Votre site web est encore plus attaqué à l’ère de l’IA : comment se protéger ?
Votre site est peut être attaqué en ce moment. Vous ne voyez rien. Tout se fait discrètement et de façon automatique.
Vous, vous assurez la communication de votre structure : vous pilotez le site internet, les campagnes, les contenus, la création des supports. Donc dans votre esprit, la sécurité du site web, c'est plutôt dans le giron de votre DSI. Ou dans le giron de personne si vous n'avez aucun interlocuteur technique en interne. Bref : il est rare que la cyber sécurité soit la tasse de thé des équipes communication. Pourtant, il est crucial de comprendre ce qui se passe aujourd'hui afin d'anticiper. Car lors de votre prochaine attaque, que vous vous soyez intéressé au sujet ou non, vous serez en première ligne.
Car le paysage a changé. Avec l'IA, les attaque sont devenues encore plus automatisées, massives et ciblées. Et ce, quelle que soit la taille et la notoriété de votre organisation, comme nous le disait Yves Duchesne, CEO de Acceis dans cette interview : "Il ne faut pas te sentir à l'abri parce que ton site est peu visité". Petit florilège de ce qui peut se passer : un formulaire de contact détourné pour spammer vos utilisateurs, une page infectée qui plombe votre référencement naturel, une injection de contenu sur vos pages, un vol de données clients et une obligation RGPD à gérer en urgence. Ou tout simplement un site hors ligne, en bonus le vendredi soir ou un 14 juillet quand personne n'est là pour intervenir.
Tous ces risques existent depuis longtemps. Et l'IA les a industrialisés.
Il est temps que les équipes communication comprennent à quoi elles sont exposées pour faire les bons choix : depuis la rédaction de leur cahier des charges lors de créations de sites internet jusqu'à l'amélioration continue de leurs outils en ligne.
Ce que l'IA a vraiment changé sur la cyber sécurité
Une seule réponse : le volume.
Les attaques automatisées se font à grande échelle : des bots IA testent des milliers de failles en quelques minutes, sans intervention humaine.
Quelques chiffres partagés par Thales dans son BadBot Report 2026 nous aident à mesurer l'ampleur du problème :
- Les attaques de bots basées sur l'IA ont été multipliées par 12,5 en 2025 par rapport à l'année précédente.
- Les bots représentaient plus de 53% de l'ensemble du trafic web en 2025, et 40% de ces bots sont classés comme malveillants.
- 27% des attaques de bots visent désormais les API

Les vraies conséquences pour les équipes communication
Dégrader votre référencement naturel (SEO)
Une compromission peut effacer des mois de travail de référencement. Concrètement, comment des attaques boostées à l'IA peuvent-elles affecter votre SEO ? Différentes techniques sont utilisées par les hackers.
L'injection de contenu
Des bots peuvent accéder à votre CMS via des failles et insèrent des pages ou des liens cachés permettant de pointer vers des sites externes : sites de jeux, de pharmacie, de phishing, etc. Lorsque Google indexe ces pages, votre site se retrouve associé à des contenus frauduleux, la cohérence sémantique de votre site disparait. Et vous vous êtes pénalisé. Le pire, c'est que votre contenu existant n'est pas altéré : votre site continue de fonctionner normalement, vous ne constatez pas de changement.
Le redirect hacking
Avec cette attaque, le bot modifie des pages existantes pour qu'elles redirigent vers un autre site. L'utilisateur qui clique sur votre page depuis une recherche Google atterrit ailleurs. Lorsque Google le détecte, il désindexe votre page (que vous aviez mis du temps à optimiser pour le SEO).
Le scraping massif
Cette attaque permet d'aspirer et de republier vos contenus à grande échelle. Google peut alors considérer que vous n'êtes plus la source originale. Et comme il pénalise le contenu dupliqué (duplicate content), vous perdez des places dans les résultats de recherche.
