Sécurité & conformité 22 mai 2026 17 min de lecture

La sécurité d'un site internet, pour un artisan, un commerçant ou un indépendant, ressemble souvent à un sujet flou que personne ne traite vraiment. Le développeur dit « c'est inclus », le client suppose que c'est bon, et personne ne vérifie. Jusqu'au jour où le site se fait pirater pour rediriger les visiteurs vers une pharmacie russe, où la CNIL envoie un courrier suite à un cookie mal configuré, ou où l'hébergeur prévient que la dernière sauvegarde date d'il y a deux ans.

La bonne nouvelle : la sécurité d'un site vitrine TPE en 2026 ne demande ni budget énorme ni compétence pointue. Elle tient à une poignée de réflexes techniques bien posés dès la création, plus un suivi minimal ensuite. Cet article passe en revue les sept volets concrets : HTTPS, sauvegardes, mises à jour, RGPD, cookies, mentions légales, hébergement. À la fin, vous saurez exactement quoi vérifier sur votre site et quoi exiger de votre prestataire.

43 %
C'est la part des cyberattaques mondiales qui visent les TPE et PME (rapport Verizon DBIR 2024). Les très petites structures ne sont pas épargnées : elles sont au contraire des cibles privilégiées parce que leurs défenses sont souvent plus faibles que celles des grands groupes.

Pourquoi la sécurité d'un site TPE compte vraiment en 2026

Trois changements de fond rendent la question incontournable en 2026, alors qu'elle restait secondaire il y a encore quelques années. Premièrement, les attaques automatisées ne distinguent plus les grandes entreprises des petites : des robots scannent en permanence tous les sites accessibles publiquement à la recherche de failles connues. Le site d'un plombier de Bouguenais est analysé chaque jour exactement comme celui d'une grande chaîne hôtelière, par les mêmes outils.

Deuxièmement, le cadre réglementaire s'est durci. Le RGPD entré en vigueur en 2018 est aujourd'hui pleinement appliqué : la CNIL contrôle régulièrement, y compris des TPE, et les amendes peuvent monter à 4 pour cent du chiffre d'affaires annuel. La loi pour une République numérique de 2016 et la directive ePrivacy renforcée en 2024 ont précisé les obligations sur les cookies et le consentement.

Troisièmement, la confiance des visiteurs est devenue mesurable. Un internaute français sur deux dit avoir déjà renoncé à acheter ou contacter une entreprise dont le site lui semblait peu sécurisé (baromètre Médiamétrie 2024). Le cadenas vert dans la barre d'adresse, le bandeau cookies bien fait, des mentions légales accessibles ne sont plus des détails : ce sont des signaux de crédibilité au même titre qu'une photo de boutique ou un avis Google.

HTTPS et certificat SSL : la base non négociable

Le passage en HTTPS (HyperText Transfer Protocol Secure) chiffre toutes les communications entre le visiteur et votre serveur. Sans HTTPS, un mot de passe ou un message envoyé via un formulaire transite en clair sur le réseau : n'importe qui sur le même réseau Wi-Fi peut le lire. Avec HTTPS, l'échange est crypté de bout en bout, et le navigateur affiche le fameux cadenas vert.

HTTP en 2026 : un drapeau rouge immédiat

Si l'URL de votre site commence encore par http:// au lieu de https://, deux choses se passent. Google Chrome (75 pour cent du marché en France) affiche un message d'avertissement Non sécurisé qui fait reculer les visiteurs. Et Google déclasse votre site dans ses résultats de recherche : c'est officiel depuis 2018. Aucune raison technique ne justifie de rester en HTTP en 2026. Aucune.

Comment obtenir un certificat SSL gratuit

Tous les hébergeurs sérieux fournissent un certificat SSL gratuit, généralement via Let's Encrypt, association à but non lucratif soutenue par Mozilla, Cisco, Akamai et d'autres acteurs majeurs. Chez IONOS, OVH, o2switch, Hostinger ou Infomaniak, l'activation se fait en quelques clics depuis votre panneau d'administration. Le renouvellement est automatique tous les 90 jours, vous n'avez rien à faire ensuite.

Quelques cas particuliers où un certificat payant a un sens : sites e-commerce à fort volume (certificat EV pour afficher le nom de l'entreprise dans la barre d'adresse), grands groupes avec exigences internes, hébergement non géré. Pour un site vitrine TPE classique, le certificat Let's Encrypt fait parfaitement le travail et n'apporte aucun inconvénient face à un certificat payant.

