« Personne n’attaquera mon site, je ne suis pas une multinationale »
C’est la phrase que nous entendons le plus souvent chez les dirigeants de TPE et PME. Et c’est précisément l’erreur qui leur coûte le plus cher. Selon le rapport ANSSI 2025, plus de 60 % des cyberattaques visent désormais des entreprises de moins de 50 salariés. La raison est simple : les grands groupes investissent massivement en cybersécurité, les petites structures restent largement sous-protégées. Pour un attaquant, le calcul est vite fait.
Et contrairement à une idée reçue, l’objectif n’est pas toujours le rançonnage spectaculaire à plusieurs centaines de milliers d’euros. Les attaques les plus courantes sont silencieuses, opportunistes, automatisées. Elles défigurent votre site, volent vos données clients, ou utilisent votre serveur pour héberger des contenus illicites. À votre insu.
Voici les 5 menaces principales qui pèsent sur votre site web en 2026, et les parades à mettre en place sans tarder.
Menace n°1 : les attaques par force brute sur la connexion admin
Des bots scannent en permanence Internet à la recherche de pages de connexion (le fameux /wp-admin ou /admin). Une fois localisée, ils tentent des milliers de combinaisons de mots de passe par seconde. Si votre administrateur s’appelle « admin » et que son mot de passe est « Bienvenue2026 », l’intrusion prend quelques minutes.
Comment se protéger ?
- Changer l’identifiant administrateur par défaut (jamais « admin », « administrator » ou le nom de l’entreprise).
- Imposer des mots de passe robustes : 16 caractères minimum, mélange de majuscules, minuscules, chiffres et symboles. Un gestionnaire de mots de passe (Bitwarden, 1Password) est indispensable.
- Activer la double authentification (2FA) sur tous les comptes admin. C’est gratuit et c’est la mesure qui bloque 99 % des tentatives automatisées.
- Limiter le nombre de tentatives de connexion avec un plugin (sur WordPress : Limit Login Attempts Reloaded, Wordfence).
- Renommer la page de connexion pour la rendre invisible aux bots (par exemple
/admin-secret-2026).
Menace n°2 : les failles non corrigées (plugins, thèmes, CMS obsolètes)
WordPress, PrestaShop, Joomla, Drupal : tous les CMS publient régulièrement des correctifs de sécurité. Plus de 90 % des piratages de sites WordPress exploitent des vulnérabilités déjà corrigées dans une mise à jour. Autrement dit : le correctif existe, mais l’administrateur n’a pas pris le temps de l’appliquer.
Le risque est exponentiel sur les sites e-commerce, où chaque module supplémentaire (livraison, paiement, fidélité, marketing) est une porte d’entrée potentielle.
Comment se protéger ?
- Mettre en place un contrat de maintenance avec une agence ou un freelance. C’est l’investissement à plus fort ROI sécurité qui existe.
- Activer les mises à jour automatiques sur les versions mineures. Pour les versions majeures, prévoir une vérification manuelle.
- Faire un audit annuel des plugins et modules : désinstaller ceux qui ne sont plus utilisés, remplacer ceux qui ne sont plus maintenus.
- Surveiller les avis de sécurité via Wordfence, Sucuri ou des newsletters spécialisées.
Menace n°3 : les injections SQL et failles XSS
Si votre site comporte des formulaires (contact, devis, recherche, e-commerce), il est exposé à deux types d’attaques classiques : l’injection SQL (l’attaquant insère du code dans un champ pour manipuler votre base de données) et le Cross-Site Scripting (XSS, qui injecte du JavaScript malveillant exécuté chez vos visiteurs).
Les conséquences vont du vol massif de données clients à la prise de contrôle du site, en passant par la défiguration publique.
Comment se protéger ?
- Utiliser un CMS à jour et des thèmes/plugins de confiance : les CMS récents protègent par défaut contre la majorité de ces attaques.
- Installer un Web Application Firewall (WAF) : Cloudflare, Sucuri ou Wordfence détectent et bloquent les tentatives d’injection avant même qu’elles atteignent votre serveur.
- Valider et nettoyer toutes les données saisies par les utilisateurs côté serveur. C’est un travail de développeur indispensable sur les sites sur mesure.
