Sommaire
Résumer ou partager cet article :
La dette cyber, c’est la facture qu’on ne voit pas sur le bilan. Elle se construit chaque fois qu’on remet à plus tard une mise à jour, qu’on garde un module non maintenu, qu’on oublie un compte admin créé en 2019. Sur les boutiques que nous auditons chez Zetruc, cette dette est presque toujours sous-estimée par le dirigeant, et c’est précisément ce qui la rend dangereuse.
Nous avons construit un indice qualitatif, structuré autour de sept piliers, qui permet à un e-commerçant de situer sa dette cyber sans avoir besoin d’un audit complet pour commencer à réfléchir. Cet article vous donne la grille, ce qu’on observe chez Zetruc sur chaque pilier, et la trajectoire de remise à niveau qu’on applique avec nos clients.
La dette cyber, c’est quoi exactement
Le terme vient de la dette technique. Quand un développeur livre vite au lieu de livrer bien, il crée un raccourci qu’il faudra payer plus tard, avec des intérêts. La dette cyber suit la même logique appliquée à la sécurité. Chaque arbitrage en faveur du court terme, chaque « on verra plus tard », chaque mot de passe partagé sur Slack, chaque module installé sans relecture, génère un capital de risque qui grossit en silence.
La spécificité de l’e-commerce, c’est que cette dette se paye en clients perdus. Un piratage sur une boutique vitrine reste une mauvaise nouvelle. Un piratage sur une boutique qui encaisse 2 000 euros par jour devient une crise existentielle : commandes bloquées, données bancaires exposées, référencement Google détérioré, contrats clients suspendus, prime de cyber assurance qui explose. La dette cyber ne se voit pas forcément, mais elle se réveille toujours au pire moment.
Le piège, c’est qu’on confond souvent absence d’incident et absence de dette. Un site qui n’a jamais été piraté n’est pas forcément un site sécurisé. C’est peut-être simplement un site que personne n’a encore attaqué. La dette cyber se mesure avant l’attaque, pas après.
Pourquoi les e-commerçants français sont particulièrement exposés
Trois raisons expliquent que les e-commerçants accumulent plus facilement de la dette cyber que les autres entreprises de leur taille.
D’abord, ils gèrent des données sensibles à fort enjeu : identité, adresses, paniers, parfois cartes bancaires en tokenisation, toujours emails actifs. Cette concentration en fait des cibles de choix pour les attaques de credential stuffing, le skimming de cartes, le détournement de comptes clients et le ransomware ciblé.
Ensuite, leur stack est modulaire et empilée dans le temps. Une boutique PrestaShop typique cumule des dizaines de modules tiers, plusieurs thèmes successifs, des hooks personnalisés, des plugins de paiement, des connecteurs Klaviyo ou Mailchimp, des passerelles transporteur. Chaque ligne ajoutée est une surface d’attaque potentielle. Et la majorité de ces modules ne sont jamais mis à jour après la mise en ligne.
Enfin, ils n’ont pas d’équipe sécu dédiée. Le dirigeant porte plusieurs casquettes, le développeur freelance livre et part, la sécurité applicative n’est pas du ressort de l’hebergeur. Personne ne tient le journal de bord. C’est ce que nous constatons régulièrement lors des audits que nous menons, et c’est ce qui crée le terrain idéal pour la dette cyber.
Les 7 piliers de l’indice Zetruc
L’indice Zetruc se lit pilier par pilier, avec un niveau qualitatif sur chacun : faible (la dette est sous contrôle), modérée (des chantiers à mener), élevée (zone rouge, à traiter en priorité). L’objectif n’est pas de produire un score chiffré qui se voudrait scientifique sans l’être, mais de donner à un dirigeant un cadre lisible pour se positionner.
| Pilier | Question centrale |
| 1. Socle technique | Mon CMS, mes modules et mon hébergement sont-ils à jour et durcis ? |
| 2. Authentification et accès | Qui a accès à quoi, comment, et est-ce traçable ? |
| 3. Supervision et détection | Si on m’attaque maintenant, est-ce que je le saurai ? |
| 4. Sauvegardes et continuité | Combien de temps pour remettre la boutique en ligne après un incident majeur ? |
| 5. Conformité RGPD et tiers | Mes données sont-elles cartographiées et mes sous-traitants encadrés ? |
| 6. Email et anti-phishing | Mon domaine est-il protégé contre l’usurpation ? |
| 7. Culture et gouvernance | La sécurité est-elle écrite, partagée, et portée par l’équipe ? |
Pilier 1 — Socle technique
C’est la fondation. Version du CMS (PrestaShop, Shopify, WooCommerce), âge des modules installés, version PHP, état du certificat SSL, configuration de l’hébergement, présence d’en-têtes de sécurité (CSP, HSTS, X-Frame-Options).
