En tant que consultante infra, la question que mes clients me posent le plus souvent n’est pas « quel hébergeur choisir ? » mais « est-ce que mon site est bien protégé ? ». La réponse, dans 80 % des cas, est non. Non pas parce que l’hébergeur est mauvais, mais parce que la sécurité est une responsabilité partagée entre l’hébergeur et le webmaster. Voici tout ce que vous devez savoir pour sécuriser votre site web, du certificat SSL aux sauvegardes en passant par la protection contre les attaques DDoS.
Pourquoi la sécurité hébergement est votre priorité numéro un
Les chiffres parlent d’eux-mêmes :
- 30 000 sites web sont piratés chaque jour dans le monde (source : Sophos)
- 43 % des cyberattaques ciblent les petites entreprises
- 95 % des failles de sécurité sont dues à des erreurs humaines
- Un site piraté perd en moyenne 98 % de son trafic organique le temps de la résolution
Dans mon expérience, un site non sécurisé se fait compromettre en moyenne dans les 6 mois suivant sa mise en ligne. Les bots scannent en permanence les CMS non mis à jour, les mots de passe faibles et les configurations serveur par défaut.
La bonne nouvelle : les mesures de base suffisent à bloquer 95 % des attaques. Voyons lesquelles.
Le certificat SSL : la base absolue
Qu’est-ce que le SSL/TLS ?
Le certificat SSL (ou plus précisément TLS, sa version moderne) chiffre les communications entre le navigateur de vos visiteurs et votre serveur. Concrètement, c’est le cadenas dans la barre d’adresse et le https:// au lieu de http://.
Pourquoi c’est indispensable
- Google pénalise les sites sans HTTPS depuis 2018 — c’est un facteur de classement officiel
- Les navigateurs affichent « Non sécurisé » sur les sites HTTP, faisant fuir les visiteurs
- Le RGPD impose la protection des données en transit pour les sites qui collectent des informations personnelles
- Les formulaires (contact, paiement, inscription) transmettent des données en clair sans SSL
Les types de certificats SSL
| Type | Validation | Délai | Prix | Usage |
|---|---|---|---|---|
| DV (Domain Validation) | Domaine uniquement | Minutes | Gratuit (Let’s Encrypt) | Sites vitrine, blogs |
| OV (Organization Validation) | Domaine + entreprise | 1-3 jours | 50-200 €/an | Sites professionnels |
| EV (Extended Validation) | Vérification complète | 1-2 semaines | 200-1000 €/an | E-commerce, banques |
| Wildcard | Tous les sous-domaines | Variable | 100-500 €/an | Sites multi-sous-domaines |
Mon conseil : pour 90 % des sites, un certificat Let’s Encrypt (DV, gratuit) suffit largement. Tous les hébergeurs sérieux le proposent en un clic. Dans notre comparatif des hébergeurs web, j’ai vérifié que chaque prestataire inclut le SSL gratuit.
Comment vérifier votre certificat SSL
Utilisez SSL Labs pour analyser votre configuration. Visez une note A ou A+. Voici ce que j’observe chez les principaux hébergeurs :
| Hébergeur | Note SSL Labs | TLS 1.3 | HSTS | OCSP Stapling |
|---|---|---|---|---|
| Infomaniak | A+ | Oui | Oui | Oui |
| o2switch | A+ | Oui | Oui | Oui |
| OVHcloud | A | Oui | Non (à configurer) | Oui |
| Hostinger | A | Oui | Oui | Oui |
| PlanetHoster | A | Oui | Non (à configurer) | Oui |
Infomaniak et o2switch se distinguent avec une configuration SSL optimale par défaut, sans intervention de votre part.
Les sauvegardes : votre assurance-vie numérique
La règle du 3-2-1
En 10 ans de consulting, j’ai vu des dizaines de sites perdus définitivement faute de sauvegardes. La règle que j’impose à tous mes clients :
- 3 copies de vos données
- 2 supports différents (serveur + cloud externe)
- 1 copie hors site (pas sur le même serveur que votre site)
Ce que proposent les hébergeurs
| Hébergeur | Fréquence | Rétention | Restauration | Hors site |
|---|---|---|---|---|
| o2switch | Quotidienne | 30 jours | 1 clic (cPanel) | Oui |
| Infomaniak | Quotidienne | 7 jours | 1 clic | Datacenter séparé |
| Hostinger | Hebdomadaire | 7 jours | 1 clic (hPanel) | Non |
| OVHcloud | Quotidienne | 14 jours | Manuel | Même datacenter |
| PlanetHoster | Quotidienne | 30 jours | 1 clic | Oui |
Attention : les sauvegardes de l’hébergeur ne remplacent pas vos propres sauvegardes. J’ai eu un client dont l’hébergeur a perdu ses données ET ses sauvegardes lors d’un incident serveur. Depuis, je recommande systématiquement une sauvegarde externe.
