Sécurité site internet : 10 bonnes pratiques à mettre en place sans attendre

sécurité site internet web

La sécurité d'un site internet, c’est un sujet souvent relégué au second plan… jusqu’à ce qu’il soit trop tard. Un site piraté, c’est une activité paralysée, des données en fuite, une image de marque écornée. Bref, un vrai cauchemar. Pourtant, il est possible d’anticiper. Et surtout, c’est de votre responsabilité — même si vous êtes en charge de la com’ et pas expert ou experte en cybersécurité. On vous explique pourquoi et comment.

Sécurité site internet : Pourquoi est-ce l’affaire des communicants ?

Même si vous n’êtes pas DSI, c’est vous qui, bien souvent, êtes responsable du site web de votre organisation. Et ça change tout : en cas de cyberattaque, difficile de dire "ce n’est pas moi", d’autant que :

  • 80 % des failles de sécurité sont dues à une erreur humaine
  • La moitié des entreprises françaises ont déjà été victimes de cyberattaques
  • Le coût moyen d’une attaque est de 50 000 €
  • 44 % des consommateurs cesseraient d’acheter auprès d’une entreprise ayant subi une attaque

Et ce n’est pas qu’une histoire de budget ou d’informatique : la sécurité des sites internet est directement liée à la confiance que vous inspirez à vos utilisateurs.

Exemple concret : une photo, un mot de passe, une catastrophe

Vous pensez que ça n’arrive qu’aux autres ? Petit scénario fictif : Juliette, dirigeante de e-agency, partage une photo de son bureau sur YouTube. Sur cette image, on trouve un post-it avec des chiffres, un tableau avec un code, un faire-part avec une date, un calendrier avec un prénom entouré… Autant d’indices pour deviner son mot de passe.

Et son identifiant ? Facile : prénom.nom@e-agency.com. Si son site est sur WordPress et que l’URL d’administration est restée celle par défaut, n’importe qui peut tenter sa chance.

Une fois connecté, les dégâts peuvent commencer :

  • Modifier ou supprimer les contenus
  • Voler les données des utilisateurs
  • Installer des formulaires pirates
  • Envoyer des spams
  • Détruire complètement le site

D’autres types d’attaques à connaître

Il existe plusieurs façons de compromettre la sécurité d'un site web :

  • Injection de code malveillant : via un plugin ou un champ de formulaire mal sécurisé
  • Attaque DDoS : inonder le site de requêtes pour le rendre inaccessible
  • Vol de données sensibles : comme chez Airbus ou le CHU de Rennes, avec mise en vente sur le Dark Web
  • Prise de contrôle du site : en devenant administrateur à votre place

Certaines entreprises mettent des mois à se remettre d’une attaque. D’autres ne s’en remettent jamais.

Que faire après une attaque ?

Si votre site a été piraté, pas de panique, mais réagissez vite :

  1. Isoler et mettre hors ligne le site pour stopper la propagation
  2. Changer tous les mots de passe, sans exception
  3. Mettre à jour tous les plugins, thèmes et logiciels
  4. Identifier la faille grâce aux logs d’hébergement ou aux outils de sécurité
  5. Nettoyer le site : pages, contenus, comptes utilisateurs, formulaires
  6. Prévenir les utilisateurs dont les données ont été compromises
  7. Renforcer la sécurité de votre site web avec des plugins spécialisés
  8. Déclarer l’incident à l’ANSSI et à la CNIL sous 72h
  9. Porter plainte si nécessaire
  10. Rétablir la confiance avec vos clients : soyez transparent, communiquez, rassurez

Sécurité site internet : Les bonnes pratiques à adopter dès maintenant

Vous n’avez pas encore été attaqué ? Tant mieux. Voici ce que vous devez mettre en place pour éviter que ça arrive :

Sécurisez vos mots de passe

  • Un mot de passe unique, long et aléatoire (24 caractères minimum)
  • Un mot de passe différent pour chaque site
  • Un renouvellement tous les 6 mois
  • Stockez-les dans un gestionnaire de mots de passe (LastPass, Dashlane, etc.)

Ne jamais transmettre vos mots de passe n’importe comment

  • Pas d'email ou de messagerie
  • Utilisez un outil comme One Time Secret pour un partage à usage unique

Activez la double authentification (2FA)

  • Soit par SMS
  • Soit via une appli comme Google Authenticator ou 2FAS

Changez l’URL de connexion au back-office

Sur WordPress, l’URL d’administration est prévisible. Modifiez-la pour éviter les attaques automatisées.

Créez un compte par utilisateur

Évitez les comptes génériques partagés. Cela vous permet de tracer les accès et de révoquer facilement les accès inutiles.

Ne vous connectez jamais depuis un Wi-Fi public

Trop risqué. Préférez un réseau sécurisé ou un VPN.

Choisissez des plugins et thèmes fiables

  • Téléchargez uniquement depuis les répertoires officiels
  • Vérifiez que le plugin est mis à jour régulièrement
  • Méfiez-vous des outils peu connus ou non maintenus

Souscrivez à un contrat de maintenance préventive pour votre site web

Une bonne maintenance préventive couvre :

  • Les mises à jour de WordPress, plugins et thèmes
  • Le suivi des versions PHP sur le serveur
  • Des sauvegardes régulières

Gardez un esprit critique

  • Ne cliquez pas sur tout
  • Méfiez-vous des extensions douteuses
  • Vérifiez l’origine des messages
  • Un mail bien écrit peut être une arnaque, surtout à l’ère de l’IA

Sécurité site web : Voir le replay de notre webinaire ▶️

La sécurité du site web, ce n’est pas un sujet à déléguer en bout de chaîne. C’est un enjeu stratégique pour la confiance, la continuité d’activité et la réputation de votre organisation. Mettez en place les bonnes pratiques dès maintenant, formez vos équipes, et entourez-vous de partenaires solides. Avec pédagogie (et un brin d’humour), Aurélien et Nicolas vous plongent dans les coulisses de la sécurité site web dans ce webinaire.

Faites le plein d'idées et de motivation

Boostez votre communication avec nos webinaires, podcasts, replays et articles de blog De la Com et des Chouquettes. On vous les expédie directement dans votre boite email une fois par mois.

S’inscrire à la newsletter
Retour aux articles