SécuritéWebPME
21 octobre 20257 min

Sécurité de son site web en 2026 : checklist pour les PME suisses

Site web hacké = catastrophe business. Voici la checklist sérieuse pour protéger une PME suisse en 2026.

Le nombre de cyberattaques sur PME suisses augmente chaque année. Site défiguré, données clients volées, ransomware, perte de positionnement Google : les conséquences peuvent être dramatiques. Heureusement, 90% des incidents peuvent être évités avec une checklist sérieuse.

Cet article présente les mesures concrètes pour protéger un site web PME en 2026.

[01]

Les menaces actuelles

Ce qu'on voit en 2026

Top des attaques PME

  • -Brute force admin : tentatives de connexion massives sur /wp-admin et autres
  • -Plugins/thèmes vulnérables : exploitation de failles non patchées (WordPress surtout)
  • -SQL injection / XSS : injections sur formulaires mal protégés
  • -Phishing / vol credentials : emails frauduleux pour obtenir accès
  • -DDoS : surcharge intentionnelle pour faire tomber le site
  • -Ransomware : chiffrement des données avec demande de rançon
  • -Site defacement : remplacement du contenu (souvent politique)
[02]

Checklist technique de base

Le minimum vital

À appliquer obligatoirement

  • HTTPS obligatoire avec certificat Let's Encrypt ou équivalent
  • Headers de sécurité : Content-Security-Policy, X-Frame-Options, Strict-Transport-Security
  • Mises à jour rapides : CMS, plugins, framework, OS - patches dans la semaine
  • Mots de passe forts : 2FA pour admin, password manager
  • Backups quotidiens chiffrés : restaurables en quelques minutes
  • WAF (Web Application Firewall) : Cloudflare gratuit, bloque attaques courantes
  • Rate limiting : sur formulaires, login, API
  • Monitoring : alertes en cas d'activité suspecte ou downtime
[03]

Checklist organisationnelle

L'humain est souvent le maillon faible

Mesures organisationnelles

  • Accès admin strictement limités : principe du moindre privilège
  • Rotation des mots de passe au départ d'un collaborateur
  • Formation cybersécurité de l'équipe (phishing, hygiène mots de passe)
  • Plan de réponse aux incidents documenté
  • Audits sécurité annuels par un tiers
  • Cyberassurance si activité sensible
[04]

Conformité LPD et sécurité

Obligations spécifiques

La LPD impose des mesures techniques et organisationnelles 'adéquates' pour protéger les données personnelles. Le standard suisse rejoint largement les obligations RGPD.

Obligations LPD sécurité

  • Notification fuite : 72h au PFPDT si risque élevé
  • Registre des traitements tenu à jour
  • DPA avec sous-traitants qui traitent vos données
  • Procédure de suppression et droit à l'oubli
  • Chiffrement des données sensibles
  • Audit trail sur accès aux données
FAQ

Questions frequentes

Pour audit + corrections de base : 5'000-15'000 CHF. Pour sécurisation avancée avec monitoring continu : 1'000-3'000 CHF/mois en services. Très faible comparé aux risques.

Statistiquement oui. Pas WordPress en lui-même, mais l'écosystème plugins introduit des vulnérabilités. WordPress bien maintenu (plugins limités, updates rapides) est très sécurisé.

1. Couper le site immédiatement, 2. Analyser ce qui s'est passé, 3. Notifier PFPDT si fuite de données personnelles (72h), 4. Restaurer depuis backup propre, 5. Patcher la faille, 6. Renforcer la sécurité.

Oui. Le plan gratuit Cloudflare bloque la majorité des attaques courantes (DDoS basique, IPs blacklistées, bots). Pour PME, c'est un must-have gratuit.

Pour PME avec données sensibles ou e-commerce, oui. Coûte 1'000-5'000 CHF/an typiquement. Couvre coûts incident, perte revenus, frais juridiques.

Conclusion

La sécurité web n'est plus optionnelle pour une PME suisse. Une attaque peut coûter la confiance des clients, des dizaines de milliers de CHF, et même l'arrêt d'activité. La checklist de cet article protège contre 90% des menaces. Notre conviction : investir dans la sécurité dès le départ est moins cher que de la rattraper après incident.

Vocabulaire du dictionnaire

Quelques termes liés à cet article, expliqués en clair dans notre dictionnaire digital pour PME suisses.

Vous voulez auditer la sécurité de votre site ?

Décrivez votre situation via le formulaire : type de site, plateforme, sensibilité des données. Notre équipe analyse votre contexte et vous recontacte avec un plan et une fourchette budgétaire, gratuitement, sans engagement.