Comment securiser son site web : guide non-technique
Checklist Pour : dirigeantComment securiser son site web sans etre technicien : HTTPS, mots de passe, mises a jour, sauvegardes et reaction en cas de piratage. Guide pratique.
Ce que vous trouverez dans ce guide
Ce guide est concu pour les dirigeant qui souhaitent faire les bons choix technologiques. Il couvre les criteres de selection, les pieges a eviter, les questions a poser aux prestataires et une checklist actionnable.
Que vous soyez en phase de reflexion ou pret a lancer un appel d'offres, ce guide vous donne les cles pour prendre des decisions eclairees et eviter les erreurs courantes.
Pour qui ce guide est-il fait ?
Dirigeants & Entrepreneurs
Vous avez un projet digital mais ne savez pas par ou commencer ni combien budgeter.
Responsables Marketing
Vous devez choisir entre plusieurs prestataires ou solutions et avez besoin de criteres objectifs.
DSI & CTO
Vous evaluez des solutions techniques et cherchez une grille d'analyse structuree.
Startups & Porteurs de projets
Vous lancez un produit digital et voulez optimiser votre budget et vos choix technologiques.
Comment utiliser ce guide
Lisez le contenu
Parcourez les sections pour comprendre les enjeux et les criteres cles.
Utilisez la checklist
Cochez les elements au fur et a mesure de votre avancement.
Posez les bonnes questions
Utilisez la liste de questions lors de vos echanges avec les prestataires.
Comment securiser son site web : guide pour non-techniciens
En France, 34% des PME ont subi une cyberattaque en 2024. Un site pirate coute en moyenne 25 000€ a reparer (perte de CA, nettoyage, reputation). La bonne nouvelle : 90% des attaques sont evitables avec des mesures simples.
Les bases (gratuit, 30 minutes)
- HTTPS obligatoire : Let's Encrypt fournit des certificats SSL gratuits. Votre hebergeur le fait souvent automatiquement.
- Mots de passe forts : 16+ caracteres, uniques, stockes dans un gestionnaire (Bitwarden gratuit, 1Password 3€/mois).
- Double authentification (2FA) : activez-la sur votre CMS, votre hebergement et votre email.
- Mises a jour : CMS, plugins et themes a jour = 80% des failles corrigees.
Les protections avancees
- WAF (Web Application Firewall) : Cloudflare gratuit bloque 90% des attaques courantes.
- Sauvegardes 3-2-1 : 3 copies, 2 supports differents, 1 hors-site. Testez la restauration.
- Supprimez l'inutile : desactivez et supprimez les plugins/themes non utilises.
- Limitez les acces admin : chaque utilisateur a le minimum de droits necessaires.
- Changez l'URL d'admin : /wp-admin est la premiere URL testee par les bots.
OWASP Top 10 en version simple
- Injection : ne jamais faire confiance aux donnees utilisateur (formulaires, URL)
- Authentification cassee : mots de passe faibles, pas de 2FA
- Donnees exposees : pas de HTTPS, fichiers sensibles accessibles
- Composants vulnerables : plugins/librairies non mis a jour
Que faire si vous etes pirate
- Isolez : mettez le site en maintenance immediatement
- Analysez : identifiez la faille (logs, scanner malware)
- Restaurez : restaurez depuis une sauvegarde saine
- Corrigez : patchez la faille, changez tous les mots de passe
- Declarez : si des donnees personnelles sont compromises, declaration CNIL sous 72h (RGPD)
Comparaison
| Mesure | Priorite | Cout | Impact |
|---|---|---|---|
| Certificat SSL (HTTPS) | Critique | Gratuit (Let's Encrypt) | Chiffrement des echanges |
| Mises a jour regulieres | Critique | Temps d'admin | Correction des failles |
| Sauvegardes automatiques | Critique | 5 - 30 EUR/mois | Restauration rapide |
| WAF (pare-feu) | Important | 0 - 20 EUR/mois | Blocage des attaques |
| Audit de securite | Recommande | 500 - 5 000 EUR | Identification des failles |
Signaux d'alerte
• Mot de passe admin "admin123" ou "password"
• CMS ou plugins non mis a jour depuis plus de 3 mois
• Aucune sauvegarde configuree
• Pas de 2FA sur les comptes administrateurs
Questions a poser
• Quand avez-vous mis a jour votre CMS et vos plugins pour la derniere fois ?
• Avez-vous un systeme de sauvegarde automatique ?
• La double authentification est-elle activee ?
• Avez-vous un plan de reaction en cas de piratage ?
Checklist
- Activer HTTPS avec un certificat SSL
- Utiliser des mots de passe forts avec un gestionnaire
- Activer la double authentification (2FA)
- Mettre a jour CMS, plugins et themes
- Configurer un WAF (Cloudflare gratuit)
- Mettre en place des sauvegardes automatiques 3-2-1
- Supprimer les plugins et themes inutilises
- Limiter les acces administrateurs
- Configurer un monitoring de securite
- Preparer un plan de reaction en cas de piratage
Estimation budgetaire
Le budget pour ce type de projet depend de nombreux facteurs : complexite, nombre de fonctionnalites, niveau de design, integrations tierces et maintenance. Consultez nos grilles tarifaires detaillees pour obtenir des estimations precises.
Pret a lancer votre projet ?
Besoin d'un avis personnalise ? Decrivez votre projet pour des recommandations gratuites.
Recevoir un avis