Maintenance et securite d un site web au Senegal : sauvegardes, SSL, pare-feu et plan de reprise

Mettre un site en ligne est un debut, pas une fin. Le jour ou il est livre, un site web devient une infrastructure vivante exposee a internet entier : robots qui scannent les failles, tentatives de connexion par force brute, plugins qui vieillissent, certificats qui expirent, serveurs qui saturent. Au Senegal, ou de plus en plus de PME dependent de leur site pour generer des contacts et vendre, une interruption ou un piratage ne sont pas des incidents techniques abstraits : ce sont des journees de chiffre d affaires perdues et une confiance abimee.

La bonne nouvelle est que la securite et la maintenance ne sont pas une affaire de chance. Ce sont des disciplines avec des regles claires, des cadences a respecter et des outils qui ont fait leurs preuves. Cet article detaille ce qu un proprietaire de site senegalais doit comprendre et exiger, que la maintenance soit faite en interne ou confiee a un prestataire.

Pourquoi la maintenance n est pas optionnelle

Un site abandonne se degrade silencieusement. Les bibliotheques logicielles qui le composent recoivent regulierement des correctifs de securite ; ne pas les appliquer revient a laisser des portes ouvertes. Les statistiques mondiales sont sans appel : la grande majorite des sites compromis l ont ete via une vulnerabilite connue et deja corrigee, mais non installee.

Au-dela de la securite pure, la maintenance protege la performance (un site qui ralentit perd des visiteurs), la compatibilite (les navigateurs evoluent) et le referencement (Google penalise les sites lents, piratees ou marques "non securises").

Le cout reel d une negligence

Un site e-commerce dakarois en panne un samedi apres-midi, c est le pic de trafic perdu. Un site vitrine pirate qui redirige vers un site de spam, c est une marque associee a une arnaque dans l esprit des clients et un signal negatif envoye a Google. La remise en etat coute souvent dix fois plus cher que la maintenance preventive qui l aurait evitee.

Les sauvegardes : votre filet de securite

Aucune mesure de securite n est infaillible. La sauvegarde est ce qui vous permet de revenir en arriere quand tout le reste a echoue : piratage, mauvaise manipulation, mise a jour qui casse le site, panne serveur.

La cadence recommandee

Une regle simple et robuste, dite 3-2-1 : trois copies des donnees, sur deux supports differents, dont une hors site. Concretement pour un site senegalais :

• Sauvegarde quotidienne des fichiers et de la base de donnees pour un site actif (e-commerce, site qui publie souvent).
• Sauvegarde hebdomadaire au minimum pour un site vitrine stable.
• Conservation d au moins trente jours d historique, pour pouvoir remonter avant qu un probleme passe inapercu ne soit detecte.
• Stockage hors site : la sauvegarde ne doit jamais vivre uniquement sur le meme serveur que le site. Un service cloud (objet S3 compatible, espace dedie) garantit qu une panne serveur ne detruit pas a la fois le site et son filet.

Tester les restaurations

Une sauvegarde jamais testee est une sauvegarde dont on ignore la valeur. Au moins une fois par trimestre, il faut restaurer une sauvegarde sur un environnement de test et verifier que le site repart reellement. C est l etape que tout le monde oublie et celle qui sauve les entreprises le jour J.

SSL/HTTPS : le minimum non negociable

Le HTTPS chiffre les echanges entre le visiteur et le serveur. Sans lui, mots de passe, formulaires et donnees de paiement transitent en clair. Les navigateurs affichent desormais un avertissement "Non securise" sur les sites en HTTP simple, ce qui fait fuir les visiteurs et detruit la credibilite.

Obtenir un certificat SSL est aujourd hui gratuit via Let s Encrypt, avec renouvellement automatique tous les quatre-vingt-dix jours. Les points de vigilance :

• Renouvellement automatique configure et surveille : un certificat expire affiche une page d erreur rouge effrayante.
• Redirection forcee de HTTP vers HTTPS, pour qu aucune version non chiffree ne reste accessible.
• HSTS (HTTP Strict Transport Security) pour forcer les navigateurs a toujours utiliser HTTPS.

Le pare-feu applicatif (WAF)

Un pare-feu applicatif web filtre le trafic avant qu il n atteigne votre site, bloquant les attaques connues : injections SQL, scripts malveillants (XSS), tentatives d exploitation de failles. Des services comme Cloudflare proposent un WAF qui agit aussi comme reseau de distribution de contenu (CDN), ce qui ameliore en prime la vitesse, un atout decisif pour un public sur 3G.