Migrer un site HTTP existant vers HTTPS

Si votre site est encore en HTTP, la migration prend une demi-journée à un développeur expérimenté. Trois actions à enchaîner : activer le certificat SSL côté hébergeur, mettre à jour toutes les URL internes du site (liens, images) pour pointer vers la version HTTPS, configurer une redirection 301 permanente de l'ancien HTTP vers le nouveau HTTPS. La dernière étape évite de perdre les positions Google acquises.

Sauvegardes : la deuxième assurance vie de votre site

Un site peut disparaître pour mille raisons : piratage, erreur humaine pendant une mise à jour, panne matérielle de l'hébergeur, suppression accidentelle d'un fichier. Sans sauvegarde, vous repartez de zéro, avec toutes les heures et tout le budget de création à refaire. Une sauvegarde mensuelle bien configurée coûte quelques euros par an et change radicalement la donne.

La règle 3-2-1 : pourquoi elle reste pertinente

La règle 3-2-1, formulée à l'origine par le photographe Peter Krogh dans les années 2000, reste la référence en sauvegarde : 3 copies des données, sur 2 supports différents, dont 1 hors site. Appliquée à un site internet de TPE :

  • Copie 1 : le site en production chez votre hébergeur (IONOS, OVH, etc.)
  • Copie 2 : sauvegarde automatique de l'hébergeur (souvent fournie en option payante 5 à 15 euros par an)
  • Copie 3 : sauvegarde stockée ailleurs que sur le serveur principal : disque externe local, autre cloud, ou dépôt Git pour un site statique

Fréquence de sauvegarde adaptée à l'activité

Inutile de sauvegarder un site statique vitrine chaque heure si son contenu ne bouge pas. Inutile non plus de se contenter d'une sauvegarde annuelle pour un site avec blog actif. Ajustez la fréquence à la vitesse de changement du contenu :

Type de site Fréquence recommandée Outil typique
Site vitrine statique peu modifié Mensuelle Sauvegarde hébergeur + copie locale du dépôt
Site vitrine avec blog actif Hebdomadaire Plugin WordPress (UpdraftPlus, BackWPup)
Site e-commerce Quotidienne Sauvegarde automatique hébergeur + export BDD
Site avec commandes en temps réel Toutes les heures Solution dédiée (Jetpack VaultPress, équivalents)

Tester ses sauvegardes : l'étape oubliée

Une sauvegarde qui n'a jamais été testée n'est pas une sauvegarde, c'est un fichier qui pourrait servir. Une fois par an, prenez le temps de restaurer une sauvegarde dans un environnement de test pour vérifier qu'elle est complète et fonctionnelle. C'est l'étape que tout le monde oublie, et c'est celle qui sauve la mise le jour où vous en avez vraiment besoin.

Mises à jour et failles de sécurité

Une faille de sécurité, c'est un bug technique connu publiquement qu'un attaquant peut exploiter pour prendre le contrôle d'un site, voler des données ou y injecter du contenu malveillant. Les éditeurs de logiciels publient régulièrement des correctifs (patches), qui ne servent à rien si vous ne les appliquez pas.

Le danger des plugins WordPress non maintenus

WordPress équipe environ 43 pour cent des sites web mondiaux, ce qui en fait une cible permanente. Le moteur WordPress lui-même est solide quand il est à jour. Les vulnérabilités viennent presque toujours des plugins et des thèmes tiers. Quelques règles simples qui couvrent 90 pour cent du risque :

  • Mettre à jour WordPress, plugins et thème au moins une fois par mois
  • Désinstaller les plugins inutilisés (ne pas se contenter de les désactiver)
  • Privilégier les plugins maintenus activement (mise à jour dans les 6 derniers mois)
  • Éviter les plugins payants cassés téléchargés gratuitement sur des sites obscurs, vecteur d'infection numéro un
  • Utiliser des mots de passe d'administration solides (16 caractères minimum, gestionnaire type Bitwarden)
  • Activer la double authentification sur le compte administrateur

L'option site statique : zéro maintenance technique

Pour une TPE qui ne modifie pas son contenu quotidiennement, le site statique en HTML/CSS/JS pur élimine la majorité des risques d'un coup. Pas de base de données, pas de PHP, pas de plugins à mettre à jour, pas de back-office à protéger. C'est l'approche utilisée sur focalisme.fr : le site est constitué de fichiers HTML servis directement par l'hébergeur, sans aucune logique exécutée côté serveur. La surface d'attaque est réduite à presque rien.

