En France, 81% des PME disposent d’un site web pour valoriser leur activité et vendre leurs produits ou services en ligne. Une grande partie de ces entreprises ont déjà fait face à une situation délicate : des modifications ont été apportées à leur site web à leur insu par un acteur malveillant. Ce phénomène porte un nom : le défacement.
Plus de 50 000 sites web sont victimes d’attaques de défacement chaque jour dans le monde, d’après le média américain GRC Viewpoint. Les PME sont souvent les entreprises les plus exposées à cette menace.
Dans cet article, vous découvrirez :
- ce qu’est un défacement de site web,
- les motivations et le mode opératoire des attaquants,
- comment réagir en cas de défacement,
- les bonnes pratiques à adopter pour protéger votre PME de cette menace.
1. Qu’est-ce que le défacement de site web ?
1.1 Définition du défacement de site web
Le défacement de site web, parfois appelé défaçage ou défiguration, désigne une modification non autorisée du contenu d’un site internet par un tiers malveillant. Celui-ci survient lorsqu’un attaquant parvient à accéder au site et à en altérer l’apparence ou les informations visibles, sans l’accord de l’entreprise qui l’exploite.
Les organismes de référence en cybersécurité, comme l’ANSSI ou l’ENISA, considèrent le défacement comme une atteinte à l’intégrité d’un système d’information. Même si cette attaque peut sembler moins grave qu’un vol de données elle repose sur le même principe : une faille de sécurité a été exploitée.
Un site web défacé n’est donc pas un simple acte de vandalisme numérique, il s’agit d’une intrusion sur un système compromis.
1.2 Comment reconnaître un site web défacé ?
Le défacement est souvent immédiatement visible, ce qui explique qu’il fasse partie des attaques les plus facilement identifiables. Un dirigeant ou un collaborateur peut constater que le site ne correspond plus aux contenus initialement publiés par l’entreprise.
Dans certains cas la modification est évidente, si bien que les internautes peuvent être les premiers à s’en rendre compte. Le contenu modifié est souvent incohérent avec l’image de l’entreprise. Dans d’autres cas, elle peut être plus discrète et ne concerner qu’une page spécifique ou une section rarement consultée. Cette situation est particulièrement risquée, car un défacement partiel peut passer inaperçu pendant plusieurs jours ou plusieurs semaines.
1.3 Un défacement n’est pas un simple incident
Il est tentant de considérer un défacement comme un événement ponctuel, rapidement résolu en restaurant une version antérieure du site. Mais cette approche est dangereuse : pour modifier un site web, l’attaquant a nécessairement identifié et exploité une vulnérabilité.
Souvent, le défacement n’est qu’une première étape. Il peut servir à tester la réactivité de l’entreprise, à démontrer une capacité de nuisance ou à préparer des attaques plus intrusives. Par ailleurs, la faille exploitée peut être identifiée par d’autres cybercriminels.
Pour votre PME, l’enjeu est donc clair. Un site web défacé n’est pas seulement un problème d’image. C’est une épée de Damoclès suspendue au-dessus du système informatique de votre entreprise. Il faut donc impérativement traiter cette menace dans les plus brefs délais.
1.4 Les PME, une cible de choix pour le défacement
Beaucoup de défacements touchent les sites web de PME, non pas en raison de leur activité, mais de leur niveau d’exposition technique.
Dans la majorité des cas, le site web d’une PME repose sur des technologies largement répandues, comme des CMS standards et des extensions tierces. Ces environnements sont bien connus des attaquants, qui disposent d’outils pour automatiser la détection des sites vulnérables. Lorsqu’une faille est identifiée, l’attaque peut alors facilement être déclenchée.
2. Défacement de site : quel est le mode opératoire des attaquants ?
2.1 Les motivations des attaquants
Contrairement à d’autres cyberattaques, le défacement de site web n’a pas toujours un objectif financier direct. Dans de nombreux cas, l’attaquant cherche avant tout à gagner en visibilité, à démontrer une capacité technique ou à faire passer un message.
Certaines attaques s’inscrivent dans une logique idéologique ou militante. Le site web devient alors un support d’expression détourné, choisi non pas pour l’activité de l’entreprise, mais parce qu’il présente une faille exploitable pour exprimer une opinion. D’autres défacements relèvent davantage de l’opportunisme. L’attaquant identifie un site vulnérable et agit sans objectif défini, parfois simplement pour marquer son passage ou pour signaler un avertissement.
En septembre 2025, une trentaine de PME françaises hébergées sur un serveur mutualisé ont ainsi vu leur page d’accueil remplacée par un message laissé par l’attaquant indiquant “Ops! Admin, Your Site Get Hacked. You should be looking for better security”.
Il existe également des cas où le défacement sert de preuve de compromission. Modifier un site permet de montrer qu’un accès non autorisé a été obtenu, sans aller plus loin à ce stade. Cette approche peut précéder des attaques plus intrusives ou être utilisée pour tester la réactivité de l’entreprise. Le défacement peut donc être une fin en soi, mais aussi un signal annonciateur d’autres tentatives à venir.
2.2 Quels sont les modes opératoires les plus courants ?
Dans la grande majorité des cas, un défacement repose sur l’exploitation de vulnérabilités connues. Il ne s’agit pas nécessairement de failles complexes ou inédites. Les attaquants privilégient des faiblesses largement documentées, pour lesquelles des correctifs existent déjà, mais qui n’ont pas été appliqués par votre entreprise.
