60% des PME piratées ferment dans les 6 mois
Ce chiffre fait réfléchir. Et pourtant, la majorité des dirigeants de PME pensent que "ça n'arrive qu'aux autres" ou que leur site est "trop petit pour intéresser un pirate".
La réalité est bien différente : les cyberattaques sont largement automatisées. Les pirates ne ciblent pas manuellement votre site — leurs robots scannent des millions de sites à la recherche de failles connues. Si votre site en a une, il sera trouvé. Ce n'est qu'une question de temps.
Voici les 10 signes qui indiquent que votre site est probablement vulnérable.
1. Votre site n'est pas en HTTPS (ou le certificat est expiré)
C'est le signe le plus visible. Si votre URL commence par http:// au lieu de https://, les données de vos visiteurs circulent en clair. Un certificat expiré est encore pire : il affiche un écran d'avertissement qui fait fuir 100% des visiteurs.
Que faire : activez un certificat SSL gratuit via Let's Encrypt. Si votre certificat est expiré, suivez notre guide pour le renouveler en 5 minutes.
2. Vous utilisez WordPress avec des plugins non mis à jour
WordPress représente plus de 40% des sites web. C'est aussi la cible n°1 des attaques automatisées. Un plugin obsolète = une porte d'entrée connue que les robots exploitent en quelques secondes.
Que faire : mettez à jour WordPress, vos thèmes et vos plugins chaque semaine. Supprimez les plugins inutilisés. Activez les mises à jour automatiques quand c'est possible.
3. Votre page de connexion admin est sur /wp-admin ou /admin
Les robots testent ces URLs par défaut. Si votre interface d'administration est accessible sur une URL standard, elle subit probablement des centaines de tentatives de connexion par jour.
Que faire : changez l'URL d'administration, limitez le nombre de tentatives de connexion, et activez l'authentification à deux facteurs (2FA).
4. Vous n'avez pas de headers de sécurité HTTP
Les headers HTTP sont des instructions envoyées par votre serveur au navigateur. Sans eux, votre site est vulnérable aux attaques XSS (injection de scripts), au clickjacking (piège par iframe), et au vol de données.
Les headers essentiels :
- Content-Security-Policy : empêche l'injection de scripts malveillants
- X-Frame-Options : empêche l'affichage de votre site dans une iframe piège
- Strict-Transport-Security : force HTTPS
- X-Content-Type-Options : empêche les navigateurs de deviner le type de fichier
Que faire : ajoutez ces headers dans la configuration de votre serveur (Apache, Nginx) ou via un plugin si vous êtes sur WordPress.
5. Vos cookies n'ont pas les flags de sécurité
Si vos cookies de session n'ont pas les attributs Secure, HttpOnly et SameSite, ils peuvent être volés par un script malveillant ou transmis en clair sur le réseau.
Que faire : configurez vos cookies avec les trois flags. La plupart des frameworks modernes le font par défaut — mais vérifiez.
6. Votre version de PHP (ou Node.js) est obsolète
Chaque version de langage a une durée de support officielle. PHP 7.4, par exemple, n'est plus supporté depuis novembre 2022. Les failles de sécurité découvertes après cette date ne sont pas corrigées.
Que faire : vérifiez votre version de PHP/Node.js et mettez à jour vers une version supportée. Votre hébergeur peut souvent le faire en un clic.
7. Vous n'avez jamais fait d'audit de sécurité
Si personne n'a jamais vérifié la sécurité de votre site, il y a de fortes chances qu'il contienne des failles. C'est comme ne jamais faire de contrôle technique sur une voiture : elle roule, mais est-elle sûre ?
Que faire : lancez un audit gratuit sur MonAuditCyber.fr. En 30 secondes, notre scanner analyse plus de 50 points de contrôle et vous donne un score de sécurité.
8. Votre DNS n'est pas protégé (pas de DMARC, SPF, DKIM)
Sans ces protections, n'importe qui peut envoyer des emails en se faisant passer pour votre entreprise. Vos clients peuvent recevoir des factures frauduleuses avec votre nom.
Que faire : configurez SPF, DKIM et DMARC sur votre domaine. C'est gratuit et ça prend 10 minutes.
9. Votre site affiche des informations techniques dans les erreurs
Une page d'erreur qui affiche la version de PHP, le chemin du fichier sur le serveur, ou une trace de pile complète est une mine d'or pour un attaquant. Ces informations l'aident à trouver la bonne faille à exploiter.
Que faire : configurez des pages d'erreur personnalisées qui n'affichent aucune information technique. En production, désactivez le mode debug (display_errors = Off en PHP, NODE_ENV=production en Node.js).
10. Vous n'avez pas de sauvegardes récentes
Ce n'est pas une vulnérabilité à proprement parler, mais c'est ce qui transforme un incident mineur en catastrophe. Si votre site est compromis et que vous n'avez pas de sauvegarde récente, vous repartez de zéro.
Que faire : mettez en place des sauvegardes automatiques quotidiennes (base de données + fichiers). Testez la restauration au moins une fois par trimestre. Stockez les sauvegardes sur un serveur différent.
Le vrai problème : vous ne savez pas ce que vous ne savez pas
La plupart de ces failles sont invisibles. Votre site fonctionne parfaitement en apparence, vos clients peuvent naviguer et commander — mais en coulisses, la porte est grande ouverte.
C'est exactement pour ça que les audits de sécurité existent. Pas pour vous faire peur, mais pour vous donner une vision claire et actionnable de l'état réel de votre site.
Passez à l'action maintenant
MonAuditCyber.fr analyse votre site en 30 secondes et vérifie chacun de ces 10 points (et bien plus). Le diagnostic de base est gratuit. Le rapport complet vous donne un plan d'action priorisé avec les coûts estimés par correction.
Ne faites pas partie des 60% qui découvrent leurs failles trop tard.