- Mettre en place une politique CSP (Content Security Policy) qui limite les sources autorisées de scripts.
Menace n°4 : le phishing ciblé et le vol d’identifiants
Le maillon faible de toute infrastructure reste l’humain. Un email crédible imitant votre hébergeur, votre banque ou un de vos clients, avec un lien qui pointe vers un faux formulaire de connexion : votre comptable saisit ses identifiants, et l’attaquant accède à votre site, votre messagerie, vos comptes en ligne.
L’IA générative a démultiplié la qualité de ces emails : fini les fautes d’orthographe et les formulations bancales, les phishings de 2026 sont parfaitement rédigés et personnalisés.
Comment se protéger ?
- Sensibiliser et former les équipes régulièrement. Les sessions de phishing simulé (par exemple via le module GoPhish) sont très efficaces.
- Activer le SPF, DKIM et DMARC sur votre nom de domaine pour authentifier vos propres emails et compliquer la tâche des usurpateurs.
- Mettre en place le 2FA partout : même si un mot de passe fuite, l’attaquant ne peut pas se connecter.
- Vérifier systématiquement l’URL avant de cliquer et ne jamais saisir d’identifiants depuis un lien d’email.
Menace n°5 : les attaques par déni de service (DDoS)
Une attaque DDoS consiste à submerger votre serveur de requêtes pour le rendre inaccessible. Les motivations sont variées : sabotage par un concurrent, chantage, ou simple démonstration de force par un attaquant. Pour un site e-commerce en pleine campagne commerciale, l’impact peut atteindre plusieurs milliers d’euros par heure d’indisponibilité.
Le coût d’une attaque DDoS « basique » a chuté à quelques dizaines d’euros sur le dark web. Personne n’est trop petit pour être visé.
Comment se protéger ?
- Activer une protection anti-DDoS : Cloudflare propose une protection efficace dès la version gratuite. Pour les sites critiques, OVH, Akamai ou AWS Shield offrent des protections avancées.
- Choisir un hébergement adapté : un mutualisé bas de gamme tombe au moindre pic de trafic. Le passage en VPS ou cloud avec auto-scaling change la donne.
- Mettre en place une page de maintenance gracieuse qui s’affiche en cas de surcharge, plutôt qu’une erreur 503 brute.
Et si le pire arrive : le plan de reprise d’activité
Aucune protection n’est infaillible. C’est la raison pour laquelle la sauvegarde est votre dernière ligne de défense — et la plus critique. En cas d’incident majeur (ransomware, defacement, compromission complète), c’est elle qui permet de redémarrer.
Quelques règles d’or sur les sauvegardes :
- La règle 3-2-1 : 3 copies de vos données, sur 2 supports différents, dont 1 hors site (cloud externe ou stockage déconnecté).
- Sauvegarde quotidienne minimum pour un site actif. Plusieurs fois par jour pour un e-commerce.
- Tester la restauration régulièrement. Une sauvegarde non testée est une fausse sécurité.
- Conserver l’historique au moins 30 jours. Certaines compromissions passent inaperçues plusieurs semaines avant d’être détectées.
Le mot de la fin : la sécurité est un processus, pas un produit
Un site sécurisé n’est pas un site qui a installé un plugin de sécurité. C’est un site qui :
- Est maintenu à jour en permanence
- Bénéficie d’une surveillance active (logs, alertes, scans réguliers)
- Dispose d’un plan de réponse à incident clair
- Et dont les équipes sont sensibilisées aux risques courants
L’investissement reste très raisonnable au regard de l’enjeu : pour une PME, on parle généralement d’un budget annuel équivalent au coût d’une demi-journée de prestation par mois. À comparer avec les 70 000 € moyens que coûte une attaque par ransomware réussie sur une PME française (source : Cybermalveillance.gouv.fr).
Faisons le point sur la sécurité de votre site
A3 Web propose des audits de sécurité complets pour WordPress, PrestaShop et sites sur mesure. Détection des vulnérabilités, mise à niveau, mise en place de solutions de surveillance, formation des équipes : nous construisons votre stratégie de défense sur mesure. Demandez votre audit.