49% des entreprises françaises attaquées en 2023 : le protocole de sécurité web qu'on applique chez ADRD

Une entreprise française sur deux attaquée en 2023

En janvier 2024, le CESIN (Club des Experts de la Sécurité de l'Information et du Numérique) publie son baromètre annuel : 49% des entreprises françaises ont subi au moins une cyberattaque significative en 2023. Le coût moyen d'un incident est de 58 600 € pour une PME — incluant le temps de remédiation, les pertes d'exploitation et les éventuelles amendes RGPD. Pour 12% des entreprises touchées, l'impact a dépassé 100 000 €.

Le vecteur d'attaque numéro un reste le phishing, impliqué dans 60% des incidents. Viennent ensuite les ransomwares (23%) et l'exploitation de vulnérabilités web non patchées (17%). Ce dernier point est directement de la responsabilité des développeurs et agences web — et c'est là que nous pouvons agir concrètement.

« La sécurité web n'est pas une option réservée aux grandes entreprises. Une PME avec un site vitrine non sécurisé peut devenir vecteur d'attaque pour ses propres clients. »

Les 5 failles les plus exploitées sur les sites PME

1. Injection SQL via formulaires non protégés

Une requête SQL construite par concaténation de chaînes (SELECT * FROM users WHERE email = '" . $_POST['email'] . "'") est une porte ouverte. Un attaquant peut vider votre base de données en quelques secondes. La solution — PDO avec requêtes préparées — est connue depuis 15 ans et prend 5 minutes à implémenter. Pourtant, nos audits révèlent ce type de faille sur 1 site PME sur 3.

2. Absence de headers de sécurité HTTP

Les headers comme X-Frame-Options, X-Content-Type-Options, Strict-Transport-Security ou Content-Security-Policy sont invisibles pour l'utilisateur mais bloquent des catégories entières d'attaques (clickjacking, MIME sniffing, downgrade HTTPS). Un site sans ces headers est en infraction avec les recommandations ANSSI.

3. Sessions non sécurisées après authentification

Si l'identifiant de session n'est pas régénéré après un login réussi, un attaquant ayant intercepté le cookie de session d'un utilisateur anonyme peut "monter en grade" en attendant que celui-ci se connecte. Cette attaque, dite "session fixation", est triviale à exécuter et triviale à bloquer avec session_regenerate_id(true).

4. CSRF (Cross-Site Request Forgery) sur les formulaires POST

Un formulaire sans token CSRF permet à un site malveillant d'exécuter des actions au nom d'un utilisateur connecté à votre site. Imaginez un bouton sur un site tiers qui, en un clic, supprime le compte d'un utilisateur de votre plateforme. Le token CSRF — une chaîne aléatoire liée à la session — rend cette attaque impossible.

5. Mots de passe stockés en MD5 ou SHA1

En 2023, des bases de données contenant des millions de mots de passe MD5 circulent librement sur les forums underground. MD5 n'est pas un algorithme de hachage de mots de passe — c'est un algorithme de somme de contrôle. password_hash($pwd, PASSWORD_BCRYPT, ['cost' => 12]) est la solution correcte, avec un coût adapté pour résister aux attaques par force brute même avec du matériel moderne.

Le protocole de sécurité ADRD : ce qu'on applique sur chaque projet

Chez ADRD, la sécurité n'est pas une liste de contrôle optionnelle — c'est une contrainte architecturale non négociable. Voici les couches appliquées systématiquement :

Couche 1 — .htaccess standard

Chaque projet ADRD démarre avec un .htaccess qui force HTTPS, désactive le directory listing, bloque l'accès aux fichiers sensibles (.sql, .env, .log, .bak), et injecte l'ensemble des headers de sécurité recommandés par l'ANSSI. Ce fichier de base prend 10 minutes à configurer et ferme des dizaines de vecteurs d'attaque.

Couche 2 — Validation et sanitisation systématique

Toute donnée externe (formulaire, paramètre URL, header HTTP) est validée côté serveur avant traitement. htmlspecialchars($str, ENT_QUOTES, 'UTF-8') sur tous les outputs. Aucune concaténation SQL — uniquement des requêtes préparées PDO avec ATTR_EMULATE_PREPARES => false.

Couche 3 — Rate limiting sur les points d'entrée sensibles

Login : maximum 5 tentatives par tranche de 5 minutes, avec blocage temporaire de l'IP. Formulaires publics : maximum 3 soumissions par heure par IP. Ces limites sont stockées en base avec horodatage et se réinitialisent automatiquement. Elles bloquent 99% des attaques par force brute automatisées sans impacter les utilisateurs légitimes.

Couche 4 — MailGuard : la couche antiphishing

Notre solution MailGuard filtre les e-mails entrants en temps réel avant qu'ils n'atteignent les boîtes des collaborateurs. En 2023, nos serveurs ont analysé plus de 2,4 millions d'e-mails. Résultat : 99,7% des tentatives de phishing, spam et malwares bloquées avant livraison. La protection inclut l'analyse des liens, des pièces jointes, des en-têtes d'expéditeur et des patterns de contenu connus.

Checklist sécurité : 10 points à vérifier ce soir

1. Votre site force-t-il HTTPS sur toutes les pages (HSTS activé) ?
2. Vos formulaires POST ont-ils tous un token CSRF vérifié côté serveur ?
3. Vos requêtes SQL utilisent-elles exclusivement des requêtes préparées ?
4. Vos mots de passe sont-ils hachés avec bcrypt ou argon2i (pas MD5/SHA1) ?
5. Vos sessions sont-elles régénérées après chaque authentification ?
6. Vos headers HTTP incluent-ils X-Frame-Options, CSP, HSTS ?
7. Votre .htaccess bloque-t-il l'accès aux fichiers de configuration ?
8. Votre formulaire de contact a-t-il un rate limiting anti-spam ?
9. Vos dépendances PHP/JS sont-elles à jour (vulnérabilités patchées) ?
10. Avez-vous une sauvegarde quotidienne testée et stockée hors-site ?

Si vous répondez "non" ou "je ne sais pas" à plus de 3 de ces questions, votre site présente des risques réels. Demandez un audit de sécurité gratuit → — nous analysons votre site et vous livrons un rapport détaillé sous 48 heures.