Limiter et durcir les acces

Le WAF ne suffit pas seul. Il faut aussi :

• Limiter les tentatives de connexion (rate limiting) pour bloquer la force brute sur la page d administration.
• Authentification a deux facteurs sur tous les comptes administrateurs.
• Masquer ou renommer les pages d administration par defaut, qui sont les premieres ciblees par les robots.
• Principe du moindre privilege : chaque utilisateur recoit uniquement les droits dont il a besoin.

Hygiene des mises a jour

Les mises a jour corrigent les failles mais peuvent aussi casser le site. La discipline consiste a :

• Tester d abord sur un environnement de preproduction (staging), jamais directement en production.
• Sauvegarder avant chaque mise a jour majeure.
• Mettre a jour rapidement les correctifs de securite critiques, sans attendre.
• Surveiller le site apres chaque mise a jour pour detecter une regression.

Pour un site sur mesure (comme ceux que nous developpons sous Next.js), la logique est la meme appliquee aux dependances : un audit regulier des paquets et l application des correctifs de securite.

Surveillance : detecter avant que le client ne le fasse

Le pire scenario est d apprendre que son site est en panne par un client mecontent. La surveillance de disponibilite (uptime monitoring) verifie le site toutes les minutes et alerte par e-mail ou WhatsApp en cas de panne. On y ajoute :

• Surveillance des performances : alerte si le site ralentit anormalement.
• Surveillance de securite : scan regulier a la recherche de code malveillant injecte.
• Surveillance du certificat SSL : alerte avant expiration.

Le plan de reprise d activite

Que se passe-t-il concretement le jour ou le site tombe ou est pirate ? Un plan de reprise ecrit repond a cette question avant la panique. Il precise : qui est responsable, comment isoler le site compromis, comment restaurer la derniere sauvegarde saine, comment communiquer avec les clients, et combien de temps la remise en service doit prendre (objectif de temps de reprise).

Mini cas client : la boutique Teranga Decor

Teranga Decor, une boutique de mobilier basee a Dakar, nous a contactes apres avoir vu son site WordPress redirige vers un site de paris en ligne, victime d un plugin non mis a jour depuis dix-huit mois. Sans sauvegarde recente, la remise en etat a pris cinq jours et coute cher. Apres restauration, nous avons mis en place un contrat de maintenance : sauvegardes quotidiennes hors site, WAF Cloudflare, mises a jour testees en staging, et surveillance avec alerte WhatsApp. En neuf mois, zero incident, et le temps de chargement a baisse de quarante pour cent grace au CDN. Le cout mensuel de la maintenance representait moins que ce qu une seule journee de panne leur avait coute.

Le contrat de maintenance et les couts en FCFA

Un contrat de maintenance professionnel couvre generalement : sauvegardes et leur supervision, mises a jour de securite, surveillance, certificat SSL, corrections de bugs mineurs, et un volume d heures pour de petites modifications. Les fourchettes observees au Senegal :

• Site vitrine simple : maintenance de base a partir de 25 000 a 50 000 FCFA par mois.
• Site avec contenu actif ou e-commerce : 75 000 a 200 000 FCFA par mois selon le trafic et la criticite.
• Plateforme sur mesure : sur devis, en fonction de la complexite et des engagements de disponibilite.

Ces montants sont a comparer non pas a zero, mais au cout d une panne ou d un piratage. La maintenance est une assurance, pas une depense superflue.

FAQ

A quelle frequence faut-il sauvegarder mon site ?

Quotidiennement pour un site actif ou e-commerce, hebdomadairement au minimum pour un site vitrine stable. Toujours avec une copie hors site et un historique d au moins trente jours.

Le SSL gratuit Let s Encrypt est-il fiable pour un site professionnel ?

Oui, il offre le meme niveau de chiffrement que les certificats payants. La difference des certificats payants concerne surtout la garantie et la validation etendue, rarement necessaires pour une PME.

Mon hebergeur fait deja des sauvegardes, est-ce suffisant ?

Pas toujours. Verifiez la cadence, la duree de conservation et surtout si la sauvegarde est stockee hors du serveur principal. Une sauvegarde sur le meme serveur disparait avec lui en cas de panne grave.

Combien coute la maintenance d un site au Senegal ?

De 25 000 a 50 000 FCFA par mois pour un site vitrine, 75 000 a 200 000 FCFA pour un site actif ou e-commerce. Comparez ce cout a une seule journee de panne pour en mesurer la valeur.

Que faire si mon site est deja pirate ?

Isolez-le, ne payez aucune rancon, restaurez la derniere sauvegarde saine, changez tous les mots de passe, mettez tout a jour, puis mettez en place une surveillance. Faites-vous accompagner si vous n etes pas sur de l ampleur de la compromission.

Discutons de votre projet. Securisez et fiabilisez votre site avec un contrat de maintenance adapte a votre activite au Senegal. WhatsApp +221 77 596 93 33.