Site web piraté : que faire maintenant en Belgique ?

Respirez un bon coup. Découvrir que votre site web a été piraté fait peur, mais vous pouvez régler le problème. Des milliers de petits entrepreneurs belges y sont confrontés chaque année, et la plupart reviennent en ligne en quelques jours. Ce qui compte maintenant, c'est d'agir vite et méthodiquement. En Belgique, deux horloges tournent en parallèle : la notification de violation de données à l'APD dans les 72 heures imposée par le RGPD, et les canaux de signalement pratiques (CERT.be, police) dont vous aurez besoin pour l'assurance et le suivi.

Ce guide vous accompagne étape par étape.

Les signes d'un site web piraté

Parfois c'est évident. Parfois c'est subtil. Voici les signaux d'alerte les plus courants.

Votre site redirige ailleurs. Les visiteurs cliquent sur votre URL et atterrissent sur un site de jeux d'argent, une page de spam pharmaceutique ou une page de phishing. C'est l'un des signes les plus clairs. Vous pourriez ne pas le remarquer vous-même, car certains malwares de redirection ne se déclenchent que pour les visiteurs venant de Google, pas pour ceux qui tapent l'URL directement.

Google affiche un avertissement. Les résultats de recherche montrent « Il est possible que ce site ait été piraté » ou « Ce site peut endommager votre ordinateur » sous votre référencement. Les navigateurs peuvent bloquer complètement l'accès avec un grand écran rouge.

Des fichiers ou du code inconnus sont apparus. Vous voyez des fichiers PHP que vous n'avez pas téléversés, du JavaScript injecté dans les fichiers de votre thème ou de nouvelles pages que vous n'avez jamais créées. Vérifiez votre gestionnaire de fichiers ou votre FTP et cherchez les fichiers récemment modifiés.

Votre mot de passe administrateur ne fonctionne plus. Si vous ne pouvez plus vous connecter à votre CMS et que vous n'avez pas changé le mot de passe, quelqu'un d'autre l'a probablement fait.

Vos clients se plaignent. Ils reçoivent du spam depuis votre adresse e-mail, voient des pop-ups sur votre site ou leur antivirus signale vos pages.

Votre hébergeur vous a envoyé un avertissement. Beaucoup d'hébergeurs scannent les malwares et vous notifient, voire suspendent votre compte, quand ils trouvent quelque chose.

Une activité serveur inhabituelle. Votre bande passante a explosé, votre site est soudainement lent ou votre serveur envoie des e-mails que vous n'avez pas autorisés.

Si l'un de ces signes vous parle, commencez par l'étape un ci-dessous.

Étape 1 : ne paniquez pas, mais documentez tout

Avant de changer quoi que ce soit, prenez des captures d'écran. Capturez la redirection, l'avertissement Google, les fichiers inconnus, le code étrange. Si cela s'avère être une violation de données, vous aurez besoin de preuves de ce qui s'est passé et du moment où vous l'avez découvert.

Ouvrez un fichier texte et commencez une chronologie. Notez :

• Quand vous avez remarqué le problème pour la première fois
• Quels symptômes vous avez observés
• Qui l'a signalé
• À quoi ressemble le site en ce moment

Cette documentation compte pour votre hébergeur, pour la procédure de réexamen de Google et potentiellement pour les autorités de protection des données.

Étape 2 : changez tous les mots de passe immédiatement

Tous, sans exception. N'en sautez aucun.

• Compte administrateur du CMS (WordPress, Joomla, Shopify, quel que soit votre outil)
• Panneau de contrôle de l'hébergement (cPanel, Plesk ou le tableau de bord de votre fournisseur)
• Comptes FTP et SFTP
• Mots de passe de base de données (MySQL, PostgreSQL)
• Comptes e-mail liés à votre domaine
• Toutes les clés API ou tokens utilisés par votre site web

Utilisez des mots de passe forts et uniques pour chacun. Au moins 16 caractères. Un gestionnaire de mots de passe rend cela gérable.