Mettre en place des sauvegardes automatiques
Pour WordPress :
- UpdraftPlus (gratuit) : sauvegarde automatique vers Google Drive, Dropbox ou Amazon S3
- BlogVault (payant) : sauvegardes incrémentielles avec restauration en 1 clic
- Configurez une sauvegarde quotidienne de la base de données et hebdomadaire des fichiers
Pour les autres CMS :
- Configurez un cron job avec
mysqldumppour la base de données - Utilisez
rsyncpour synchroniser les fichiers vers un serveur externe - Stockez les sauvegardes sur un service S3-compatible (Backblaze B2 est excellent et abordable)
Testez vos sauvegardes : une sauvegarde qu’on n’a jamais testée ne vaut rien. Chaque trimestre, restaurez votre sauvegarde dans un environnement de test pour vérifier qu’elle fonctionne. J’insiste là-dessus — c’est la leçon la plus douloureuse que mes clients apprennent.
Protection DDoS : se défendre contre les attaques
Qu’est-ce qu’une attaque DDoS ?
Une attaque par déni de service distribué (DDoS) consiste à submerger votre serveur de requêtes jusqu’à le rendre inaccessible. Les motivations sont variées : concurrence déloyale, extorsion, activisme, ou simplement des script kiddies qui s’amusent.
Dans mes benchmarks, un site sur mutualisé sans protection tombe en 30 secondes face à une attaque de 1 Gbps. Sur un VPS standard, il tient 2 minutes. La protection doit venir en amont du serveur.
Les niveaux de protection
| Niveau | Solution | Coût | Protection |
|---|---|---|---|
| Basique | Protection hébergeur | Inclus | Attaques volumétriques simples |
| Intermédiaire | Cloudflare (plan gratuit) | 0 € | DDoS L3/L4 + WAF basique |
| Avancé | Cloudflare Pro/Business | 20-200 €/mois | DDoS L3-L7 + WAF avancé + Bot management |
| Enterprise | Solutions dédiées (Akamai, AWS Shield) | 3000+ €/mois | Protection illimitée |
Ma recommandation : mettez Cloudflare en frontal de votre site, même en plan gratuit. Leur protection DDoS est illimitée et gratuite sur tous les plans. C’est la première chose que je configure pour chaque client, avant même de toucher au site.
Ce que proposent les hébergeurs en protection
- OVHcloud : protection anti-DDoS incluse sur tous les plans (VAC, leur technologie maison). Très efficace pour les attaques volumétriques.
- Infomaniak : protection intégrée avec filtrage intelligent. Un des rares hébergeurs à protéger aussi contre les attaques applicatives (L7).
- o2switch : protection Arbor Networks incluse. Solide mais moins granulaire.
- Hostinger : protection basique incluse, Cloudflare intégré en option.
Pour les sites à fort trafic qui envisagent un VPS, notre comparatif des meilleurs VPS détaille les protections DDoS incluses par chaque fournisseur.
Les bonnes pratiques de sécurité au quotidien
Mises à jour : la première ligne de défense
73 % des sites piratés le sont à cause de logiciels non mis à jour. Voici ma routine :
- CMS : mettez à jour dès qu’une version de sécurité sort (pas les versions majeures — attendez 1-2 semaines pour celles-là)
- Plugins/extensions : vérifiez chaque semaine. Supprimez ceux que vous n’utilisez plus
- Thèmes : même traitement que les plugins
- PHP : restez sur une version supportée (PHP 8.2+ actuellement)
Mots de passe et accès
| Bonne pratique | Détail |
|---|---|
| Mot de passe admin | 16+ caractères, unique, généré par un gestionnaire |
| Accès FTP/SFTP | Toujours SFTP, jamais FTP en clair |
| Panneau admin | Changez l’URL par défaut (/wp-admin → URL personnalisée) |
| Double authentification | Activez le 2FA partout (hébergeur, CMS, email) |
| Comptes inutilisés | Supprimez-les immédiatement |
Le pare-feu applicatif (WAF)
Un WAF filtre le trafic malveillant avant qu’il n’atteigne votre site. Options recommandées :
- Cloudflare WAF : gratuit pour les règles basiques, excellent en plan Pro
- Sucuri : spécialisé WordPress, efficace mais payant (199 $/an)
- ModSecurity : gratuit, intégré à Apache/Nginx, mais nécessite des connaissances techniques
Dans mes tests, Cloudflare WAF bloque en moyenne 87 % des tentatives d’injection SQL et XSS sans configuration supplémentaire. C’est le meilleur rapport efficacité/effort.
