Checklist securite site web pour PME : 15 verifications a faire maintenant
Pourquoi cette checklist existe
La plupart des guides de securite web sont ecrits pour les developpeurs et administrateurs systeme. Ils supposent que vous savez ce qu'est SSH, que vous pouvez lire des fichiers de configuration serveur et que vous avez le temps d'etudier la securite des applications web en profondeur. Ce n'est pas realiste pour un dirigeant d'entreprise qui a besoin de comprendre son niveau de risque et d'agir.
Cette checklist est differente. Chacun des 15 elements inclut : ce que c'est en langage clair, pourquoi c'est important, comment le verifier avec des outils gratuits, et quoi faire si la verification echoue.
Nous avons egalement publie une checklist d'audit de securite plus technique pour les developpeurs. Ce guide est la version pour les dirigeants.
Comment utiliser cette checklist
Pour chaque element, attribuez-vous un score :
- Reussi (2 points) : La verification passe completement.
- Partiel (1 point) : Certains aspects passent, d'autres necessitent du travail.
- Echoue (0 point) : La verification echoue entierement.
| Score | Evaluation | Signification |
|---|---|---|
| 25-30 | Bon | Votre site a une base de securite solide. Maintenez-la. |
| 18-24 | Correct | Vous avez des protections mais des lacunes significatives persistent. |
| 10-17 | Faible | Votre site a de serieuses faiblesses de securite. Agissez immediatement. |
| 0-9 | Critique | Votre site est tres vulnerable. Contactez un professionnel aujourd'hui. |
Verification 1 : HTTPS partout
HTTPS chiffre la connexion entre le navigateur du visiteur et votre serveur. Sans lui, tout ce qui est transmis peut etre intercepte. Visitez votre site : y a-t-il un cadenas ? L'URL commence par https:// ? Utilisez SSL Labs (ssllabs.com/ssltest) pour verifier votre certificat. Visez la note A ou A+.
Verification 2 : CMS et plugins a jour
Votre CMS et tous les plugins installes doivent etre a leur derniere version. C'est le point d'entree le plus courant pour les compromissions de sites web. Connectez-vous a votre panneau admin et verifiez les versions. Verifiez aussi votre version PHP (8.2 ou superieure en 2025).
Verification 3 : Acces admin securise avec 2FA
L'authentification a deux facteurs necessite un second facteur de verification au-dela du mot de passe. Verifiez que tous les comptes admin ont le 2FA active, de preference base sur une application (TOTP), pas sur SMS.
Verification 4 : En-tetes de securite configures
Les en-tetes de securite sont des en-tetes HTTP qui controlent le comportement du navigateur. Visitez securityheaders.com et entrez votre domaine. Cherchez : Content-Security-Policy, X-Content-Type-Options, X-Frame-Options, Strict-Transport-Security. Pour plus de details, consultez notre article sur les en-tetes de securite HTTP.
Verification 5 : Formulaires de contact proteges
Vos formulaires doivent etre proteges contre les bots et les attaques par injection. Verifiez la presence d'un CAPTCHA, testez le rate limiting, et verifiez si vous recevez du spam. Pour en savoir plus, consultez notre article sur les formulaires de contact dangereux.
Verification 6 : Sauvegardes testees
Des sauvegardes regulieres, automatisees, stockees separement de votre serveur, et testees pour confirmer qu'elles fonctionnent. Demandez un test de restauration. Verifiez que les sauvegardes incluent fichiers et base de donnees. Verifiez qu'elles sont stockees hors serveur.
Verification 7 : Restrictions d'upload de fichiers
Si votre site permet l'upload de fichiers, verifiez que les types sont restreints, que les tailles sont limitees et que les fichiers sont stockes dans un emplacement qui empeche l'execution. Essayez d'uploader un fichier .php : il doit etre rejete.