Si votre CMS prend en charge l'authentification à deux facteurs, activez-la tout de suite. Les utilisateurs de WordPress peuvent l'ajouter avec un plugin comme WP 2FA ou Wordfence. Cela seul aurait empêché de nombreuses attaques.

Vérifiez aussi la présence de comptes administrateurs que vous ne reconnaissez pas. Les attaquants créent souvent un nouvel utilisateur admin pour pouvoir revenir même après votre changement de mot de passe.

Étape 3 : contactez votre hébergeur

Appelez ou ouvrez un ticket de support. Dites-leur que votre site a été compromis. Les bons hébergeurs gèrent cela régulièrement et peuvent aider à :

• Identifier le moment de l'intrusion via les logs serveur
• Scanner les malwares de leur côté
• Fournir les logs d'accès montrant les connexions suspectes
• Restaurer depuis leur système de sauvegarde

Certains hébergeurs proposent la suppression de malware dans leur support. Renseignez-vous. Même s'il s'agit d'un service payant, cela peut être plus rapide que de le faire vous-même.

Étape 4 : mettez le site hors ligne s'il distribue des malwares

C'est une question de jugement. Si votre site piraté :

• Redirige les visiteurs vers des pages de phishing
• Distribue des téléchargements de malwares
• Envoie des e-mails de spam
• Affiche de fausses pages de connexion conçues pour voler des identifiants

Alors mettez-le hors ligne. Affichez une simple page de maintenance. Votre entreprise perd un peu de trafic, mais vous protégez vos visiteurs et votre réputation.

Si le piratage se limite à une défiguration ou à du spam SEO injecté dans des pages cachées, vous pouvez souvent garder le site en ligne pendant le nettoyage. Mais ne prenez pas ce risque en cas de doute.

Votre hébergeur peut vous aider à mettre en place une page de maintenance temporaire.

Étape 5 : vérifiez vos obligations de notification RGPD

Cette étape est facile à oublier dans le chaos, mais elle comporte des délais légaux.

En vertu de l'article 33 du RGPD, si des données personnelles ont été touchées par la violation, vous disposez de 72 heures à partir du moment où vous en avez pris connaissance pour notifier votre autorité de protection des données. Pas 72 heures ouvrables. 72 heures réelles.

Posez-vous la question : votre site web stockait-il des données personnelles auxquelles l'attaquant aurait pu accéder ?

• Soumissions de formulaires de contact avec noms, e-mails, numéros de téléphone
• Comptes clients avec adresses ou données de paiement
• Listes d'abonnés à la newsletter
• Historique de commandes ou de réservations

Si la réponse est oui, ou même « peut-être », vous devriez le notifier. La notification ne doit pas être complète d'emblée. Vous pouvez fournir des détails initiaux et compléter au fur et à mesure.

Trouvez votre autorité nationale de protection des données sur edpb.europa.eu. En Belgique, le régulateur est l'Autorité de protection des données (APD, en néerlandais Gegevensbeschermingsautoriteit ou GBA), qui publie le formulaire officiel de notification de violation.

Si des données personnelles ont été exposées et qu'il existe un risque élevé pour les personnes concernées, vous devez aussi les informer directement (article 34 du RGPD). Notre guide sur le RGPD et la sécurité des sites web explique les exigences complètes.

Étape 6 : signalez l'attaque aux autorités belges

La notification à l'APD couvre votre obligation de protection des données, mais la Belgique dispose de canaux distincts pour l'incident lui-même, et les utiliser vous aide aussi.

Signalez l'incident à CERT.be. CERT.be est l'équipe d'urgence nationale belge pour les incidents cyber, opérée par le Centre pour la Cybersécurité Belgique (CCB). Les entreprises peuvent y signaler des incidents. Ils suivent les campagnes actives et peuvent vous dire si votre piratage correspond à une vague connue visant les sites belges.