Pour en savoir plus sur les arbitrages techniques au moment d'une refonte, l'article refonte de site internet en 2026 détaille comment moderniser un site existant tout en préservant son référencement.

Site sécurisé dès la conception

Toutes les formules Focalisme intègrent HTTPS, sauvegardes, mentions légales, bandeau cookies conforme et configuration sécurisée. Devis gratuit sous 24 heures.

Demander un devis 07 60 46 62 05

RGPD : ce qu'une TPE doit vraiment respecter

Le Règlement Général sur la Protection des Données s'applique dès qu'une donnée personnelle est traitée. Un simple champ nom et email dans un formulaire de contact suffit à entrer dans son périmètre. Heureusement, pour une TPE, l'obligation réelle se concentre sur quelques points précis et tient en une page d'efforts.

Le principe : finalité, minimisation, transparence

Trois principes clés du RGPD à comprendre :

Finalité

Vous ne pouvez collecter une donnée que pour un usage précis et déclaré. Demander la date de naissance pour répondre à une demande de devis de plomberie n'a aucune justification : ne la demandez pas.

Minimisation

Collectez uniquement ce qui est strictement nécessaire. Pour un formulaire de contact : prénom, e-mail, message. Pas d'adresse, pas de téléphone obligatoire, pas de civilité obligatoire. Chaque champ supplémentaire doit être justifié par un usage concret.

Transparence

Le visiteur doit savoir quelles données vous collectez, pour quoi faire, combien de temps vous les conservez, et comment exercer ses droits (accès, rectification, suppression). Cette information passe par une page politique de confidentialité claire, accessible depuis chaque formulaire.

Les droits des visiteurs à respecter

Toute personne dont vous avez collecté des données peut exercer six droits, listés à l'article 12 du RGPD : accès à ses données, rectification, effacement (le fameux droit à l'oubli), portabilité, opposition au traitement, limitation du traitement. Vous devez répondre à toute demande dans un délai d'un mois maximum, sans frais.

Pour une TPE, le plus simple est d'indiquer dans votre politique de confidentialité : « Pour exercer vos droits, contactez-nous à l'adresse focalisme.fr@gmail.com ». En pratique, ce type de demande reste rare pour un site vitrine non e-commerce, mais l'obligation existe.

Le registre des traitements : utile même quand non obligatoire

Le registre des traitements est obligatoire pour les structures de plus de 250 salariés ou celles qui traitent des données sensibles. Une TPE de moins de 10 personnes n'y est pas tenue. Mais pour quatre ou cinq formulaires sur un site (contact, devis, newsletter, prise de rendez-vous), tenir un mini-registre en une page Word ou un tableur reste utile : ça démontre votre bonne foi en cas de contrôle CNIL et ça vous oblige à formaliser ce que vous collectez vraiment.

Cookies et bandeau de consentement : le bon dosage

Le bandeau cookies est le sujet le plus visible du RGPD pour un visiteur, et celui où l'on rencontre le plus de configurations bancales. Mauvaise nouvelle pour les TPE : la CNIL est désormais très claire sur les règles, et la marge d'interprétation s'est fortement réduite depuis les recommandations renforcées de 2024.

Cookies essentiels vs cookies de traçage

Deux familles de cookies à distinguer. Les cookies essentiels assurent le fonctionnement technique du site : maintien de session, panier d'achat, choix de langue, préférences d'affichage. Ils ne nécessitent aucun consentement et ne déclenchent pas de bandeau obligatoire. Les cookies non essentiels servent à la mesure d'audience (Google Analytics, Matomo non anonymisé), à la publicité ciblée (Meta Pixel, Google Ads, TikTok Pixel) ou à des fonctionnalités tierces (cartes Google Maps, vidéos YouTube embarquées, polices Google Fonts). Ceux-là exigent un consentement explicite.