Le piège classique : un PrestaShop ancien qu’on n’ose plus migrer parce que plusieurs modules personnalisés y sont accrochés. À chaque mois qui passe, la dette technique augmente, la dette cyber suit. Une majorité des boutiques que nous auditons portent une dette modérée à élevée sur ce pilier.
Pilier 2 — Authentification et accès
Combien de comptes administrateurs sont actifs sur votre back-office ? Quand a-t-on supprimé pour la dernière fois un compte d’ancien collaborateur ? Le double facteur est-il activé sur les comptes critiques ? Les mots de passe sont-ils stockés dans un gestionnaire, ou dans un fichier Excel partagé ?
C’est le pilier où la dette se rembourse le plus vite. Quelques heures suffisent pour faire un grand ménage, déployer un coffre-fort (Bitwarden, 1Password) et activer la MFA partout. C’est aussi le pilier où on retrouve le plus de surprises lors de l’audit initial : comptes oubliés, accès SFTP encore ouverts, sessions admin laissées actives depuis des mois.
Pilier 3 — Supervision et détection
Si vous ne savez pas qu’on vous attaque, vous ne pouvez pas réagir. Ce pilier mesure votre capacité à voir ce qui se passe sur votre site, en temps utile.
Sur les boutiques de nos clients e-commerce, nous installons Wazuh sur le serveur web qui héberge la boutique. Wazuh n’est pas une solution miracle, c’est un agent qui collecte les logs (système, web, applicatifs) et qui les confronte à un jeu de règles. Quand un événement correspond à une règle, une alerte remonte. Le travail intéressant n’est pas dans l’installation, qui est devenue assez standard, mais dans le tuning des règles au contexte de chaque site : un PrestaShop ne génère pas les mêmes signaux qu’un WordPress, et un module précis peut créer du bruit qu’il faut savoir filtrer. C’est ce travail au long cours que nous détaillons dans notre article comment surveiller la sécurité de votre site web avec Wazuh.
Sans supervision, on découvre une intrusion par les retours clients ou par Google qui blackliste votre domaine. C’est trop tard. C’est sur ce pilier que nous voyons le plus de dette critique lors des audits initiaux : la majorité des boutiques n’ont aucune supervision active sur la couche applicative.
Pilier 4 — Sauvegardes et continuité
Une sauvegarde n’existe que si on l’a testée. Beaucoup de boutiques ont des sauvegardes automatiques chez leur hébergeur, mais personne ne les a jamais restaurées. Le jour du ransomware, on découvre que l’archive est corrompue, que les images ne sont pas dans le backup, ou que la sauvegarde ne couvre que les fichiers du site et pas la base de données. C’est pourtant la base qui porte le cœur de l’activité : commandes, comptes clients, adresses, paniers, historiques d’achat. Sauvegarder les fichiers sans la base, c’est garder la vitrine et perdre le magasin.
Une stratégie saine sauvegarde donc les deux, fichiers et base, et conserve au moins une copie hors du serveur de production, car un backup stocké au même endroit que la boutique disparaît avec elle en cas d’incident. Le plan de reprise d’activité répond ensuite à une question simple : combien de temps pour remettre la boutique en ligne après un incident majeur, et avec quelle perte de données ? Si vous ne savez pas répondre, vous avez de la dette sur ce pilier.
Pilier 5 — Conformité RGPD et tiers
Le RGPD est une obligation légale, mais c’est aussi un indicateur de maturité cyber. Une boutique qui tient à jour son registre de traitements, qui audite ses sous-traitants, qui a un cookie banner fonctionnel et un Consent Mode v2 conforme, est mécaniquement une boutique qui a mis de l’ordre dans ses données. Pour creuser, voir notre guide RGPD pour votre site et l’article cyber assurance PME le guide de survie pour 2026 qui détaille comment les assureurs notent ce critère.
Le point faible récurrent : les sous-traitants. Très peu de boutiques savent lister précisément les outils qui touchent aux données clients, encore moins justifier les contrats de sous-traitance associés.
Pilier 6 — Email et anti-phishing
L’e-commerce vit par l’email : confirmations de commande, newsletters, relances panier, support. Si votre domaine n’est pas correctement configuré en SPF, DKIM et DMARC, vous êtes une cible facile pour l’usurpation. Et vous perdez en délivrabilité, donc en chiffre d’affaires. Nous avons écrit un guide complet sur SPF, DKIM, DMARC pour stopper les spams et le phishing.
C’est un des piliers les plus rapides à corriger : quelques entrées DNS bien configurées et une politique DMARC progressive suffisent à passer d’une dette élevée à une dette faible.
Pilier 7 — Culture et gouvernance
Sans politique écrite, sans charte informatique, sans formation régulière des équipes, la sécurité dépend de l’humeur du moment. Une politique de sécurité de deux pages, signée par toute l’équipe, vaut mieux qu’un manuel de cent pages que personne ne lit. La culture cyber d’une boutique, c’est ce qui empêche un comptable de cliquer sur la fausse facture envoyée vendredi à 17h47.