Déposez plainte à la police. Si de l'argent a été volé, si des clients ont été escroqués via votre site ou si vous avez reçu une demande d'extorsion, déposez plainte auprès de votre police locale. Les assureurs exigent presque toujours un procès-verbal officiel avant d'indemniser au titre d'une police cyber, alors déposez-la tôt, pas après le nettoyage.

Transférez les e-mails de phishing à Safeonweb. Si des attaquants envoient des e-mails de phishing qui usurpent l'identité de votre entreprise, le service Safeonweb du CCB les collecte à l'adresse suspicious@safeonweb.be afin que les liens malveillants soient signalés et bloqués plus rapidement.

Aucun de ces canaux ne remplace la notification à l'APD de l'étape 5. Ils fonctionnent en parallèle.

Étape 7 : scannez les malwares et les portes dérobées

Changer les mots de passe ne suffit pas. Les attaquants installent des portes dérobées pour pouvoir revenir même après le nettoyage du malware visible.

Pour les sites WordPress :

• Installez Wordfence ou Sucuri Security et lancez un scan complet
• Vérifiez les fichiers functions.php et header.php de votre thème à la recherche de code injecté
• Cherchez des fichiers PHP dans votre dossier wp-content/uploads (il ne devrait pas y en avoir)
• Passez en revue votre fichier .htaccess pour des règles de redirection que vous n'avez pas ajoutées
• Vérifiez wp-config.php pour des identifiants de base de données modifiés ou du code ajouté

Pour n'importe quel CMS :

• Comparez vos fichiers à une installation fraîche de la même version
• Cherchez les fichiers récemment modifiés (surtout dans les 30 derniers jours)
• Recherchez les motifs de porte dérobée courants : eval(), base64_decode(), gzinflate(), str_rot13()
• Vérifiez votre base de données pour du contenu injecté, surtout dans le contenu des articles et les zones de widgets

Outils de scan externes :

• Sucuri SiteCheck (scan en ligne gratuit)
• Vérification du statut Google Safe Browsing
• Le scanner intégré de votre hébergeur

Ne sautez pas la chasse aux portes dérobées. Si vous nettoyez le malware visible mais ratez une porte dérobée, vous serez de nouveau piraté en quelques jours.

Étape 8 : restaurez depuis une sauvegarde propre

Si vous avez une sauvegarde antérieure au piratage, la restaurer est souvent le chemin le plus rapide.

Mais soyez prudent. Vous devez savoir quand le piratage a eu lieu. Si l'attaquant est entré il y a trois semaines et que votre sauvegarde la plus ancienne date de deux semaines, cette sauvegarde est déjà infectée.

Renseignez-vous auprès de votre hébergeur sur la rétention des sauvegardes. Certains conservent 30 jours, d'autres seulement 7.

Après la restauration :

• Changez de nouveau tous les mots de passe (la sauvegarde contient les anciens)
• Mettez tout à jour immédiatement (la sauvegarde contient probablement la même vulnérabilité que l'attaquant a exploitée)
• Scannez le site restauré à la recherche de malwares, par précaution

Si vous n'avez pas de sauvegarde propre, vous devrez nettoyer l'infection manuellement ou engager quelqu'un pour le faire. C'est plus difficile mais pas impossible. Le scan de malware de l'étape 7 est votre point de départ.

Étape 9 : mettez à jour tous les logiciels

Les logiciels obsolètes sont la principale porte d'entrée des piratages de sites de petites entreprises. Après le nettoyage :

• Mettez à jour votre CMS vers la dernière version
• Mettez à jour chaque plugin et extension
• Mettez à jour votre thème
• Mettez à jour PHP vers une version supportée (8.2 ou plus récente)
• Supprimez les plugins et thèmes que vous n'utilisez pas (les plugins désactivés restent vulnérables)

Les sites WordPress sont particulièrement exposés aux plugins vulnérables. Si vous utilisez un plugin qui n'a pas été mis à jour depuis plus d'un an, remplacez-le ou supprimez-le.