La surcharge du serveur (DDoS)
Une attaque peut saturer votre serveur et rendre votre site lent ou indisponible. Etant donné que Google valorise les sites rapides et leur disponibilité, votre site va commencer à perdre des positions s'il rame.
La création de faux backlinks
Des bots peuvent générer des liens sur des sites externes toxiques, qui pointent vers votre site. Cela peut déclencher une pénalité par Google.
Nuire à votre réputation
Votre site peut être détourné ou défacé. Quelle est la différence ?
- Le site détourné est une attaque discrète. Le bot redirige votre trafic, injecte des liens ou collecte des données. Tout parait normal, mais votre site est compromis. Et quand ça se sait, ce n'est pas terrible pour votre marque.
- Le site défacé est une attaque visible. En effet, le hacker (ou son bot) remplace par exemple votre page d'accueil par un message ou une image militant. C'est comme si quelqu'un venait taguer la façade de vos bureaux pendant la nuit. L'intention peut être idéologique ou politique, mais aussi démonstratrice : le hacker est simplement content de montrer qu'il a réussi son coup. Et bien sûr, c'est votre marque qui trinque.
Vous exposer à des sanctions
Vos formulaire collectent des données : vous êtes donc responsable de leur protection au titre du RGPD. Si vos données sont volées lors d'une attaque vous avez deux obligations :
- Notifier la CNIL sous 72h après avoir détecté la violation
- Notifier les personnes concernées si ce vol de données peut engendrer un risque élevé pour elles (usurpation d'identité, données sensibles comme des données de santé, etc.)
Que risquez vous concrètement ? Voici ce que dit la CNIL :
- Jusqu'à 10 millions d'euros ou 2% de votre chiffre d'affaires pour manquement aux obligations de sécurité. En gros, si vous n'aviez pas mis en place de mesures techniques adaptées pour protéger votre site Internet
- Jusqu'à 20 millions d'euros ou 4% de votre CA dans le cas de vol de données sensibles ou si vous refusez de coopérer avec la CNIL
Dans les faits, une PME ou une ETI fait face à des sanctions moins élevées : mais ces sanctions sont rendues publiques dans tous les cas. Ce qui peut être dommageable pour votre image.
Perdre en productivité
Gérer une crise cyber, c'est du stress et du temps. Ceux qui savent, savent. En effet, il faut gérer de multiples sujets de front : prendre des décisions dans l'urgence (par exemple mettre son site hors ligne pour arrêter l'hémorragie), investiguer, communiquer auprès de ses clients, collaborateurs et parties prenantes, et parfois communiquer auprès de la CNIL. Ces échanges sont nombreux et prennent souvent le pas sur toutes vos autres tâches.
Interrompre d'autres actions de communication
Si votre site est indisponible pendant une campagne, vous allez devoir l'interrompre. Si vous étiez mobilisé sur la préparation d'un événement, il se peut qu'il soit dépriorisé afin que vous puissiez vous concentrer sur votre gestion de crise cyber. On a toujours mieux à faire que de gérer ce type d'imprévu.
Payer plus cher la réparation que la prévention (et en urgence)
En fonction de la gravité, vous pouvez être amenés à faire appel à une entreprise cyber sécurité : c'est ce type d'expertise dont vous avez besoin pour comprendre d'où vient le hack, et mettre en place un plan d'action adapté pour interrompre l'attaque, nettoyer le site, puis lui ajouter une couche de sécurité supplémentaire afin de sécuriser l'avenir. Ces entreprises peuvent intervenir tous les jours de l'année et en urgence. Et forcément, ça a un coût.

Les solutions à mettre en place
La base : HTTPS, mises à jour régulières et double authentification pour la connexion au back office
Il est impératif d'avoir un certificat SSL sur votre site. D'un point de vue utilisateur, c'est une URL qui commence par https.