Les règles CNIL à respecter en 2026

  • Le bouton Refuser doit être aussi visible et accessible que le bouton Accepter
  • Aucune case ne peut être pré-cochée
  • La poursuite de la navigation ne vaut pas consentement
  • Le visiteur doit pouvoir retirer son consentement aussi facilement qu'il l'a donné
  • La preuve du consentement doit être conservée (date, version du bandeau, choix exprimés)
  • Le consentement est obligatoire avant tout dépôt de cookie non essentiel

Outils gratuits pour TPE

Plusieurs solutions open source ou gratuites s'intègrent en quelques minutes : Tarteaucitron (français, conforme CNIL, recommandé pour la majorité des sites vitrines), Cookieconsent par Insites (international), Klaro! (open source allemand). Évitez les solutions payantes type Cookiebot pour une TPE : leur tarif mensuel (15 à 50 euros) n'apporte rien de plus que les outils gratuits pour un site sans publicité ciblée complexe.

Mentions légales et politique de confidentialité

Toute personne qui édite un site internet en France a l'obligation légale d'afficher des mentions légales accessibles depuis chaque page du site. Le contenu varie selon la nature de l'activité (personne physique, société, profession réglementée) mais le socle est commun.

Mentions obligatoires pour un professionnel

  • Nom, prénom (entreprise individuelle) ou raison sociale (société)
  • Adresse du siège social ou du domicile professionnel
  • Téléphone et adresse e-mail de contact
  • Numéro SIRET ou SIREN et code APE
  • Forme juridique (SARL, SAS, EI, auto-entrepreneur, etc.)
  • Capital social si société commerciale
  • Numéro de TVA intracommunautaire si assujetti
  • Nom du directeur de la publication
  • Coordonnées complètes de l'hébergeur (nom, adresse, téléphone)

Mentions complémentaires selon l'activité

Un artisan inscrit à la Chambre des Métiers doit indiquer son numéro RM (Répertoire des Métiers). Une profession réglementée (avocat, médecin, expert-comptable) doit indiquer son ordre professionnel et la juridiction. Pour une vente en ligne, des conditions générales de vente sont obligatoires, avec mention du droit de rétractation, des conditions de livraison et des modalités de remboursement. Pour une activité de prestation, des conditions générales d'utilisation ou de service sont fortement conseillées.

Sanctions en cas d'absence

L'absence de mentions légales est punie d'une amende pouvant atteindre 75 000 euros pour une personne physique et 375 000 euros pour une personne morale (article 6-VI de la LCEN). En pratique, les amendes sont rarissimes pour une TPE, mais le risque réputationnel et commercial reste réel : un prospect qui ne trouve pas vos coordonnées légales peut s'interroger sur votre sérieux.

Hébergement et e-mail professionnel : les briques oubliées

La sécurité d'un site ne se limite pas au code du site lui-même. Deux briques périphériques font une grande différence : l'hébergement et l'adresse e-mail professionnelle utilisée pour communiquer avec les clients.

Choisir un hébergeur sérieux

Pour une TPE en France, le marché propose plusieurs hébergeurs solides avec data centers européens (donc sous juridiction RGPD claire) : IONOS (utilisé par focalisme.fr), OVH (Roubaix, leader européen), o2switch (Clermont-Ferrand, hébergeur français à offre unique), Infomaniak (Suisse, énergie renouvelable), Hostinger (international, offres très accessibles). Évitez les hébergeurs sans support francophone, sans data center identifié, ou dont les serveurs sont sous juridiction américaine si vous traitez des données sensibles.

Sauvegardes automatiques côté hébergeur

La plupart des hébergeurs proposent désormais des sauvegardes automatiques en option. Vérifiez quatre points dans votre contrat : la fréquence (quotidienne idéalement), la durée de conservation (30 jours minimum), la possibilité de restaurer en un clic depuis le panneau d'administration, et la localisation géographique des serveurs de sauvegarde (Europe).

E-mail professionnel : pourquoi quitter une boîte personnelle

Un e-mail au nom du domaine du site (contact@votreentreprise.fr, devis@votreentreprise.fr) inspire bien plus confiance qu'une adresse Gmail ou Yahoo. Pour la sécurité, c'est aussi un cran au-dessus : les attaques de type spoofing (usurpation d'adresse e-mail) sont plus difficiles à mener sur un domaine bien configuré (enregistrements SPF, DKIM, DMARC dans la zone DNS). Tous les hébergeurs proposent des boîtes mail professionnelles incluses ou à quelques euros par mois.

Les 8 erreurs de sécurité qu'on voit le plus souvent

Voici les fautes récurrentes repérées lors d'audits de sites TPE en Loire-Atlantique. Si vous en cumulez plusieurs, votre site est probablement à risque sans que vous le sachiez.