Étape 10 : vérifiez Google Search Console

Si Google a signalé votre site, vous devez traiter le problème là-bas.

Connectez-vous à Google Search Console. Allez dans la section Sécurité et actions manuelles. Vous y verrez :

• Les problèmes de sécurité détectés par Google
• Des exemples d'URL ayant déclenché l'avertissement
• Le type de malware ou de piratage détecté

Ces informations vous aident aussi à comprendre ce que l'attaquant a fait. Si Google indique « injection de contenu », vous savez qu'il a modifié vos pages. S'il indique « injection d'URL », il a créé de nouvelles pages.

Corrigez chaque problème listé avant de demander un réexamen.

Étape 11 : demandez un réexamen à Google

Une fois que vous avez tout nettoyé et confirmé que le malware a disparu :

1. Allez dans Problèmes de sécurité dans Google Search Console
2. Cliquez sur « Demander un examen »
3. Décrivez ce qui s'est passé et ce que vous avez fait pour le corriger
4. Envoyez

Google examine généralement en quelques jours, même si cela peut prendre jusqu'à deux semaines. Pendant ce temps, l'avertissement peut encore apparaître dans les résultats de recherche.

Soyez honnête dans votre demande. Google rejette les descriptions vagues. Indiquez précisément quel type de malware vous avez trouvé, comment l'attaquant est entré et ce que vous avez fait pour éviter que cela se reproduise.

Ce qu'il ne faut PAS faire

Quelques erreurs courantes qui aggravent les choses.

Ne vous contentez pas de restaurer la page d'accueil. Si l'attaquant a modifié votre page d'accueil, il a presque certainement fait plus que cela. Les dégâts visibles sont ce qu'il voulait que vous voyiez. Les portes dérobées et les malwares cachés sont ce qu'il ne voulait pas que vous trouviez.

N'ignorez pas le problème en espérant qu'il disparaisse. Les piratages empirent avec le temps, ils ne s'améliorent pas. L'attaquant utilisera votre serveur pour plus de spam, injectera plus de malwares et vos positions Google s'effondreront. Votre hébergeur peut suspendre votre compte.

Ne payez pas de rançon. Certains attaquants laissent des messages exigeant un paiement. Rien ne garantit qu'ils répareront quoi que ce soit si vous payez, et vous vous signalerez comme quelqu'un de prêt à payer.

N'accusez pas votre concepteur web pour ensuite ne rien faire. Même s'il a construit un site mal sécurisé, le problème existe maintenant et doit être réglé maintenant. Réglez la question des responsabilités plus tard.

Ne réinstallez pas le même logiciel vulnérable. Si vous restaurez une sauvegarde sans tout mettre à jour, vous serez de nouveau piraté par la même vulnérabilité. Parfois en quelques heures.

Comment éviter que cela se reproduise

Une fois de retour en ligne avec un site propre, prenez ces mesures pour ne pas revenir à la case départ.

Maintenez tout à jour. Programmez un rappel mensuel pour vérifier les mises à jour du CMS, des plugins et du thème. Ou activez les mises à jour automatiques pour les versions mineures.

Utilisez partout des mots de passe forts et uniques. Procurez-vous un gestionnaire de mots de passe. Arrêtez de réutiliser les mêmes mots de passe entre services.

Activez l'authentification à deux facteurs sur chaque compte qui la prend en charge. Votre hébergement, l'admin du CMS, l'e-mail, le registraire de domaine.

Installez un plugin de sécurité. Pour WordPress, Wordfence ou Sucuri proposent des offres gratuites incluant un pare-feu, une protection des connexions et un scan de malwares.

Mettez en place des sauvegardes automatiques. Des sauvegardes quotidiennes avec au moins 30 jours de rétention. Stockez-les ailleurs que sur votre compte d'hébergement. Si votre hébergeur est compromis, vos sauvegardes sur le même serveur ne servent à rien.

