Les grandes marques ne sont pas les seules cibles des cyberattaques : les PME et e-commerçants le sont aussi. Mauvais mot de passe, plugin obsolète ou sauvegarde mal configurée peuvent nuire rapidement. Voici les bonnes pratiques concrètes pour éviter le pire et continuer à vendre en toute confiance.
D’ailleurs, on a consacré un épisode de notre podcast SutuCast aux tendances e-commerce 2025, où l’on décrypte en profondeur les bonnes pratiques e-commerce et leur impact sur les parcours clients.
Les PME, premières cibles des cybercriminels
En France, 43 % des cyberattaques visent les PME (source : ANSSI, 2024). En e-commerce, le danger est encore plus élevé : paiements en ligne, données personnelles, adresses, mots de passe clients… tout est sensible.
Le plus grave ? 6 PME sur 10 ferment dans les 6 mois qui suivent une cyberattaque majeure. Les conséquences sont financières, juridiques et surtout réputationnelles. Quand un client perd confiance, il ne revient pas.
Les attaques les plus fréquentes :
- Ransomwares : un malware chiffre tout votre site, base de données comprise.
- Injection SQL / XSS : un script malveillant détourne vos formulaires ou pages de paiement.
- Phishing / usurpation : vos clients reçoivent de fausses factures ou emails au nom de votre marque.
- Brute force : des robots testent des milliers de mots de passe pour accéder à votre back-office.
Les 7 actions simples pour sécuriser son site e-commerce
1. Le HTTPS et la double authentification
HTTPS chiffre toutes les données échangées sur votre site. Des services comme Let’s Encrypt permettent de l’activer gratuitement. La double authentification (2FA) est aussi indispensable, notamment pour les accès admin et FTP. Google Authenticator, Authy ou SMS : peu importe la méthode, l’idée est de bloquer l’accès aux comptes critiques.
2. Des sauvegardes externes automatiques
Sauvegarder, c’est bien. Sauvegarder hors ligne, c’est mieux. Si vos backups sont stockés sur le même serveur que votre site, ils seront également chiffrés en cas d’attaque. L’idéal ? Sauvegardes quotidiennes + stockage cloud + version locale (type NAS).
3. Mises à jour mensuelles au minimum
WordPress, Prestashop, Magento : tous sont visés dès qu’une faille est connue. Mettez à jour le cœur du CMS, les plugins, le thème, le PHP et les droits serveur.
4. Masquer les accès sensibles
Sur Magento, ne laissez jamais le chemin /admin actif. Changez-le en une URL obscure et unique. Sur WordPress, utilisez Wordfence ou Sucuri pour bloquer les tentatives de login. Sur Prestashop, désactivez l’installation automatique de modules, et vérifiez les permissions des fichiers.
5. Installer une surveillance active
Outils comme UptimeRobot, Sucuri ou Detectify permettent de détecter en temps réel les comportements anormaux : tentative de login massive, redirection frauduleuse, injection de code malveillant. Plus vite vous êtes alerté, plus vous limitez les dégâts.
6. Former vos équipes
Une grande partie des attaques commencent par une erreur humaine : clic sur un lien malveillant, plugin non vérifié, mot de passe faible. Organisez une formation cybersécurité annuelle et imposez des mots de passe complexes.
7. Avoir un plan de crise
Qui prévenir en cas d’attaque ? Où sont stockées les sauvegardes ? Quelle communication envoyer aux clients ? Qui doit couper les accès ? Sans plan clair, les premières heures sont souvent mal gérées et aggravent la situation. Préparez-le en amont.
Les quelques outils recommandés selon votre CMS
Magento
L’outil gratuit Magento Security Scan Tool détecte les failles, patchs manquants et erreurs de configuration. Changez l’URL d’admin, limitez les IP autorisées, et activez le mode production sur votre serveur.
WordPress
Installez un firewall Wordfence, désactivez l’installation de plugins sans validation, et masquez le répertoire /wp-admin. Scannez les fichiers de thème et plugin à la recherche de scripts malveillants.
Prestashop
Vérifiez les droits CHMOD, désactivez les modules inutiles, renforcez le .htaccess et utilisez un scanner de code type Prestashop Security Scanner. Ne laissez jamais les logs et backups accessibles publiquement.