Par ailleurs, les mises à jour sur le cœur de votre CMS ou Framework et sur les plugins ou packages qui y sont installés sont cruciales. Des failles sont fréquemment détectées, puis patchées via des mises à jour. Chez Concept Image, nous disposons d'un outil de monitoring permettant de détecter sur tous nos sites si des mises à jour sont disponibles. Nous les poussons tout au long de l'année, afin que les sites de nos clients restent à l'état de l'art, bien sécurisés.
Enfin, il est important de se doter d'une authentification à double facteurs pour la connexion à votre back office. Oui, c'est un peu plus pénible pour vous et votre équipe de contributeurs, mais nous y sommes de plus en plus habitués. Saisir son identifiant et son mot de passe, puis un code reçu par SMS, ça devient la routine. Et c'est un effort raisonnable pour ajouter une vraie couche de sécurité sur votre site internet. Car les bots testent des milliers de combinaisons identifiant / mot de passe en quelques minutes. Et si votre mot de passe est compromis (par exemple suite à un phishing), l'accès à votre back-office est ouvert. L'obstacle du code reçu par SMS ou sur une application type authenticator bloque la majorité des attaques automatisées.
Le WAF : un pare-feu dédié au site
Le WAF est un Web Application Firewall : il se situe entre l'utilisateur et votre serveur, et il filtre les requêtes malveillantes avant qu'elles atteignent votre site. Comment peut il détecter si un visiteur est bien ou mal intentionné ? Chaque fois qu'un utilisateur visite votre site, son navigateur envoie une requête HTTP au serveur : "affiche moi cette page", "voici ce que j'ai rempli dans ce formulaire", etc. Le WAF intercepte ces requêtes avant qu'elles n'arrivent au site. Il cherche des comportements caractéristiques d'attaques connues : une IP qui envoie des milliers de requêtes par seconde, une tentative d'injection de code dans la soumission d'un formulaire, etc. En revanche, le WAF ne ralentit pas le trafic pour les vrais visiteurs. En somme, c'est comme si vous aviez un vigile à l'entrée de votre site (et vos clients ne sont pas obligés de faire la queue pour rentrer dans vos locaux).
La protection anti-bot et la CAPTCHA intelligent
Certains plugins analysent le trafic sur votre site internet et détectent des comportement suspects ou bloquent des IP malveillantes. A l'agence, nous sélectionnons un plugin de protection sérieux (c'est à dire fréquemment mis à jour lui aussi), que nous installons sur votre site.
Par ailleurs, il faut désormais mettre en place des CAPTCHA intelligents. En effet, les IA sont maintenant capables de résoudre des problèmes du type "recopiez ce texte déformé" ou "comptez le nombre de motos sur la photo". Ces CAPTCHA intelligents (comme reCAPTCHA v3 de Google) sont invisibles et analysent en arrière plan le comportement de l'utilisateur.
Avec ces deux solutions, qui sont à combiner, l'utilisateur lambda ne s'aperçoit de rien. Le bot, lui, finit par être bloqué.

Le CDN sécurisé
Un CDN (Content Delivery Network) est un réseau de serveurs répartis dans le monde. Au lieu d'un hébergement sur un seul lieu (par exemple en France), votre contenu est dupliqué des dizaines de serveurs partout dans le monde. Résultat : chaque visiteur charge le site depuis le serveur le plus proche de lui, ce qui donne un site plus rapide et mieux référencé. Pourquoi c'est intéressant au niveau sécurité, en plus du SEO ?
- C'est efficient contre les attaques DDos. En effet, ce type d'attaque vise à saturer votre serveur avec des milliers de requêtes simultanées pour le faire tomber. Avec un CDN, l'attaque frappe l'ensemble du réseau distribué, qui a une capacité d'absorption énorme. Votre site reste en ligne.
- L'adresse IP de votre serveur est masquée derrière celle du CDN. Difficile d'attaquer un serveur qu'on ne parvient pas à localiser.
- Des fournisseurs de CDN comme Cloudflare ont intégré des fonctions anti-bots dans leur CDN.
