteCheck (gratuit) : scan externe de malware et de blacklisting.
  • Wordfence (WordPress) : scan interne des fichiers et de la base de données.

Alertes Google Search Console

Google Search Console vous notifie si votre site est détecté comme compromis ou s’il distribue du malware. Assurez-vous que les notifications par email sont activées.

Conformité légale en Suisse

La nLPD (nouvelle Loi sur la Protection des Données)

En vigueur depuis septembre 2023, la nLPD impose des obligations concrètes pour les sites web suisses :

  • Déclaration de confidentialité : obligatoire, elle doit décrire quelles données sont collectées, dans quel but, et comment elles sont protégées.
  • Sécurité des données : l’entreprise doit prendre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles.
  • Notification en cas de violation : les violations de données à haut risque doivent être signalées au Préposé fédéral à la protection des données (PFPDT).

Pour les aspects spécifiques aux cookies et au consentement, consultez notre article sur la nLPD et les cookies en 2026.

Implications pratiques pour votre site

  • Les formulaires qui collectent des données personnelles (nom, email, téléphone) doivent être sécurisés (HTTPS obligatoire).
  • Les données collectées doivent être stockées de manière sécurisée et supprimées lorsqu’elles ne sont plus nécessaires.
  • Si vous utilisez des outils d’analyse comme Google Analytics, le transfert de données vers les USA nécessite des garanties spécifiques.

Checklist de sécurité pour PME

Voici les actions à mettre en place par ordre de priorité :

  1. Certificat SSL actif et redirection HTTP vers HTTPS
  2. CMS, plugins et thèmes à jour
  3. Sauvegardes automatiques testées régulièrement
  4. Mots de passe forts + 2FA sur les comptes admin
  5. En-têtes de sécurité HTTP configurés
  6. Protection anti-spam sur les formulaires
  7. Monitoring de disponibilité activé
  8. Scan de malware périodique
  9. Déclaration de confidentialité à jour
  10. Plan de réponse en cas d’incident

Sites statiques : un avantage sécurité

Les sites générés statiquement (avec Astro, Hugo, Next.js en mode SSG) présentent une surface d’attaque réduite par rapport aux CMS dynamiques. Il n’y a pas de base de données à attaquer, pas de zone d’administration exposée, pas de plugins à maintenir.

Cela ne dispense pas de mettre en place les mesures de base (HTTPS, en-têtes de sécurité, sauvegardes), mais réduit significativement le risque d’intrusion. C’est l’une des raisons pour lesquelles nous utilisons cette architecture chez tacelo.

Conclusion

La sécurité web est un processus continu, pas une action ponctuelle. Pour une PME suisse romande, les mesures de base (SSL, mises à jour, sauvegardes, mots de passe forts) couvrent la majorité des risques. Les en-têtes de sécurité et le monitoring ajoutent une couche de protection supplémentaire qui fait la différence.

Si vous n’êtes pas sûr de l’état de sécurité de votre site, commencez par un audit gratuit pour identifier les vulnérabilités. Et si votre site repose sur un CMS obsolète avec des plugins non maintenus, il est peut-être temps d’envisager une refonte sur une architecture plus sécurisée.

Articles similaires

Dark mode sur site web
Technologie

Dark mode sur votre site web : tendance ou nécessité ?
Progressive Web App PWA pour PME
Technologie

Progressive Web App (PWA) : est-ce utile pour une PME ?
Tous les articles

Besoin d'un site web ?

Prix fixes dès 990 CHF, livré en 1 semaine.

Discuter sur WhatsApp