Combien coûte la sécurité d'un site web pour une TPE en 2026 ?

Spoiler : il n'y a pas de "bon" niveau. Il y a un niveau adapté à votre situation. L'objectif de cet article : vous aider à vous situer, sans qu'on vous pousse vers nous si ce n'est pas pertinent.

Le marché en 5 tranches de prix

Niveau 1 — Plugins gratuits (0 €/mois)

Outils : Wordfence free, Sucuri free scan, Defender free, MalCare free.

Ce que ça couvre : firewall basique en temps réel sur WordPress, scan ponctuel des fichiers, blocage des tentatives de connexion brute-force, alertes sur les grosses failles connues.

Ce que ça ne couvre pas : conformité RGPD, sauvegardes externes, sous-domaines exposés, code custom, suivi humain, alertes priorisées.

Pour qui : la majorité des sites WordPress qui n'ont rien aujourd'hui. Vraiment. Si votre site est un simple flyer numérique sans paiement ni leads ni données client, Wordfence free + sauvegardes hébergeur, c'est honnête.

Limite principale : tout repose sur vous. Wordfence vous notifie qu'il a bloqué quelque chose, c'est à vous de décider quoi faire. Si vous ne vous connectez jamais à l'admin, vous ne voyez pas les alertes.

Niveau 2 — Plugins payants / SaaS bas-de-gamme (5 à 30 €/mois)

Outils : Wordfence Premium (~10 €/mois), Patchstack Basic (~5 $/mois), Sucuri Basic (~17 $/mois), MalCare Pro.

Ce que ça couvre : firewall amélioré, scan plus fréquent, support email réactif, parfois virus removal en cas d'incident, signatures de sécurité mises à jour quotidiennement.

Ce que ça ne couvre pas : conformité RGPD, surveillance humaine, audit du code custom, audit pré-production des apps "vibe-codées".

Pour qui : sites WordPress avec un peu plus d'enjeu — petits e-commerces, sites pros avec génération de leads, blogs à fort trafic.

Limite principale : c'est de l'automatisation. Personne ne lit votre rapport. Si vous avez une question, vous ouvrez un ticket en anglais et vous attendez 48h.

Niveau 3 — Services humains (50 à 500 €/mois)

Outils : Kalisecu (49-390 €/mois), HTTPCS (79-349 €/mois), Sucuri Pro/Business (~25-50 $/mois avec virus removal humain).

Ce que ça couvre : firewall + audit humain régulier (une fois par mois minimum) + RGPD vérifié + ligne directe email/téléphone/WhatsApp + rapport pédagogique en français.

Ce que ça ne couvre pas : audit profond multi-jours par un consultant senior (cf. niveau 4).

Pour qui : TPE, PME, soloproneurs sérieux dont le site rapporte de l'argent ou héberge des données clients. Le sweet spot où vous ne pensez plus à la sécurité au quotidien.

C'est ici que se loge Kalisecu. Plus précisément à 49 €/mois en entrée (vérification mensuelle, alertes urgentes, espace personnel) jusqu'à 390 €/mois pour 5 sites avec ligne directe prioritaire.

Niveau 4 — Audit ponctuel professionnel (500 à 5 000 €)

Outils : Kalisecu Audit Expert (490 €), audits cabinets cybersec (1 500 à 5 000 €), bug bounty programs ponctuels.

Ce que ça couvre : examen approfondi multi-jours d'un site, rapport de 15 à 80 pages selon le niveau, plan d'action priorisé, parfois assistance à la remédiation.

Pour qui : besoin ponctuel — préparation d'une levée de fonds (due diligence), audit obligatoire imposé par un client ou un assureur, post-incident pour comprendre ce qui s'est passé, vérification avant un partenariat important.

Notre Audit Expert à 490 € est le format "lite" de cette tranche : examen manuel approfondi, rapport 15-20 pages, plan d'action en 5 niveaux d'urgence, 30 jours de questions illimitées par email, vérification de suivi à 30 jours offerte. Pour un cabinet à 3 000-5 000 €, vous avez un livrable plus exhaustif (80-150 pages) mais beaucoup le trouvent illisible et ne l'implémentent jamais.

Niveau 5 — RSSI in-house, pentests trimestriels (5 000 à 50 000 €/an+)

Outils : RSSI consultant à 60-80k€/an, cabinets cybersécurité en récurrent, programmes de pentests trimestriels, Validix pour la version française mid-market.

Ce que ça couvre : surveillance continue par une équipe dédiée, pentests réguliers, conformité ISO 27001 / SOC 2, accompagnement RSSI au quotidien, gestion des incidents 24/7.

Pour qui : ETI, scale-ups, grands groupes, secteurs réglementés (santé, finance, défense), entreprises avec données très sensibles ou contraintes assureurs fortes.

Pas pour vous si vous lisez cet article. Vraiment. Si votre situation justifie le niveau 5, vous avez probablement déjà un DAF/DSI qui s'en occupe.

Comment savoir à quel niveau vous êtes ?

Posez-vous ces 5 questions, honnêtement :

1. Combien vous coûterait une journée de site down ? Moins de 100 € → niveau 1-2 OK. Entre 100 et 1000 € → niveau 3. Plus de 1000 € → niveau 3 ou 4.
2. Stockez-vous des données clients (formulaires, comptes, paiements) ? Si oui, niveau 3 minimum pour la conformité RGPD.
3. Avez-vous un dev disponible 30 min/mois pour les MAJ et la veille ? Si oui, niveau 1-2 + DIY peut suffire. Si non, niveau 3.
4. Avez-vous déjà eu un incident (piratage, défacement, mise en spam, mise sur liste noire Google) ? Si oui, vous avez sous-investi avant. Niveau 3 minimum.
5. Avez-vous une obligation réglementaire (assureur cyber, client qui exige un audit, certification) ? Si oui, niveau 4-5 ponctuel ou récurrent selon la cadence demandée.