Les sauvegardes régulières
En cyber sécurité, le risque zéro n'existe pas. Il est donc prudent de se doter de sauvegardes fréquentes de son site. Car en cas d'attaque majeure, grâce à une sauvegarde :
- Vous ne perdez pas tout le contenu éditorial que vous avez mis des semaines, des mois, des années... à construire
- Vous conservez toutes les données utilisateurs qui y figurent : formulaires de contact, candidatures, commandes, etc.
- Vous pouvez supprimer votre site actuel si vous jugez qu'il est compromis, pour remettre en ligne une version "propre" datant d'avant l'attaque
Le monitoring et les alertes
En premier niveau, nous pouvons installer un plugin qui fait du monitoring interne au site. Il détecte par exemple des actions sensibles d'utilisateurs (mise à jour de mots de passe, modification d'adresses email) et bannit des IP jugées malveillantes.
On peut y ajouter une surveillance externe comme le proposent Sucuri SiteCheck ou Uptime Robot. Car en cas d'attaque approfondie, même le plugin de premier niveau peut être supprimé.
Les logs
Les logs, c'est l'historique complet de tout ce qui s'est passé sur votre site : chaque visite, chaque requête... tout est horodaté à la seconde. Les logs sont précieux :
- Avant une attaque. En effet, ils permettent de détecter des signaux faibles : un pic de requêtes anormal à 3h du matin, des tentatives de connexion répétées au back-office, etc. Encore faut il avoir un œil dessus.
- Pendant une attaque. Les logs permettent de comprendre ce qui se passe en temps réel. C'est l'information clé demandée par tout expert en cyber sécurité qui intervient sur un hack.
- Après une attaque. Les logs permettent de reconstituer ce qui s'est passé. On sait alors exactement quand l'attaque a démarré (et on peut donc ressortir une sauvegarde antérieure), ce qui a été touché, et ce qui doit être corrigé précisément pour sécuriser l'avenir. C'est indispensable pour votre expert en cyber, comme pour la CNIL, qui requiert ce type d'information.
Pour des clients ayant des enjeux fort de sécurité, nous recommandons une durée importante de stockage des logs. Cela prend de l'espace, et ça représente donc un budget complémentaire à l'année. Mais c'est précieux en cas d'attaque, car certains hacks sont volontairement discrets pendant un certain temps, afin qu'on ne puisse pas remonter leur trace.
Comment convaincre en interne ?
Pour les passionnés de cyber, et pour votre DSI et votre RSSI préférés, la sécurité est un sujet passionnant. Mais quand on est responsable marketing et communication, c'est rarement le sujet le plus enthousiasmant. Quand il n'y a pas de problème, la sécurité représente un coût, et on ne la voit pas. Et quand vous vous faites hacker, vous êtes dos au mur : des budgets imprévus à dépenser, des projets à déprioriser, et une perte massive de temps, de valeur (si vous perdez des données) et même de réputation. Sans compter le stress et la communication de crise qui vont avec.

Pourtant, le raisonnement est simple. Vous consacrez des milliers d'euros à créer votre site, à l'alimenter en contenus, à l'optimiser pour le SEO et le GEO. Plutôt que de voir la sécurité comme un budget en plus, on peut la voir comme le budget qui protège tous les autres budgets.
Par ailleurs, si on compare le coût des différentes couches de sécurité par an à une intervention de gestion de crise cyber, la prévention est vite rentabilisée. Entre le temps que vous passez à gérer la crise, le coût d'un expert cyber en urgence, et la mobilisation de votre agence web, les journées facturées peuvent vite s'enchainer. Sans compter les dégâts SEO que vous mettez parfois des mois à rattraper.
Sécuriser votre site web, c'est assurer la continuité de votre activité et de votre communication. Et ça fait bien partie des missions des équipes communication.
Faites le plein d'idées et de motivation
Boostez votre communication avec nos webinaires, podcasts, replays et articles de blog De la Com et des Chouquettes. On vous les expédie directement dans votre boite email une fois par mois.
S’inscrire à la newsletter