Comment sécuriser le site internet d'une petite entreprise
Si vous dirigez une entreprise de plomberie, un cabinet dentaire ou un studio de yoga, « sécurité du site internet » semble probablement être le travail de quelqu'un d'autre. Ce n'est pas le cas. Savoir comment sécuriser le site internet d'une petite entreprise est l'une des heures les plus rentables que vous puissiez passer, car un site cassé ou piraté vous coûte silencieusement des demandes de devis chaque jour où il est hors ligne. La bonne nouvelle : vous n'avez pas besoin d'être technique, et vous n'avez pas besoin de tout faire à la fois. Vous devez faire les bonnes choses dans le bon ordre.
Ce guide passe l'avis vague et vous donne un plan en langage clair. Environ la moitié s'applique peu importe qui construit ou héberge votre site.
Pourquoi quelqu'un s'embêterait à pirater le site d'un artisan local
Un mythe courant empêche les artisans d'agir : « Nous sommes trop petits pour être une cible. » C'est exactement pourquoi les petits sites se font attaquer. La plupart des attaques ne sont pas une personne qui vous choisit délibérément. Ce sont des robots automatisés qui analysent des millions de sites à la recherche d'une faille connue, puis s'introduisent là où ils en trouvent une.
Voici ce que les attaquants veulent vraiment d'un site d'artisan local :
- Injecter des pages de spam cachées pour que les moteurs de recherche classent leurs déchets en utilisant la réputation de votre domaine
- Rediriger discrètement vos visiteurs vers des pages d'arnaque ou de logiciels malveillants
- Utiliser votre serveur pour envoyer des spams ou attaquer d'autres sites
- Voler toutes les données clients que vos formulaires collectent - noms, e-mails et numéros de téléphone
- Bloquer votre site et demander de l'argent pour le rendre
Deux de ces conséquences font mal même si vous ne remarquez jamais l'intrusion. Quand Google détecte des logiciels malveillants ou du spam sur votre site, il peut afficher un écran d'avertissement rouge devant les visiteurs et vous retirer des résultats. Sortir de cette liste noire peut prendre des jours que vous ne pouvez pas vous permettre de perdre en haute saison.
Le vrai risque pour un artisan local n'est donc généralement pas spectaculaire. C'est des dommages silencieux : des classements perdus, un avertissement effrayant dans le navigateur et des appels qui s'arrêtent.
Comment sécuriser le site internet d'une petite entreprise dans le bon ordre
Les guides de sécurité adorent vous donner une liste de dix éléments sans hiérarchie. Cela paralyse les artisans occupés. Voici l'ordre à suivre, en commençant par les modifications qui bloquent le plus d'attaques courantes pour le moins d'effort.
1. Sécurisez d'abord chaque connexion
La plupart des intrusions sur les petits sites ne sont pas sophistiquées. Quelqu'un devine ou réutilise un mot de passe faible. Corrigez cela avant tout.
- Utilisez une longue phrase de passe, pas un court mot de passe. Trois ou quatre mots aléatoires sans rapport, mis bout à bout, au moins seize caractères, est à la fois plus fort et plus facile à taper qu'un mélange court de symboles.
- Activez l'authentification à deux facteurs pour l'administration de votre site, votre hébergement, votre bureau d'enregistrement de domaine et l'e-mail lié à tous. L'authentification à deux facteurs signifie un code d'une application sur votre téléphone en plus du mot de passe. Si un attaquant vole votre mot de passe, il ne peut toujours pas entrer.
- Donnez à chaque membre du personnel son propre identifiant. Ne partagez jamais un compte administrateur. Quand quelqu'un part, vous pouvez supprimer uniquement son accès sans changer le mot de tout le monde.
- N'accordez que l'accès dont chaque personne a besoin. Votre assistant à temps partiel n'a pas besoin de droits d'administrateur complets.
Si vous ne faites qu'une seule chose cette semaine, activez l'authentification à deux facteurs sur le compte e-mail qui peut réinitialiser tous vos autres mots de passe. Cette boîte de réception est la clé maîtresse de tout le reste.
2. Assurez-vous que tout le site se charge en HTTPS
HTTPS, c'est le cadenas dans la barre du navigateur. Il chiffre les données entre votre visiteur et votre site pour que personne sur le même réseau Wi-Fi public ne puisse les lire. Il est fourni par un certificat SSL.
