La majorité des problèmes de sécurité sur les sites de TPE/PME ne proviennent pas d’attaques complexes. Ils apparaissent souvent à cause de mauvaises décisions prises pendant la création du site : accès mal gérés, absence de sauvegardes, hébergement peu fiable ou maintenance inexistante.

Cette checklist vous aide à poser les bonnes questions à votre prestataire web avant signature, mais aussi à vérifier certains points importants après la mise en ligne.

Pourquoi vérifier la sécurité avant la création d’un site web ?

Un site internet professionnel représente aujourd’hui bien plus qu’une simple vitrine. Il centralise souvent des données clients, des formulaires de contact, des accès administrateur et parfois des paiements en ligne.

Une mauvaise configuration dès le départ peut entraîner :

• des piratages ;
• des pertes de données ;
• des interruptions de service ;
• une baisse du référencement Google ;
• des problèmes de conformité RGPD.

Selon l’ANSSI, les TPE-PME sont régulièrement ciblées par des attaques opportunistes exploitant des failles simples ou des systèmes non mis à jour.

Un bon prestataire web doit être capable d’expliquer clairement les choix techniques et les mesures de sécurité mises en place.

Checklist sécurité avant de signer avec un prestataire web

Hébergement et infrastructure

L’hébergement constitue la base de la sécurité de votre site internet. Avant toute signature, plusieurs points doivent être clarifiés.

• Quel hébergeur sera utilisé ?
• L’infrastructure est-elle située en Europe ?
• Les sauvegardes sont-elles incluses ?
• À quelle fréquence les sauvegardes sont-elles réalisées ?
• Les sauvegardes sont-elles testées régulièrement ?
• Quel est le délai d’intervention en cas de panne ?
• Le certificat SSL HTTPS est-il inclus par défaut ?

Un hébergement peu sécurisé peut compromettre la stabilité et le référencement du site.

Gestion des accès administrateur

La gestion des accès est un point critique souvent négligé lors d’une création de site.

• Qui aura accès à l’administration du site ?
• Recevrez-vous tous les identifiants à la livraison ?
• Le prestataire conservera-t-il un accès après la mission ?
• Les accès FTP et serveur seront-ils transmis ?
• Des comptes individuels sont-ils prévus pour chaque intervenant ?

Vous devez rester propriétaire de vos accès et de votre infrastructure.

Mises à jour et maintenance

Un site non mis à jour devient rapidement vulnérable.

• Qui gère les mises à jour du CMS ?
• Les plugins sont-ils surveillés régulièrement ?
• La maintenance est-elle incluse dans le contrat ?
• Quelle est la fréquence des interventions ?
• Existe-t-il une supervision de sécurité ?

Sur WordPress, la majorité des failles exploitées concernent des extensions obsolètes.

Documentation technique

Une documentation claire permet d’éviter les dépendances inutiles vis-à-vis du prestataire.

• Une documentation technique sera-t-elle fournie ?
• Les technologies utilisées sont-elles expliquées ?
• Les choix techniques sont-ils justifiés ?
• Les procédures de récupération sont-elles documentées ?

Un prestataire sérieux documente son travail et facilite la reprise du projet.

Vérifications à effectuer après la livraison du site

Contrôles simples sans compétence technique

Même sans expertise technique, plusieurs vérifications peuvent être réalisées immédiatement après livraison.

• Le site utilise bien le protocole HTTPS ;
• Le cadenas SSL apparaît correctement dans le navigateur ;
• Aucune erreur de certificat n’est détectée ;
• La page d’administration n’est pas exposée publiquement ;
• Le site ne contient pas de liens ou mentions cachées du prestataire ;
• Les formulaires fonctionnent correctement.

Effectuer un diagnostic de sécurité

Après la mise en ligne, il est recommandé de réaliser un diagnostic de sécurité afin d’obtenir un état des lieux précis.

Un diagnostic comme le Contrôle Technique Web Eur’Net (CTW) permet notamment d’identifier :

• les failles de configuration ;
• les problèmes HTTPS ;
• les erreurs de sécurité email SPF/DKIM ;
• les risques liés aux accès administrateur ;
• les vulnérabilités visibles publiquement.

Ce rapport constitue une base objective pour discuter avec le prestataire si des problèmes apparaissent.

Les points de sécurité à ne pas oublier après la mise en ligne

La sécurité d’un site internet ne s’arrête pas à sa livraison.

• Changer tous les mots de passe par défaut ;
• Configurer Google Search Console sur votre propre compte ;
• Vérifier les emails avec SPF et DKIM ;
• Programmer des sauvegardes régulières ;
• Planifier une revue sécurité tous les 6 mois ;
• Mettre à jour les extensions et le CMS.

Une maintenance régulière réduit fortement les risques de piratage et de perte de données.

Comment reconnaître un prestataire web fiable ?

Un prestataire web professionnel répond clairement aux questions liées à la sécurité.

Les signaux positifs incluent :

• des réponses précises ;
• une documentation claire ;
• des procédures de sauvegarde définies ;
• une maintenance formalisée ;
• des engagements contractuels transparents.

À l’inverse, des réponses vagues ou l’absence de procédure doivent alerter.

La sécurité ne doit jamais être considérée comme une option secondaire dans un projet web professionnel.

Conclusion

Vérifier la sécurité avant de confier votre site à un prestataire permet d’éviter de nombreux problèmes techniques et financiers.

Cette checklist sécurité site web aide les TPE et PME à mieux encadrer leur projet, clarifier les responsabilités et sécuriser durablement leur présence en ligne.

Un site sécurisé dès sa création coûte toujours moins cher qu’une correction après incident.

Source officielle : ANSSI — Agence nationale de la sécurité des systèmes d’information

• À propos
• Articles récents

Infos ↓

Frédéric MENSE

CTO engagé pour les PME chez Eur'Net

Fondateur et directeur technique d'Eur'Net depuis 1997 - née en Normandie, le siège a posé ses valises en Auvergne face au Sancy il y a plus de 15 ans. J'accompagne les TPE et PME sur la cybersécurité et la transition numérique depuis 28 ans, de l'Auvergne jusqu'à Kourou et Bora-Bora. Règle numéro 1 : si je ping, j'ai du réseau. Règle numéro 2 : voir règle numéro 1.

Eur'Net est référencée Cybermalveillance.gouv.fr, activatrice France Num et partenaire Gold Kaspersky depuis 1997. À titre personnel et bénévole, je suis également engagé comme Aidant MonAideCyber via l'association Assistic. Mon credo : un sinistre cyber, ce n'est plus "si" mais "quand". La question, c'est : vous regardez le tsunami arriver depuis la plage, ou vous apprenez à surfer et vous préparez vos plans A, B, C ?

Entre deux diagnostics, j'élève aussi des IA bio au grand air.

Infos ↓

Les derniers articles par Frédéric MENSE (tout voir)

• Gestionnaire de mots de passe PME : 7 raisons de choisir LockPass - 20 mai 2026
• Le1313-48 – Cybersécurité 2026 : êtes-vous vraiment prêt ? - 19 mai 2026
• #Le0909-10 – Faux CV, vrais malwares : comment les cybercriminels infiltrent les PME par le recrutement - 14 mai 2026