Le nombre de cyberattaques sur PME suisses augmente chaque année. Site defigure, données clients volees, ransomware, perte de positionnement Google : les conséquences peuvent être dramatiques. Heureusement, 90% des incidents peuvent être évités avec une checklist sérieuse.
Cet article présenté les mesures concretes pour protéger un site web PME en 2026.
Les menaces actuelles
Ce qu'on voit en 2026
Top des attaques PME
- -Brute force admin : tentatives de connexion massives sur /wp-admin et autres
- -Plugins/themes vulnerables : exploitation de failles non patchees (WordPress surtout)
- -SQL injection / XSS : injections sur formulaires mal protégés
- -Phishing / vol credentials : emails frauduleux pour obtenir accès
- -DDoS : surcharge intentionnelle pour faire tomber le site
- -Ransomware : chiffrement des données avec demande de rancon
- -Site defacement : remplacement du contenu (souvent politique)
Checklist technique de base
Le minimum vital
A appliquer obligatoirement
- HTTPS obligatoire avec certificat Let's Encrypt ou equivalent
- Headers de sécurité : Content-Security-Policy, X-Frame-Options, Strict-Transport-Security
- Mises a jour rapides : CMS, plugins, framework, OS - patches dans la semaine
- Mots de passe forts : 2FA pour admin, password manager
- Backups quotidiens chiffres : restaurables en quelques minutes
- WAF (Web Application Firewall) : Cloudflare gratuit, bloque attaques courantes
- Rate limiting : sur formulaires, login, API
- Monitoring : alertes en cas d'activite suspecte ou downtime
Checklist organisationnelle
L'humain est souvent le maillon faible
Mesures organisationnelles
- Accès admin strictement limites : principe du moindre privilege
- Rotation des mots de passe au départ d'un collaborateur
- Formation cybersecurite de l'équipe (phishing, hygiene mots de passe)
- Plan de réponse aux incidents documente
- Audits sécurité annuels par un tiers
- Cyberassurance si activite sensible
Conformité LPD et sécurité
Obligations spécifiques
La LPD impose des mesures techniques et organisationnelles 'adéquates' pour protéger les données personnelles. Le standard suisse rejoint largement les obligations RGPD.
Obligations LPD sécurité
- Notification fuite : 72h au PFPDT si risque élevé
- Registre des traitements tenu a jour
- DPA avec sous-traitants qui traitent vos données
- Procedure de suppression et droit à l'oubli
- Chiffrement des données sensibles
- Audit trail sur accès aux données
Questions frequentes
Pour audit + corrections de base : 5'000-15'000 CHF. Pour sécurisation avancée avec monitoring continu : 1'000-3'000 CHF/mois en services. Très faible compare aux risques.
Statistiquement oui. Pas WordPress en lui-même, mais l'ecosysteme plugins introduit des vulnerabilites. WordPress bien maintenu (plugins limites, updates rapides) est très sécurisé.
1. Couper le site immédiatement, 2. Analyser ce qui s'est passe, 3. Notifier PFPDT si fuite de données personnelles (72h), 4. Restaurer depuis backup propre, 5. Patcher la faille, 6. Renforcer la sécurité.
Oui. Le plan gratuit Cloudflare bloque la majorite des attaques courantes (DDoS basique, IPs blacklistees, bots). Pour PME, c'est un must-have gratuit.
Pour PME avec données sensibles ou e-commerce, oui. Coute 1'000-5'000 CHF/an typiquement. Couvre coûts incident, perte revenus, frais juridiques.
La sécurité web n'est plus optionnelle pour une PME suisse. Une attaque peut coûter la confiance des clients, des dizaines de milliers de CHF, et même l'arret d'activite. La checklist de cet article protégé contre 90% des menaces. Notre conviction : investir dans la sécurité des le départ est moins cher que de la rattraper après incident.
Vous voulez auditer la sécurité de votre site ?
Décrivez votre situation via le formulaire : type de site, plateforme, sensibilite des données. Notre équipe analyse votre contexte et vous recontacte avec un plan et une fourchette budgétaire, gratuitement, sans engagement.