Deux choses que la plupart des guides omettent :
- Presque tous les hébergeurs réputés incluent désormais un certificat gratuit, vous avez donc rarement besoin d'en acheter un. Vérifiez dans le tableau de bord de votre hébergeur « SSL » ou « TLS » et activez-le.
- L'activer ne suffit pas. Vous voulez que tout le site soit forcé vers HTTPS, de sorte que quiconque tape l'adresse simple soit redirigé vers la version sécurisée. Visitez votre propre site et confirmez que le cadenas s'affiche sur chaque page, y compris vos pages de contact et de réservation. Un site sans cela est désormais signalé comme « Non sécurisé » dans Chrome, ce qui effraie les clients avant même qu'ils aient lu un mot.
3. Gardez les logiciels de votre site à jour
Si votre site fonctionne sur une plateforme comme WordPress avec des plugins et des thèmes, les logiciels obsolètes sont la principale porte d'entrée des attaquants. Les failles connues sont publiées, et les robots se mettent à chercher les sites qui ne les ont pas corrigées.
- Activez les mises à jour automatiques pour la plateforme principale et pour les plugins là où votre hébergeur le permet.
- Supprimez les plugins et thèmes que vous n'utilisez pas. Chacun que vous gardez est un autre verrou qui peut céder, même quand il est désactivé.
- Soyez sélectif dans ce que vous installez. Préférez les plugins populaires et récemment mis à jour aux plugins abandonnés avec peu d'utilisateurs.
C'est l'étape qui bénéficie le plus d'un arrangement clé en main. Si suivre les mises à jour ressemble à une corvée que vous oublierez, c'est un signe fort que vous voulez une plateforme ou un prestataire qui s'en charge pour vous.
4. Sauvegardez votre site dans un endroit séparé
Les sauvegardes ne préviennent pas une attaque. Elles transforment une catastrophe en inconvénient. Si votre site est défiguré ou bloqué, une sauvegarde récente propre vous permet de revenir à la version d'hier plutôt que de tout reconstruire de zéro.
- Visez au moins des sauvegardes automatiques hebdomadaires, et quotidiennes si vous publiez souvent ou prenez des réservations.
- Stockez une copie ailleurs que sur le serveur qui héberge votre site. Une sauvegarde sur la même machine qui a été piratée n'est pas d'une grande utilité.
- Testez une restauration une fois. Une sauvegarde que vous n'avez jamais restaurée est une supposition, pas un filet de sécurité.
5. Protégez votre nom de domaine, pas seulement votre site
C'est la couche que presque tous les guides pour petites entreprises ignorent, et elle cause certains des pires résultats. Votre nom de domaine est l'adresse que les clients tapent et l'ancre de votre référencement. Perdre son contrôle et un site propre et sécurisé ne vous sert à rien.
- Activez l'authentification à deux facteurs chez votre bureau d'enregistrement, la société auprès de laquelle vous avez acheté le nom.
- Activez le « verrouillage de domaine » ou « verrouillage de transfert » chez le bureau d'enregistrement pour que personne ne puisse déplacer votre domaine vers un autre compte sans votre accord.
- Configurez le renouvellement automatique du domaine et gardez une carte valide enregistrée. Laisser un domaine expirer par accident est une façon étonnamment courante pour les entreprises de perdre leur site et leur messagerie du jour au lendemain, et les opportunistes récupèrent rapidement les noms expirés.
- Gardez l'e-mail de contact sur le domaine à jour, et assurez-vous que ce n'est pas une adresse qui vit sur le même site ou système qui pourrait tomber.
6. Réduisez le spam et les abus via les formulaires
Si vous avez un formulaire de contact ou de demande de devis, les robots vont le trouver et le saturer. Au-delà de la nuisance, une partie de ce trafic sonde les failles.
- Ajoutez un filtre anti-spam ou un défi discret à vos formulaires. Les options modernes fonctionnent en arrière-plan et font rarement résoudre des puzzles aux vrais clients.
- Limitez le nombre de tentatives de connexion avant qu'elles soient ralenties ou bloquées. Cela bloque les devinettes automatiques de mots de passe décrites à l'étape 1.
- Modérez tout commentaire ou avis pour que les liens de spam injectés ne soient jamais publiés sur vos pages.
7. Laissez votre hébergement et votre plateforme porter la charge
Vous n'avez pas à construire chaque défense à la main. Un hébergeur compétent ou un service de pare-feu peut se placer devant votre site et bloquer une grande partie des attaques avant qu'elles ne vous atteignent.
- Choisissez un hébergeur qui parle ouvertement de sécurité : sauvegardes automatiques, pare-feu d'application web, analyse des logiciels malveillants et corrections rapides.