  1. Pas de HTTPS sur un site avec formulaire de contact ou espace client
  2. Une seule personne connaît le mot de passe administrateur, sans backup d'accès
  3. Mot de passe faible (date de naissance, nom du chien, prénom + 1234)
  4. Aucune sauvegarde ou sauvegarde sur le même serveur que le site (donc perdue si l'hébergeur tombe)
  5. WordPress avec plugins jamais mis à jour depuis 18 mois
  6. Mentions légales absentes ou cachées dans un menu obscur
  7. Bandeau cookies qui ne propose pas de bouton Refuser ou avec cases pré-cochées
  8. Politique de confidentialité copiée sur un autre site sans adaptation au cas réel

Audit gratuit de la sécurité de votre site

HTTPS, sauvegardes, RGPD, cookies, mentions légales : Focalisme passe en revue les huit points de sécurité de votre site et propose un plan d'action chiffré sous 24 heures, sans engagement.

Demander un audit Voir les formules

Checklist sécurité & conformité 2026

Une feuille de route pratique à dérouler sur votre propre site, dans l'ordre de priorité. Une heure d'audit personnel suffit à valider la moitié des points.

  • L'URL commence par https:// et le cadenas s'affiche correctement dans Chrome et Firefox
  • Une sauvegarde automatique est activée chez l'hébergeur, avec au moins 30 jours d'historique
  • Une copie de sauvegarde existe en dehors du serveur principal (disque externe, autre cloud, Git)
  • Le moteur du site (WordPress, plugins, thème) a été mis à jour dans les 30 derniers jours
  • Les mots de passe administrateur font 16 caractères minimum et sont stockés dans un gestionnaire
  • La double authentification est activée sur le compte administrateur
  • Une page mentions légales existe et contient les 9 informations obligatoires
  • Une page politique de confidentialité existe et est adaptée à votre cas réel
  • Le bandeau cookies propose Accepter et Refuser à égale visibilité, sans case pré-cochée
  • L'e-mail professionnel utilise le nom de domaine du site (pas Gmail / Yahoo)

En résumé

La sécurité d'un site internet TPE en 2026 ne demande ni budget exceptionnel, ni compétence technique pointue. Elle tient à sept points concrets bien posés dès la conception : HTTPS avec certificat SSL gratuit Let's Encrypt, sauvegardes régulières selon la règle 3-2-1, mises à jour techniques mensuelles, conformité RGPD avec mentions légales et politique de confidentialité, bandeau cookies conforme CNIL, hébergement européen sérieux, e-mail professionnel au nom de domaine. Le tout pour un coût annuel qui dépasse rarement 80 euros chez un freelance qui sait ce qu'il fait, et davantage seulement si le site repose sur WordPress avec plugins à maintenir.

Sur focalisme.fr, ces sept points sont intégrés par défaut dans chacune des trois formules de création (Essentiel 499 €, Pro 699 €, Premium 999 €) sans surcoût ni option à cocher. Pour les TPE qui ont déjà un site et veulent vérifier où elles en sont, l'audit gratuit prend 30 minutes et donne un plan d'action concret. La sécurité d'un site n'est pas un sujet anxiogène quand on le traite à la base, c'est un sujet qui devient désagréable quand on l'a négligé trop longtemps.

Création de site sécurisé : zones couvertes en Loire-Atlantique

Focalisme intervient dans toute la Loire-Atlantique et le Pays de Retz pour la création et la mise à niveau sécurité de sites internet TPE. Voici les communes principales où j'accompagne le plus d'artisans, commerçants et indépendants :

Pour en savoir plus sur l'approche Focalisme et le profil du fondateur, voir la page à propos.

À lire aussi : Refonte de site internet : 7 signes qu'il est temps de refaire votre site en 2026 · Prix d'un site internet en 2026 pour une TPE · SEO local : apparaître en première page Google dans le Pays de Retz · Référencement IA 2026 : apparaître dans ChatGPT, Perplexity, Gemini et Claude · Pourquoi un site internet est essentiel pour une entreprise locale

Sources : Verizon Data Breach Investigations Report 2024 (statistiques cyberattaques TPE/PME), CNIL (recommandations cookies et RGPD), W3Techs (parts de marché CMS), LCEN article 6-VI (sanctions mentions légales), Let's Encrypt (documentation officielle certificats SSL), retours d'expérience Focalisme sur des sites TPE en Loire-Atlantique.