Surveillance et alertes
Mettez en place un monitoring de disponibilité :
- UptimeRobot (gratuit) : vérifie votre site toutes les 5 minutes, alerte par e-mail/SMS
- Hetrix Tools (gratuit jusqu’à 15 moniteurs) : monitoring + blacklist check
- Google Search Console : alertes en cas de piratage détecté par Google
Comparatif sécurité des hébergeurs français
Voici mon évaluation de la sécurité des principaux hébergeurs, basée sur mes tests et mon expérience client :
| Critère | o2switch | Infomaniak | OVHcloud | Hostinger | PlanetHoster |
|---|---|---|---|---|---|
| SSL gratuit | ✅ | ✅ | ✅ | ✅ | ✅ |
| Sauvegardes auto | Quotidienne | Quotidienne | Quotidienne | Hebdomadaire | Quotidienne |
| Anti-DDoS | ✅ Arbor | ✅ Intégré | ✅ VAC | ✅ Basique | ✅ |
| WAF | Mod Security | Intégré | Non (à configurer) | Non | Mod Security |
| Isolation comptes | ✅ CloudLinux | ✅ | ✅ | ✅ CloudLinux | ✅ CloudLinux |
| Scan malware | Imunify360 | Intégré | Non | Intégré | Imunify360 |
| 2FA panneau | ✅ | ✅ | ✅ | ✅ | ✅ |
Verdict : Infomaniak et o2switch offrent la sécurité la plus complète en standard. OVHcloud est solide côté infrastructure mais laisse davantage de configuration au webmaster. Pour un débutant, je recommande un hébergeur qui intègre tout par défaut — consultez notre guide pour choisir son hébergeur pour une analyse complète.
FAQ
Le certificat SSL gratuit Let’s Encrypt est-il aussi sécurisé qu’un certificat payant ?
Techniquement, oui. Le chiffrement est identique (RSA 2048 bits ou ECDSA). La différence est dans le niveau de validation : Let’s Encrypt ne vérifie que le domaine (DV), pas l’identité de l’entreprise. Pour un blog, un site vitrine ou même un petit e-commerce, c’est largement suffisant.
À quelle fréquence faut-il sauvegarder son site ?
Cela dépend de la fréquence de mise à jour. Un blog publiant un article par semaine : sauvegarde hebdomadaire des fichiers, quotidienne de la base de données. Un e-commerce avec des commandes quotidiennes : sauvegarde quotidienne de tout, voire en temps réel pour la base de données. Dans le doute, sauvegardez quotidiennement — le stockage cloud ne coûte presque rien.
Mon hébergeur a été piraté, que faire ?
D’abord, respirez. Ensuite : changez immédiatement tous vos mots de passe (hébergeur, CMS, FTP, base de données, e-mail). Restaurez votre dernière sauvegarde saine. Scannez votre site avec Sucuri SiteCheck ou Wordfence (pour WordPress). Si le problème vient de l’hébergeur lui-même et pas de votre site, envisagez sérieusement de migrer vers un hébergeur plus fiable.
Cloudflare est-il vraiment nécessaire si mon hébergeur a déjà une protection DDoS ?
Pour un petit site personnel, la protection de l’hébergeur suffit généralement. Mais Cloudflare apporte des avantages supplémentaires : CDN mondial (gain de performance), WAF, optimisation des images, et surtout une protection DDoS de niveau enterprise gratuitement. Je le recommande systématiquement, ne serait-ce que pour le gain de performance.
Comment savoir si mon site a été piraté ?
Signes révélateurs : redirections vers des sites suspects, pages inconnues indexées dans Google, ralentissement soudain, alertes Google Search Console, fichiers inconnus sur le serveur, spam envoyé depuis votre domaine. Utilisez site:votredomaine.fr dans Google pour vérifier les pages indexées — si vous voyez des pages de casino ou de pharma, c’est mauvais signe.
Conclusion
La sécurité de votre hébergement web repose sur trois piliers : un certificat SSL correctement configuré, des sauvegardes régulières testées, et une protection contre les attaques. Aucun hébergeur ne peut vous protéger à 100 % — la sécurité est une responsabilité partagée.
Si vous êtes en train de choisir un hébergeur et que la sécurité est votre priorité, je recommande Infomaniak ou o2switch pour leur approche « tout inclus ». Pour un comparatif complet intégrant performances, prix et support, consultez notre comparatif des meilleurs hébergeurs web.