Avec l’arrivée de la directive européenne et de ses cascades sur la supply chain, ce pilier prend du poids même pour les entreprises qui ne sont pas directement assujetties : elles deviennent fournisseurs d’entités régulées qui leur demandent des garanties. Nous l’avons décortiqué dans NIS2 et obligations des PME.
Ce qu’on voit vraiment sur le terrain
Une fois les sept piliers passés en revue, trois profils reviennent souvent chez les e-commerçants que nous auditons.
Le premier profil, c’est le dirigeant qui a tout fait lui-même. La boutique tourne, elle vend, elle est rentable, mais elle n’a jamais été auditée. La dette est presque toujours élevée sur les piliers supervision, sauvegardes et gouvernance, simplement parce que ces sujets n’ont jamais été abordés. Le dirigeant n’a pas conscience de sa dette parce qu’aucun incident ne l’a forcé à regarder.
Le deuxième profil, c’est la boutique livrée par une agence il y a 3 à 5 ans, jamais maintenue depuis. La technique a vieilli, les modules sont dépassés, le contrat de maintenance n’a jamais été souscrit. La dette est concentrée sur le socle technique et la conformité, parfois aggravée par des accès laissés ouverts à d’anciens prestataires.
Le troisième profil, c’est la boutique en forte croissance qui empile les outils sans gouvernance. Plus la croissance est rapide, plus la dette gonfle. Ces boutiques ont les moyens de payer, mais elles n’ont pas eu le temps de structurer. La dette est diffuse, présente sur la plupart des piliers à un niveau modéré, sans alerte rouge évidente mais sans pilier vraiment maîtrisé.
Le coût caché de la dette cyber
La dette cyber n’attend pas un piratage pour vous coûter de l’argent. Elle vous facture en continu, sur trois lignes que vous n’identifiez pas comme liées.
D’abord, votre cyber assurance. Les assureurs réclament désormais un questionnaire technique préalable, et selon votre niveau de maturité, ils ajustent la prime, le plafond d’indemnisation, voire refusent de couvrir. Une boutique avec une dette élevée paye sensiblement plus cher qu’une boutique au socle propre, quand elle trouve encore un assureur prêt à signer.
Ensuite, votre référencement et votre conversion. Un site lent à cause d’un module obsolète, un cookie banner non conforme qui dégrade le Consent Mode, un domaine signalé en spam par les fournisseurs email : tout cela érode votre acquisition payante et organique. Vous perdez en CTR, en délivrabilité, en taux de conversion. La dette cyber est aussi une dette marketing.
Enfin, le coût d’un incident réel. Nous avons documenté ce que ça donne concrètement dans l’article anatomie d’une cyberattaque sur un module e-commerce. Entre l’arrêt de service, la restauration, la communication de crise, les obligations de notification CNIL, le coût juridique et la perte de confiance clients, l’addition pour une PME e-commerce dépasse vite ce que le dirigeant avait imaginé, et reste rarement absorbable sans casser une trésorerie.
La trajectoire de remboursement, par paliers
Réduire sa dette cyber, ce n’est pas une course qu’on coche dans un planning. C’est un changement de palier de maturité. Chez Zetruc, on raisonne en quatre paliers successifs, qu’on ne brûle pas.
Le palier de l’inventaire vient en premier. On ne sécurise pas ce qu’on ne connaît pas. Tant qu’on n’a pas listé précisément les modules installés, les comptes actifs, les sous-traitants, les flux de données et les points d’entrée, toute action curative est partielle. C’est cette phase qui révèle les surprises : un compte admin oublié, un module abandonné en production, un backup qu’on croyait actif depuis longtemps et qui ne tourne plus.
Le palier de la remise à niveau technique suit. On colmate les brèches les plus exploitables, on met à jour ou désactive les modules critiques, on régénère les mots de passe et on active la MFA, on remet d’aplomb le certificat SSL et les en-têtes de sécurité, on teste les sauvegardes pour de vrai. Certains chantiers, comme une migration majeure de CMS, peuvent être étalés quand l’activité ne permet pas de tout arrêter.
Le palier de la supervision et de la conformité s’ouvre quand la base est saine. On déploie Wazuh, on prend le temps de tuner les règles sur le site réel pour faire baisser le bruit, on remet à plat le RGPD, on cartographie les sous-traitants, on configure SPF, DKIM et DMARC en montant progressivement la politique. C’est à ce palier qu’on apprend à interpréter les signaux que la supervision remonte.
Le palier de la gouvernance vient en dernier, et ne se termine jamais vraiment. C’est l’écriture de la politique de sécurité, la formation régulière des équipes, les revues périodiques, la préparation des dossiers d’assurance, la documentation continue. Sans ce palier, les précédents se dégradent.