- Un pare-feu d'application web inspecte les requêtes entrantes et écarte les plus manifestement malveillantes. De nombreux hébergeurs et réseaux de diffusion de contenu en incluent un.
- Posez une question directe avant de souscrire : si mon site est piraté, que faites-vous pour m'aider à récupérer ? Un hébergeur qui assume cette réponse vaut plus qu'un moins cher qui hausse les épaules.
Que faire si votre site est déjà piraté
La plupart des guides font comme si cela n'arrivait jamais. Cela arrive, et paniquer aggrave les choses. Procédez dans cet ordre.
- Changez immédiatement vos mots de passe d'administration, d'hébergement et d'e-mail, et activez l'authentification à deux facteurs si elle était désactivée.
- Mettez le site hors ligne ou en mode maintenance pour que les visiteurs ne soient pas exposés aux logiciels malveillants pendant le nettoyage.
- Restaurez depuis une sauvegarde propre réalisée avant l'intrusion, si vous en avez une.
- Analysez les logiciels malveillants et supprimez tous les fichiers ou comptes que vous ne reconnaissez pas.
- Si Google a signalé le site, demandez un examen via Google Search Console une fois qu'il est propre, pour que l'avertissement disparaisse et que votre classement se rétablisse.
- Ensuite, trouvez comment ils sont entrés - généralement un plugin obsolète ou un mot de passe volé - et fermez cette porte pour que cela ne se reproduise pas la semaine suivante.
Si l'un de ces points vous dépasse, c'est le moment d'appeler votre hébergeur ou un professionnel. Payer pour une récupération propre est bien moins cher que le saignement lent d'un site qui reste compromis.
Une routine de sécurité simple que vous tiendrez vraiment
La sécurité n'est pas un projet ponctuel. C'est une légère habitude. Voici un rythme réaliste pour un artisan sans temps libre.
Chaque mois :
- Confirmez que le cadenas s'affiche toujours sur vos pages principales
- Vérifiez que les sauvegardes ont tourné et que les mises à jour ont été appliquées
- Parcourez votre liste d'utilisateurs et supprimez ceux qui sont partis
Une fois par an :
- Réinitialisez vos mots de passe importants et confirmez que l'authentification à deux facteurs est toujours active partout
- Confirmez que votre domaine est verrouillé et configuré pour le renouvellement automatique
- Demandez à votre hébergeur ce qui a changé dans sa sécurité au cours de la dernière année
Imprimez cela, collez-le sur le mur, et vous êtes en avance sur la plupart des petites entreprises en ligne.
La place d'une plateforme gérée
Toutes les étapes ci-dessus peuvent être faites manuellement, et pour beaucoup d'artisans, le vrai problème n'est pas de savoir quoi faire mais de ne jamais trouver le temps de le faire régulièrement. C'est là où laisser une plateforme gérer la plomberie aide. Saynovo crée un site internet pour une entreprise locale à partir de sa fiche d'établissement Google et le fait tourner sur une infrastructure où le certificat, les mises à jour, les sauvegardes et le pare-feu sont gérés pour vous, sans plugin à corriger ni date de renouvellement à ne pas rater. Vous décrivez les modifications en langage courant et le site se met à jour, tandis que la sécurité reste hors de vos mains et de votre liste de tâches. Ce n'est pas adapté à une entreprise qui veut posséder et héberger elle-même le code, mais pour un artisan qui préfère servir ses clients plutôt que surveiller un serveur, cela supprime exactement les tâches que les gens oublient.
En résumé
Vous savez maintenant comment sécuriser le site internet d'une petite entreprise sans formation technique : sécurisez les connexions avec des phrases de passe solides et l'authentification à deux facteurs, forcez HTTPS partout, maintenez les logiciels à jour, sauvegardez hors site, protégez le domaine lui-même, maîtrisez le spam des formulaires et appuyez-vous sur un hébergeur qui fait un vrai travail de sécurité. Faites les deux premières choses cette semaine et vous avez déjà fermé les portes que la plupart des attaquants empruntent. Que vous le gériez vous-même ou que vous le confiiez à un service managé, l'objectif est le même : un site qui reste en ligne, conserve son référencement et n'accueille jamais un client avec un écran d'avertissement.
Sources à consulter ensuite :
- Business.org: How to Secure a Website
- Wix: How to secure a website
- GoDaddy: Small business website security best practices
- LegalZoom: The Complete Guide to Creating a Secure Business Website
