Sécurité web pour PME : les 8 points à vérifier avant la mise en ligne
Avant de mettre votre site PME en ligne, vérifiez ces 8 points : HTTPS, hashage, RGPD, CSP, dépendances, backups. Sans ça, vous prenez un risque réel.
Une PME française subit en moyenne 3 tentatives d'attaque par mois en 2026 (source ANSSI). La plupart échouent grâce à des configurations basiques bien faites — mais ces basiques ne sont presque jamais respectés. Voici les 8 points à vérifier avant la mise en ligne et tous les 6 mois ensuite.
1. HTTPS partout, sans exception
Certificat TLS Let's Encrypt (gratuit, automatique avec Vercel / Netlify / OVH) + redirection
HTTP → HTTPS forcée. HSTS en bonus : Strict-Transport-Security: max-age=63072000; includeSubDomains; preload dans les headers HTTP. Force le navigateur à n'accepter que HTTPS pendant 2 ans.
2. Mots de passe correctement hashés
Hashage bcrypt ou argon2 côté serveur (jamais MD5, jamais SHA1). Si vous utilisez Supabase Auth ou NextAuth, c'est fait automatiquement. Si vous codez votre auth maison en 2026, vous avez raté quelque chose.
3. Validation des entrées côté serveur
Zod, Yup ou Joi sur chaque endpoint API. Jamais faire confiance au formulaire : un utilisateur malveillant peut sauter la validation HTML côté client. Toutes nos routes Brava Labs sont protégées par schémas Zod + sanitisation des champs HTML.
4. Headers de sécurité HTTP
- X-Frame-Options: DENY — anti-clickjacking
- X-Content-Type-Options: nosniff — anti MIME-sniffing
- Referrer-Policy: strict-origin-when-cross-origin
- Permissions-Policy — désactive caméra/micro/géoloc si non utilisés
- Content-Security-Policy — dernier rempart anti-XSS (déployer en Report-Only d'abord)
Tester avec securityheaders.com : objectif note A ou A+.
5. Row-Level Security sur la base
Si vous utilisez Supabase ou PostgreSQL direct : activer RLS sur toutes les tables sensibles.
Sans ça, un attaquant qui récupère l'anon_key a accès à toute la base.
6. Rate-limit sur les endpoints publics
Login, contact, devis, signup : limiter à 5-10 requêtes/minute par IP. Sans rate-limit, votre formulaire de contact devient un relais de spam. En 24h, on bombarde Resend avec votre quota et vous perdez votre domaine de réputation.
7. Dépendances à jour, audit régulier
npm audit --omit=dev avant chaque mise en prod. Mettre à jour les paquets avec une
vulnérabilité haute ou critique sous 48h. Outils : Dependabot (gratuit sur GitHub)
ou Snyk (free tier).
8. Backups automatiques + plan de restauration
Supabase fait des backups quotidiens (rétention 7 jours en gratuit, 30 jours en Pro). Testez la restauration une fois par trimestre — un backup non testé n'est pas un backup. Procédure de rollback documentée dans notre workflow.
Bonus : conformité RGPD intégrée
Voir notre article dédié RGPD : checklist 12 points. L'amende CNIL maximale (4 % du CA mondial) reste rare mais réelle pour les e-commerces qui ignorent leurs obligations.
Comment tester en 30 secondes
- Notre audit gratuit détecte les manquements basiques (HTTPS, headers, schemas, RGPD)
- securityheaders.com pour la note headers
- Mozilla Observatory pour un audit complet et pédagogique
Tous les sites Brava Labs sont livrés conformes aux 8 points par défaut. C'est notre standard, pas une option.
À lire ensuite
Refonte de site internet : 7 signes qu'il est temps de passer à l'acte
Comment savoir s'il faut refondre votre site internet ? 7 signes objectifs qui montrent que la refonte rapporte plus qu'elle ne coûte. Plus un calcul de ROI.
Comment cadrer un projet web en 1 heure avec un freelance
La méthode Brava Labs pour cadrer un projet web en 1 heure : brief, périmètre, budget, délai. Sortir du RDV avec un devis ferme sous 48h.
Stripe ou PayPal pour PME : tout savoir sur le paiement en ligne
Comparatif honnête Stripe vs PayPal pour PME en 2026 : commissions, intégration, expérience utilisateur, gestion abonnements. Notre recommandation chiffrée.