« Qui voudrait pirater mon petit site ? » : tout le monde, justement
C'est la phrase qu'on entend à chaque audit, et elle repose sur un malentendu : les attaques ne sont pas ciblées, elles sont industrielles. Des robots scannent le web en continu, testent chaque site contre des catalogues de failles connues, et exploitent ce qui répond. Votre site n'intéresse personne en particulier ; sa puissance de calcul, son domaine réputé propre pour envoyer du spam, et les données de vos clients intéressent tout le monde. Un site de PME compromis sert à héberger du phishing, miner de la crypto ou rebondir vers d'autres cibles, pendant des mois si personne ne surveille.
Voici les huit failles que nous retrouvons, dans cet ordre de fréquence, sur les sites qui passent entre nos mains.
1. Le retard de mises à jour, roi incontesté
CMS, extensions, thèmes, bibliothèques : chaque composant non mis à jour est une porte documentée publiquement. Les exploits sortent parfois quelques heures après la publication d'un correctif, précisément parce que le correctif révèle la faille. Un WordPress avec six mois de retard n'est pas « à risque » : il est statistiquement déjà visité. La parade est un processus, pas un outil : quelqu'un doit être responsable des mises à jour, avec un rythme hebdomadaire et un environnement de test pour les mises à jour majeures. C'est le cœur de nos contrats de maintenance, et la première question à poser à votre prestataire actuel.
2. Les accès : mots de passe faibles, partagés, éternels
Le trio classique : un compte « admin » au mot de passe simple, partagé par trois personnes dont une qui a quitté l'entreprise en 2024, sans double authentification. Les correctifs coûtent zéro euro : un compte nominatif par personne, des droits limités au nécessaire (le rédacteur du blog n'a pas besoin des réglages du site), la double authentification sur tous les comptes d'administration, et une revue des accès à chaque départ. Ajoutez la protection de la page de connexion contre les essais en rafale, et vous avez fermé la deuxième porte la plus utilisée.
3. Les sauvegardes qui n'existent pas (ou n'ont jamais été testées)
La sauvegarde est votre assurance-vie numérique, et la moitié des sites audités n'en ont pas de fonctionnelle : soit inexistante, soit stockée sur le même serveur que le site (un piratage ou une panne emporte tout), soit jamais testée, on découvre au pire moment qu'elle est vide ou corrompue. Le standard minimal : quotidienne, automatique, stockée ailleurs, conservée sur plusieurs semaines, et restaurée pour de vrai une fois par trimestre. Une restauration testée est la différence entre un incident d'une heure et une catastrophe d'une semaine.
4. Le HTTPS incomplet et les en-têtes absents
Le cadenas est généralisé, mais on trouve encore : des contenus mixtes (ressources chargées en HTTP dans une page HTTPS), des redirections incomplètes, et presque partout l'absence des en-têtes de sécurité modernes (HSTS, protection contre le clickjacking, politique de contenu). Invisibles pour l'utilisateur, ces en-têtes ferment des classes entières d'attaques, et se configurent en une heure. Les scanners en ligne gratuits vous donnent votre note en trente secondes ; en dessous de B, il y a du travail facile à récolter.
5. Les formulaires naïfs
Tout champ de saisie est une porte d'entrée potentielle : injections dans les formulaires mal protégés, spam massif qui pollue votre CRM et votre réputation d'expéditeur, pièces jointes non contrôlées. Règles d'or : validation côté serveur systématique (celle côté navigateur se contourne en deux clics), protection anti-robots discrète (les pièges invisibles type honeypot évitent de faire subir des captchas à vos clients), et limitation stricte des types de fichiers acceptés.
6. Les fichiers oubliés qui parlent trop
Le dossier /backup-2023 resté public, l'export de base de données à la racine, le phpinfo de debug, l'ancien site dans /old : autant de cadeaux aux scanners. S'y ajoutent les messages d'erreur bavards qui affichent chemins et versions. Un crawl de votre propre site avec les mêmes outils que les attaquants (ils sont publics) révèle en une heure ce que vous exposez sans le savoir.
7. Les extensions et scripts tiers non inventoriés
Chaque extension, chaque script externe chargé sur vos pages exécute du code avec vos privilèges ou dans le navigateur de vos clients. Les attaques par la chaîne d'approvisionnement (une extension légitime rachetée puis piégée, un script tiers compromis) ont explosé. L'hygiène : un inventaire de ce qui tourne, la suppression réelle de ce qui ne sert plus (désactivé n'est pas supprimé), et la préférence systématique pour moins de composants, mieux choisis. Bonus : votre INP vous dira merci, sécurité et performance se rejoignent encore.
8. Personne ne regarde
La faille transversale : l'absence de surveillance. Sans monitoring de disponibilité, sans alerte sur les modifications de fichiers, sans lecture des journaux, une compromission vit en moyenne des semaines avant d'être découverte, souvent par un client qui signale « un truc bizarre », ou par Google qui blackliste le domaine. Un monitoring basique (disponibilité, intégrité des fichiers, tentatives de connexion) se met en place en une journée et transforme la découverte tardive en alerte du jour même.
Par où commencer : le tiercé du mois
Si vous ne faites que trois choses après cette lecture : vérifiez l'état des mises à jour et qui en est responsable, testez une restauration de sauvegarde (pas la sauvegarde : la restauration), et activez la double authentification sur les accès d'administration. Ces trois gestes couvrent la majorité des sinistres que nous voyons passer. Pour le reste, notre audit sécurité fait le tour des huit points en quelques jours, avec un plan de correction chiffré par priorité, demandez-le avant que les robots ne fassent l'audit à leur manière.
Que faire si c'est déjà arrivé : les premiers gestes
Si vous découvrez une compromission (pages inconnues indexées par Google, alertes navigateur, clients qui reçoivent du spam en votre nom), l'ordre des gestes compte. Un : isoler, mettre le site en maintenance pour couper l'exploitation en cours. Deux : préserver, copier les journaux et l'état du site avant tout nettoyage, ils diront comment l'attaquant est entré, et sans cette réponse, il reviendra par la même porte. Trois : changer tous les accès (administration, FTP, base de données, hébergeur), depuis un poste sain. Quatre : restaurer depuis une sauvegarde antérieure à l'intrusion puis appliquer immédiatement toutes les mises à jour et fermer la faille d'entrée identifiée. Cinq : vérifier les obligations, si des données personnelles ont pu fuiter, la notification CNIL sous 72 heures s'impose, on en parle dans notre guide RGPD. Et six : demander la levée des blocages (Google Search Console, listes noires) une fois le site propre. Un nettoyage professionnel prend d'une demi-journée à plusieurs jours ; l'improvisation qui écrase les traces et laisse la porte ouverte coûte toujours plus cher au deuxième tour.
Le budget sécurité raisonnable d'une PME
Pour finir sur du concret : sécuriser sérieusement un site de PME n'exige pas un budget de banque. La répartition type que nous recommandons : une maintenance mensuelle qui inclut mises à jour, sauvegardes externalisées testées et monitoring (c'est le gros du risque couvert, pour quelques dizaines à quelques centaines d'euros par mois selon le site), un audit annuel d'une journée pour passer les huit points en revue, et une heure de sensibilisation d'équipe par an, le phishing des accès reste le vecteur le moins technique et le plus efficace. Rapporté au coût moyen d'un incident (interruption d'activité, nettoyage, image), le ratio est sans débat. La sécurité parfaite n'existe pas ; l'objectif réaliste est d'être nettement plus coûteux à attaquer que le site d'à côté, et les huit corrections de cet article y suffisent largement.