Verification 8 : Les messages d'erreur ne revelent pas d'informations
Les messages d'erreur doivent etre generiques. Visitez une page inexistante : voyez-vous une page 404 personnalisee ou une erreur serveur brute avec des chemins de fichiers et des traces de pile ?
Verification 9 : Listing de repertoire desactive
Essayez de visiter des repertoires courants sur votre site. Si vous voyez une liste de fichiers, le listing est active et doit etre desactive.
Verification 10 : Identifiants par defaut changes
Chaque identifiant par defaut doit avoir ete change. Votre username admin est "admin" ? Changez-le. Y a-t-il des comptes de test encore actifs ? Supprimez-les.
Verification 11 : XML-RPC desactive (WordPress)
XML-RPC est un protocole dans WordPress qui est desormais largement inutile et constitue un vecteur d'attaque courant. Visitez votresite.com/xmlrpc.php. S'il repond, il est active et devrait etre desactive.
Verification 12 : Enumeration des utilisateurs bloquee
Visitez votresite.com/?author=1. Si cela redirige vers un URL contenant un nom d'utilisateur, l'enumeration est possible et devrait etre bloquee.
Verification 13 : Scripts tiers audites
Ouvrez les outils developpeur (F12) et listez tous les domaines d'ou des scripts sont charges. Reconnaissez-vous tous ? Utilisez-vous reellement chacun d'entre eux ? Supprimez tout script inutile.
Verification 14 : Consentement cookies conforme
Visitez votre site en navigation privee. Un bandeau de consentement apparait-il ? Avant d'accepter, les scripts analytics tournent-ils deja ? Si vous refusez, les cookies non essentiels sont-ils quand meme poses ?
Verification 15 : Plan de reponse aux incidents
Votre organisation dispose-t-elle d'un document ecrit decrivant quoi faire si le site est compromis ? Inclut-il les contacts d'urgence, les etapes de confinement et de restauration, et vos obligations de notification selon la nLPD suisse ?
Votre score
| Verification | Points |
|---|---|
| 1. HTTPS partout | __ / 2 |
| 2. CMS et plugins a jour | __ / 2 |
| 3. Acces admin avec 2FA | __ / 2 |
| 4. En-tetes de securite | __ / 2 |
| 5. Formulaires proteges | __ / 2 |
| 6. Sauvegardes testees | __ / 2 |
| 7. Restrictions upload | __ / 2 |
| 8. Messages erreur surs | __ / 2 |
| 9. Listing repertoire desactive | __ / 2 |
| 10. Identifiants par defaut changes | __ / 2 |
| 11. XML-RPC desactive | __ / 2 |
| 12. Enumeration utilisateurs bloquee | __ / 2 |
| 13. Scripts tiers audites | __ / 2 |
| 14. Consentement cookies conforme | __ / 2 |
| 15. Plan reponse incidents | __ / 2 |
| Total | __ / 30 |
Que faire avec vos resultats
Si vous avez obtenu 25 ou plus, bravo. Concentrez-vous sur le maintien de votre posture de securite avec des revues trimestrielles.
Si vous avez obtenu entre 18 et 24, vous avez du travail mais vous n'etes pas en danger immediat. Corrigez les verifications echouees dans les 30 prochains jours.
Si vous avez obtenu moins de 18, votre site a des lacunes significatives. Les elements 1-3 (HTTPS, mises a jour, 2FA) devraient etre corriges cette semaine.
Si vous avez obtenu moins de 10, vous avez besoin d'aide professionnelle. Contactez un professionnel immediatement.
La securite n'est pas une activite ponctuelle. Executez cette checklist chaque trimestre. Si vous avez besoin d'aide, contactez-nous. Nous travaillons avec des PME dans toute la Suisse pour rendre la securite web pratique, abordable et efficace.
Vous voulez savoir si votre site est sécurisé ?
Demandez un audit de sécurité gratuit. En 48 heures vous recevez un rapport complet.
Demander un Audit Gratuit