Les sites reposant sur des CMS populaires constituent des cibles fréquentes, notamment lorsque certaines extensions, thèmes ou composants ne sont plus maintenus. Une fois la vulnérabilité exploitée, l’attaquant peut modifier les fichiers du site ou injecter du contenu non autorisé.
D’autres scénarios reposent sur des accès compromis, comme un vol d’identifiants ou l’utilisation de mots de passe faibles. Dans ce cas, l’attaquant n’a pas besoin d’exploiter une faille technique complexe. Il utilise simplement des identifiants valides pour agir comme un administrateur légitime.
Ces attaques sont souvent automatisées. Les cybercriminels utilisent des scanners de vulnérabilités pour passer en revue des milliers de sites à la recherche de configurations vulnérables. Cela explique pourquoi des PME peuvent être touchées sans avoir été spécifiquement visées.
2.3 Les conséquences d’un défacement de site
Même lorsqu’il est rapidement corrigé, un défacement de site web peut avoir des conséquences. Votre site internet est un canal de communication privilégié avec vos clients, prospects et partenaires. Les modifications apportées par l’attaquant peuvent fragiliser la confiance de vos interlocuteurs et susciter des craintes sur la fiabilité de l’entreprise.
L’image de votre PME peut se trouver entachée, surtout si les modifications apportées à votre site comportent un caractère idéologique ou revendicatif.
Un défacement peut également affecter votre visibilité en ligne. Les moteurs de recherche sont sensibles aux comportements anormaux et aux signes de compromission. Un site identifié comme compromis peut voir son référencement dégradé, avec des effets qui perdurent parfois après la correction de l’incident.
Ce type d’attaque entraîne également des coûts indirects souvent sous-estimés. Il faut mobiliser du temps pour comprendre l’origine du problème (ce qui implique souvent de faire appel à un prestataire), restaurer le site, vérifier que la compromission ne s’étende pas à d’autres éléments et rassurer les interlocuteurs concernés. Pour une PME, cette mobilisation imprévue peut peser sur l’activité.
Enfin, lorsqu’un attaquant parvient à modifier un site web, il a démontré sa capacité à accéder au système informatique de votre entreprise. Cette capacité peut être exploitée à d’autres fins, par le même acteur ou par d’autres.
Dans certains cas, la faille utilisée pour le défacement peut également permettre :
- l’injection de code malveillant,
- l’exploitation du site pour attaquer des visiteurs,
- l’accès à d’autres ressources hébergées sur le même environnement.
C’est pourquoi un défacement doit toujours être considéré comme un incident de sécurité à part entière.
3. Comment réagir en cas de défacement ?
Si vous constatez un défacement, vous pouvez avoir la tentation d’apporter une correction rapide pour rétablir l’apparence de votre site web. Même si cela peut paraître contre-intuitif, il convient d’éviter toute modification précipitée. Avant de restaurer votre site, vous devez d’abord comprendre ce qui s’est produit. Cela implique d’identifier quand la modification est apparue, quelles pages sont concernées et si l’accès non autorisé est toujours actif. Dans de nombreux cas, cette analyse nécessite l’appui du prestataire web ou de l’hébergeur.
Une fois que la faille utilisée est identifiée, vous pouvez restaurer votre site web à partir d’une version saine. En parallèle, il est essentiel de corriger la faille exploitée. Sans cette étape, le risque de récidive est élevé. Un nouveau défacement peut en effet se reproduire en l’espace de quelques heures si la vulnérabilité initiale n’a pas été traitée.
Puisque certains défacements sont permis par l’utilisation d’identifiants compromis, il convient de changer les mots de passe utilisés pour accéder à votre site web.
Enfin, si l’incident a été visible pour des clients ou partenaires, il peut être nécessaire de rassurer vos interlocuteurs, en expliquant que la situation a été maîtrisée et que des actions ont été engagées pour éviter qu’elle ne se reproduise.
4. Les bonnes pratiques pour protéger votre site web d’un défacement
La majorité des défacements de site web exploitent des failles connues… et facilement évitables. Pour protéger votre site web, vous pouvez ainsi adopter quelques mesures simples et faciles à mettre en œuvre :
Mettez régulièrement à jour votre CMS, vos plugins et vos extensions : le fait d’installer ces mises à jour permet de corriger les vulnérabilités identifiées dans les anciennes versions. Ainsi, votre site ne sera plus identifié comme une cible par les scanners de vulnérabilités utilisés par les cybercriminels.
Maîtrisez les accès à votre site web : le fait de limiter le nombre de comptes administrateurs, de supprimer les accès inutilisés et de s’assurer que chaque intervenant dispose de droits adaptés à son rôle permet de réduire significativement le risque de défacement..
Vous pouvez également vérifier si certaines adresses email ou identifiants liés à votre site ont déjà été compromis lors de fuites de données antérieures. Des plateformes gratuites comme Have I Been Pwned permettent de savoir si vos identifiants ont été exposés dans des violations connues, et les audits Sekost intègrent des recherches plus poussées.
Vérifiez régulièrement l’état de sécurité de votre site : vous pouvez utiliser une solution comme Sekost pour réaliser un audit de sécurité à partir de votre nom de domaine. Celui-ci vous permet de diagnostiquer les failles et les vulnérabilités à corriger pour assurer la protection de votre site web.
Conclusion
Le défacement de site web est une cyberattaque courante, qui touche un grand nombre de PME. Il s’agit pourtant de l’une des attaques les plus faciles à éviter, car elle s’appuie le plus souvent sur des failles connues. En adoptant quelques bonnes pratiques simples et rapides à mettre en place, vous pouvez dès maintenant réduire le niveau d’exposition de votre PME à ce type de menace.