Le coût caché du DIY (niveau 1-2)

Beaucoup de sites au niveau 1-2 ne réalisent pas le temps qu'ils investissent réellement :

• 30 min/mois pour les mises à jour
• 1h/trimestre pour vérifier les sauvegardes
• 30 min/mois pour lire les alertes Wordfence et décider si c'est sérieux
• 2h/an pour faire le ménage des plugins et thèmes
• 3-5h en cas d'incident mineur

Total : 10 à 15 heures par an. Au taux horaire d'un dirigeant français (50-80 €/h), ça représente 500-1 200 € de temps mort. Et c'est du temps fragmenté, qui interrompt votre vrai travail.

Le niveau 3 = vous ne pensez plus à la sécurité. C'est la principale valeur, plus que la sécurité elle-même.

Le coût caché du sur-dimensionnement (niveau 4-5 inutile)

À l'inverse, beaucoup de TPE achètent un audit RSSI à 3 000 € parce que "il faut faire les choses sérieusement", mais :

• Le rapport fait 100 pages illisibles pour un dirigeant non-tech
• Aucune action n'est prise après — le rapport finit dans un tiroir
• L'audit n'est pas renouvelé l'année suivante
• L'argent aurait été mieux investi en surveillance continue (niveau 3) sur 3-5 ans

Sauf obligation explicite (assureur, client, certification), un audit ponctuel à 3 000 € est rarement le bon choix pour une TPE. Notre Audit Expert à 490 € existe précisément pour offrir le format "actionnable par un non-tech" sans le coût RSSI.

Le sweet spot 49 €/mois — d'où ça vient ?

On a fixé Veille à 49 €/mois = 588 €/an. Pour un dirigeant TPE, c'est l'équivalent d'environ 7 heures de dev senior, ou 8-10 heures de votre propre temps si vous ne vouliez pas DIY.

Plus largement, c'est le seuil où le rapport "je ne pense plus au sujet" devient évident. En dessous, l'effort cognitif (DIY ou suivi de plugin automatisé) reste votre charge. Au-dessus, on bascule dans des services Surveillance/Pilotage où on ajoute la ligne directe humaine.

Questions fréquentes

Wordfence gratuit suffit-il pour une TPE ?

Pour beaucoup de petits sites vitrines sans données sensibles ni transactions, oui — vraiment. Wordfence gratuit bloque l'essentiel des attaques automatisées sur WordPress. Mais il ne vérifie pas la conformité RGPD, ne teste pas vos sauvegardes, et ne lit pas le code custom de votre site. C'est un firewall, pas un audit.

Pourquoi un audit RSSI coûte 5 000 € ?

Un audit cabinet RSSI demande 5 à 10 jours de consultant senior à 800-1500 €/jour. Le rapport fait 80-150 pages, couvre l'infrastructure complète, et passe par des certifications. C'est adapté à un grand groupe ou une scale-up qui a une obligation réglementaire. Pour une TPE/PME avec un site WordPress, c'est surdimensionné — et souvent jamais implémenté car illisible.

À partir de quel chiffre d'affaires faut-il payer pour la sécurité ?

Pas une question de chiffre d'affaires, plutôt de risque. Si une journée de site down coûte plus de 100 € à votre activité, ou si vous traitez des données clients (formulaires, comptes, paiements), c'est probablement le moment de passer au niveau 3 (services humains à 49-150 €/mois). Si votre site est un simple flyer numérique sans enjeu, le niveau 1 (gratuit) peut suffire indéfiniment.

Pourquoi 49 €/mois et pas 9 €/mois ?

À 9 €/mois on peut faire un firewall automatisé (c'est ce que font Patchstack ou Wordfence Premium, et ils le font bien). On ne peut pas faire d'examen humain mensuel d'un site, ni avoir une ligne directe email avec un humain qui répond en français. Notre niveau 3 inclut une personne qui regarde votre rapport, ce qui change la nature du service. Si vous voulez juste un firewall automatisé, prenez Wordfence Premium à ~10 €/mois — vraiment, pas de problème, c'est un excellent produit.

Comment justifier le coût face au comptable ?

Veille à 49 €/mois = 588 €/an. Le coût moyen d'un piratage TPE en France oscille entre 1 500 et 8 000 € (remise en état par un dev en urgence à 600-1200 €/jour, perte de leads pendant le downtime, mise sur liste noire Google qui peut durer des mois, sanction CNIL éventuelle). Le calcul est simple : un piratage tous les 5 ans = ROI positif sur l'abonnement. Plus le coût caché du temps perdu en gestion DIY (40-80 €/h × 5h/mois).

Et si je veux juste savoir où j'en suis ?

C'est exactement à ça que sert notre offre Découverte à 149 €. Audit complet ponctuel, rapport pédagogique sous 48h, appel de 20 min pour expliquer en français normal. Sans engagement. Si vous décidez de basculer en abonnement annuel ensuite, on déduit les 149 € de votre première facture.

Une question sur cet article ? Écrivez à bonjour@kalisecu.fr. Réponse personnelle en moins de 48h ouvrées, en français.