← Retour au blog Sécurité

Les En-tetes de Securite HTTP que Votre Site Web N'a Pas

Envestis Team 17 min de lecture

Il existe un test gratuit que vous pouvez effectuer immediatement sur votre site web d'entreprise. Allez sur securityheaders.com, entrez votre domaine et cliquez sur scan. Vous obtiendrez une note de A+ a F. Si votre site a ete construit par une agence web typique au Tessin, vous verrez un F. Peut-etre un D si vous avez de la chance.

Ce F signifie que votre site web manque d'en-tetes de securite HTTP que chaque site devrait avoir. Ces en-tetes sont des instructions de votre serveur web au navigateur du visiteur. Sans eux, le navigateur fonctionne avec des parametres par defaut qui laissent votre site et vos visiteurs vulnerables.

Content-Security-Policy (CSP)

CSP est l'en-tete de securite le plus puissant. Il indique au navigateur exactement quelles sources de contenu sont autorisees sur votre page. Il previent le Cross-Site Scripting (XSS) en empechant l'execution de scripts non autorises.

Pourquoi les Agences ne l'Implementent Pas

CSP necessite de comprendre exactement ce que votre site charge et d'ou. Chaque service tiers doit etre explicitement autorise. Si la politique est incorrecte, les choses cassent. Les agences preferent l'eviter.

Point de Depart : Mode Report-Only

Commencez avec Content-Security-Policy-Report-Only qui n'applique rien mais journalise les violations.

Strict-Transport-Security (HSTS)

HSTS dit au navigateur : "Toujours utiliser HTTPS." Cela previent les attaques de type SSL stripping sur les reseaux WiFi publics.

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

En savoir plus dans notre article sur les certificats SSL et ce qu'ils protegent reellement.

X-Frame-Options

Previent le clickjacking en empechant votre site d'etre integre dans un iframe sur un autre site.

X-Frame-Options: DENY

X-Content-Type-Options

X-Content-Type-Options: nosniff

Empeche le navigateur de deviner le type de contenu d'un fichier, ce qui peut etre exploite pour executer du code.

Referrer-Policy

Referrer-Policy: strict-origin-when-cross-origin

Controle les informations de provenance envoyees lors de la navigation vers d'autres sites.

Permissions-Policy

Permissions-Policy: camera=(), microphone=(), geolocation=(), payment=()

Desactive les fonctionnalites du navigateur dont votre site n'a pas besoin.

Ce Que Signifie Votre Note

NoteSignification
A+Tous les en-tetes recommandes presents et correctement configures.
ALa plupart des en-tetes presents.
B-CCertains en-tetes presents mais les essentiels manquent.
DSeuls les en-tetes basiques.
FAucun ou presque aucun en-tete de securite.

Pourquoi les Agences Web ne les Configurent Pas

  • Pas dans la checklist standard de developpement
  • CSP prend du temps a configurer correctement
  • Peur de casser des fonctionnalites
  • Manque de connaissances en securite
  • "Le client ne l'a pas demande"

Guide d'Implementation

Apache (.htaccess)

Header always set Content-Security-Policy "default-src 'self'; script-src 'self' https://www.googletagmanager.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; frame-ancestors 'none'"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Header always set X-Frame-Options "DENY"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"

Nginx

add_header Content-Security-Policy "..." always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header X-Frame-Options "DENY" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
server_tokens off;

Cloudflare

Configurez via Transform Rules dans le dashboard Cloudflare. HSTS disponible en un clic sous SSL/TLS > Edge Certificates.

Tests Apres Implementation

  1. Re-scannez sur securityheaders.com
  2. Testez chaque page, surtout les formulaires et widgets tiers
  3. Verifiez la console navigateur (F12) pour les violations CSP
  4. Testez sur plusieurs navigateurs
  5. Verifiez que Google Analytics fonctionne toujours

Erreurs Courantes

  • CSP trop restrictive : Bloquer 'unsafe-inline' pour les scripts casse la plupart des sites WordPress.
  • HSTS avec contenu mixte : Corrigez le contenu mixte avant d'activer HSTS.
  • Oublier les sous-domaines : Avec includeSubDomains, chaque sous-domaine doit supporter HTTPS.
  • En-tetes dupliques : Evitez que le serveur et l'application definissent le meme en-tete.

Pour notre guide detaille, voir l'implementation des en-tetes de securite etape par etape. Pour nous confier l'implementation, contactez notre equipe.

Vous voulez savoir si votre site est sécurisé ?

Demandez un audit de sécurité gratuit. En 48 heures vous recevez un rapport complet.

Demander un Audit Gratuit

Articles Connexes

Sécurité

Vulnerabilites WordPress en 2025 : Pourquoi Votre Site Est Encore en Danger

WordPress propulse plus de 40% du web, mais sa popularite en fait la cible numero un des attaquants. Nous analysons les classes de vulnerabilites les plus courantes, des CVE reels et les mesures concretes pour securiser votre installation.

· 18 min de lecture
Sécurité

SPF, DKIM et DMARC : Protegez Votre Entreprise Contre le Spoofing Email

Le spoofing email coute des milliards aux entreprises chaque annee via les fraudes BEC et le phishing. SPF, DKIM et DMARC sont trois protocoles qui, correctement configures, rendent l'usurpation de votre domaine quasi impossible.

· 15 min de lecture
Sécurité

Pages d'Administration Exposees : Un Cadeau pour les Hackers

Vos pages /wp-admin, /admin ou /login sont visibles par tout internet. Les bots les scannent en ce moment. Le CAPTCHA seul ne vous sauvera pas. Voici comment les attaquants exploitent les panneaux admin exposes.

· 13 min de lecture

Contact Rapide