L’ordre compte plus que la vitesse. Brûler un palier pour aller plus vite revient à empiler une nouvelle couche de dette sur une base non assainie. Promettre une remise à niveau express, c’est généralement promettre de la dette qui se reconstituera derrière.
La méthode Zetruc, en pratique
Une dette remboursée se reconstitue d’elle-même si on ne change rien. C’est ce qui arrive aux boutiques qui font un audit ponctuel, corrigent, puis repartent comme avant. La dette finit par revenir, parce que la sécurité n’a pas été intégrée à la vie quotidienne de la boutique.
Notre approche tient en trois principes simples.
D’abord, la sécurité comme processus continu, pas comme projet ponctuel. On gère la cyber comme on gère le SEO : avec un suivi régulier, un point périodique avec le dirigeant, et un pilotage explicite de la trajectoire pilier par pilier. Cela suppose un partenaire qui connaît le site, son historique, ses spécificités.
Ensuite, un référentiel documentaire vivant, que nous appelons en interne le Classeur Cyber. L’idée n’est pas de produire un gros PDF figé, mais de tenir à jour, au fil de l’eau, les informations essentielles : architecture, liste des accès et des sous-traitants, procédures d’urgence, journal des incidents, plan de reprise. Ce référentiel sert au quotidien à l’équipe, et devient un atout évident quand l’assureur ou un client B2B demande des garanties.
Enfin, une supervision réelle, tunée au site. Wazuh n’a d’intérêt que s’il est branché à la réalité du serveur et que quelqu’un traite les alertes. Une supervision installée et abandonnée ne sert à rien, voire pire : elle donne l’illusion d’une couverture qui n’existe pas. Nous l’opérons donc en mode managé pour nos clients e-commerce, avec les règles ajustées au CMS et aux modules en place.
Cette approche n’a de sens qu’avec un partenaire e-commerce intégré. C’est pourquoi nos prestations création de site internet et e-commerce et notre modèle de partenariat en revenue share intègrent la cybersécurité par défaut, pas en option. Pour les dirigeants qui se posent la question du bon partenaire, nous avons aussi écrit comment choisir un prestataire e-commerce.
Questions fréquentes
Comment savoir si mon e-commerce a une dette cyber ?
Si vous n’avez jamais audité votre boutique, vous en avez. Toutes les boutiques en ont, la question est de savoir où elle se concentre. Le moyen le plus rapide pour le savoir : passer la grille des sept piliers en interne avec honnêteté, ou demander un audit à un partenaire compétent.
À quel niveau de maturité je dois m’inquiéter pour ma cyber assurance ?
Une dette élevée sur plusieurs piliers est devenue rédhibitoire pour de nombreux assureurs, qui demandent des correctifs avant de signer. Inversement, une boutique avec une dette faible sur la majorité des piliers négocie de meilleures conditions. La cyber assurance est devenue un thermomètre marché qui valide la maturité cyber.
Par où commencer pour rembourser sa dette cyber ?
Par l’inventaire. Tant que vous n’avez pas la liste exacte de vos modules, comptes, sous-traitants et flux de données, toute action de remédiation est partielle. L’inventaire fait, la priorisation devient évidente, pilier par pilier.
La dette cyber impacte-t-elle vraiment mon référencement Google ?
Oui, sur plusieurs vecteurs. Un site signalé pour malware sort de l’index. Un certificat SSL expiré pénalise le ranking. Un site lent à cause de modules troués dégrade les Core Web Vitals. Une fuite de données peut entraîner une perte de backlinks de confiance. La cyber et le SEO sont liés.
Mon hébergeur s’occupe de tout, est-ce que j’ai vraiment une dette cyber ?
L’hébergeur sécurise l’infrastructure (serveurs, réseau, datacenter). Il ne sécurise ni votre CMS, ni vos modules, ni vos comptes admin, ni vos sauvegardes applicatives, ni votre conformité RGPD. La dette cyber est presque entièrement applicative et organisationnelle. C’est votre responsabilité, pas celle de l’hébergeur.
Reprendre la main sur votre indice
Mesurer sa dette cyber, c’est la première étape pour la traiter. Tant qu’on ne la pose pas pilier par pilier, elle reste un nuage anxiogène qu’on repousse. Une fois cartographiée, elle redevient un projet ordinaire : un point de départ, une trajectoire, des paliers à franchir.
Si vous voulez situer votre boutique sur les sept piliers de l’indice Zetruc, nous proposons un premier diagnostic qui vous remet une lecture claire de votre maturité actuelle et des chantiers à mener en priorité. C’est sans engagement, et c’est souvent le déclic qui transforme la dette cyber en projet pilotable. Échangeons sur votre boutique et faisons le point ensemble.