Limitez les comptes administrateurs. Ne donnez l'accès admin qu'aux personnes qui en ont réellement besoin. Supprimez les comptes des anciens employés, freelances ou agences avec lesquels vous ne travaillez plus.

Vérifiez que votre site fonctionne entièrement en HTTPS. Un certificat valide et une configuration correcte protègent vos visiteurs et votre référencement. Notre guide sur la correction d'un site « non sécurisé » explique comment faire.

Surveillez votre site. Des scans réguliers détectent les problèmes avant qu'ils ne deviennent des crises. Vous pouvez lancer un scan de sécurité gratuit pour voir où en est votre site web dès maintenant.

FAQ

Dois-je signaler un piratage à l'autorité de protection des données ?

Uniquement si des données personnelles ont été touchées. Si votre site web stocke des soumissions de formulaires de contact, des comptes clients ou des données de commande, et que l'attaquant a pu accéder à ces données, alors oui. L'article 33 du RGPD vous donne 72 heures à partir du moment où vous en avez pris connaissance, et en Belgique vous déposez la notification via le formulaire en ligne de l'APD. En cas de doute, signalez. La sous-déclaration entraîne des amendes plus lourdes que la sur-déclaration.

Combien de temps faut-il pour se remettre d'un piratage de site web ?

Cela dépend de la gravité. Une simple injection de malware avec une sauvegarde propre disponible ? Vous pouvez être de retour en quelques heures. Une compromission profonde sans sauvegarde et avec des avertissements Google ? Cela peut prendre une à deux semaines. Le processus de réexamen de Google prend à lui seul plusieurs jours.

Mes positions Google reviendront-elles après un piratage ?

Généralement oui, mais cela prend du temps. Une fois que Google retire l'avertissement de sécurité, vos positions devraient commencer à revenir en quelques semaines. Plus l'avertissement reste affiché longtemps, plus la récupération est longue. Agir vite compte.

Puis-je nettoyer un site piraté moi-même ou ai-je besoin d'un professionnel ?

Pour une infection WordPress simple, la plupart des propriétaires de sites à l'aise techniquement peuvent s'en sortir avec un scan via un plugin de sécurité et une restauration de sauvegarde propre. Pour des attaques plus complexes impliquant des compromissions de base de données, plusieurs portes dérobées ou des sites sur mesure, envisagez un professionnel. Le coût d'un service de nettoyage de sécurité se situe généralement entre 200 € et 500 €.

Comment les pirates entrent-ils dans les sites de petites entreprises ?

Les voies les plus courantes : des plugins obsolètes avec des vulnérabilités connues, des mots de passe faibles, des identifiants FTP volés et des comptes d'hébergement compromis. Les plugins WordPress sont le point d'entrée numéro un. Maintenez-les à jour et supprimez ceux que vous n'utilisez pas activement. Notre guide sur les plugins WordPress vulnérables couvre les plus à risque.

Agissez maintenant

Si vous lisez ceci parce que votre site a été piraté, commencez par l'étape un et suivez la liste. Ne sautez aucune étape. Le processus de nettoyage compte autant que la récupération.

Si vous lisez ceci pour vous préparer, très bien. Lancez un scan de sécurité gratuit pour vérifier les vulnérabilités courantes de votre site web avant qu'un attaquant ne les trouve en premier.

Sources

• RGPD article 33 - Notification de violation (eur-lex.europa.eu)
• Loi du 30 juillet 2018 - Loi belge sur la protection des données (ejustice.just.fgov.be)
• APD - Procédure de notification de fuite de données (autoriteprotectiondonnees.be)
• Centre pour la Cybersécurité Belgique / CCB (ccb.belgium.be)
• Safeonweb (safeonweb.be)
• Directive NIS 2 (UE) 2022/2555 (eur-lex.europa.eu)
• Comité européen de la protection des données (edpb.europa.eu)

---

Ceci est une analyse technique, pas un avis juridique. Consultez un avocat pour un conseil juridique spécifique.