Sécurité du site

1) Connexion sécurisée (HTTPS)

Le site est prévu pour fonctionner en HTTPS afin de chiffrer les échanges entre les visiteurs et le serveur. Cela protège les formulaires, les identifiants, et empêche l’interception des données.

• Certificat TLS actif (HTTPS)
• Redirection automatique HTTP → HTTPS
• Activation de HSTS si possible (côté serveur)

2) Protection des formulaires

Les formulaires (ex : contact) doivent être protégés contre le spam et les injections. Même si ton site est vitrine, c’est un point d’entrée classique.

• Validation côté serveur (obligatoire)
• Échappement / nettoyage des entrées
• Anti-spam (honeypot / captcha léger)
• Limitation de débit (rate limiting) recommandé

3) Mises à jour & dépendances

La majorité des incidents viennent de versions obsolètes (PHP, serveur web, librairies). Une routine simple de mise à jour réduit fortement le risque.

• Mises à jour régulières du serveur
• Version PHP maintenue
• Plugins / scripts tiers vérifiés

4) Accès & permissions

Le serveur doit appliquer le principe du moindre privilège : seuls les fichiers nécessaires sont accessibles.

• Permissions strictes sur les fichiers
• Pas d’accès public aux fichiers sensibles
• Identifiants forts + accès admin limité

5) En-têtes de sécurité (recommandé)

Certains en-têtes HTTP améliorent la protection contre le clickjacking, le contenu injecté, et des comportements dangereux du navigateur.

• Content-Security-Policy (CSP)
• X-Frame-Options
• X-Content-Type-Options
• Referrer-Policy
• Permissions-Policy

Ces réglages se font généralement dans la configuration serveur (Apache/Nginx) ou via le panel d’hébergement.

6) Sauvegardes

Une sauvegarde fiable est une “mesure de sécurité” : elle permet de récupérer le site rapidement après un incident (erreur humaine, piratage, panne).

• Sauvegarde automatique (quotidienne/hebdo)
• Historique de versions (rétention)
• Copie hors serveur (off-site) recommandée