Defaults.Exposed › Rapports
Comment nous avons noté l'ensemble d'Internet : la méthodologie de sécurité des domaines de A à F (2026)
Publié 2026-06-28
Page de référence · méthodologie v7 · données au 2026-06-28. Cette page explique comment chaque chiffre publié sur ce site est produit. Toutes les statistiques publiées sont agrégées ; la note d’un domaine individuel n’est communiquée qu’à son propriétaire vérifié.
Defaults.Exposed note les domaines de A+ à F sur la base de 34 contrôles de sécurité observables en externe, entièrement depuis l’internet public — sans jamais toucher aux systèmes de quiconque. Cette page présente, en clair et sans jargon, le fonctionnement complet de cette démarche : ce que nous mesurons, comment la note est calculée, ce que les données révèlent ou non, et les règles éthiques auxquelles nous nous tenons. La transparence est délibérée : une note de sécurité ne vaut que ce que vaut la méthode qui la sous-tend.
Ce que nous mesurons
Chaque domaine est évalué sur 34 contrôles regroupés en cinq catégories. Chaque contrôle est observable de l’extérieur par n’importe qui — il n’y a aucun accès aux systèmes privés, aucune connexion, aucune intrusion.
- Authentification des e-mails — ce domaine peut-il être usurpé dans les e-mails ? Couvre SPF, DKIM, DMARC (et notamment si DMARC est réellement en mode enforcement), ainsi que la configuration mail (MX).
- TLS et certificats — le site est-il correctement chiffré ? Couvre la validité du certificat et la correspondance avec le nom d’hôte, les versions TLS modernes, et HSTS.
- En-têtes de sécurité web — le site protège-t-il le navigateur ? Couvre Content-Security-Policy, la protection anti-clickjacking (X-Frame-Options), la protection anti-MIME-sniffing, Referrer-Policy et les en-têtes cross-origin.
- DNS — la couche de nommage est-elle renforcée ? Couvre DNSSEC, CAA et la configuration des serveurs de noms.
- Infrastructure — signaux complémentaires tels que le DNS inversé et la prise en charge d’IPv6.
Parmi les 34 contrôles, certains sont notés (ils influencent la note finale) et les autres sont informatifs (signalés pour le contexte, sans pénalité).
Comment un contrôle est noté : réussite, échec ou N/A
Chaque contrôle aboutit à l’un des trois résultats suivants :
- Réussite — la protection est présente et correctement configurée.
- Échec — la protection est absente ou défaillante. Un vrai échec est un vrai échec : un domaine sans SPF ni DMARC en enforcement est mal noté parce qu’il peut réellement être usurpé, pas pour une question de comptage.
- N/A — le contrôle ne peut pas être déterminé de façon fiable pour ce domaine. Les résultats N/A sont exclus de la note ; ils ne comptent jamais contre un domaine.
Ce dernier point est essentiel : nous ne pénalisons pas un domaine pour quelque chose que nous ne pouvions pas évaluer équitablement.
Comment la note alphabétique est calculée
Les notes vont de A+ à F : A+, A, B, C, D, F. La note reflète à quel point un domaine comble les lacunes qui comptent — avec une pondération vers les contrôles ayant le plus fort impact réel (l’usurpation d’e-mails et la sécurité du transport pèsent plus que les en-têtes cosmétiques). Un domaine qui maîtrise les fondamentaux à fort impact et ne présente que des lacunes mineures obtient une note élevée ; un domaine qui échoue aux bases permettant son usurpation décroche un F.
Parce que la même méthode s’applique identiquement à chaque domaine, les notes sont comparables sur l’ensemble de la population — ce qui donne tout leur sens aux classements (par TLD, par pays et par secteur).
Quelle est la taille du jeu de données ?
Nous suivons un inventaire de 333 millions de domaines et notons la population active d’environ 260 millions qui résolvent actuellement. Les statistiques publiées sont calculées à partir de cette population au moment de la compilation et portent la date de référence du jeu de données, afin que vous sachiez toujours à quelle date correspondent les chiffres.
Quelle est la fraîcheur des données ?
La flotte de scan fonctionne en continu. La population complète est rafraîchie selon un calendrier régulier, certains TLD étant remesurés plus fréquemment, de sorte que les chiffres présentés ici constituent une mesure vivante plutôt qu’un instantané unique. Chaque rapport affiche sa date de référence, et les études phares sont publiées sous forme d’éditions récurrentes permettant de suivre les tendances dans le temps.
Ce que les données révèlent — et ce qu’elles ne révèlent pas
Nous considérons que les limites sont aussi importantes que les résultats :
- La géographie et le secteur d’activité sont déduits de l’extension du domaine, non de l’immatriculation de l’entreprise. Les chiffres d’un pays sont basés sur son extension nationale (ccTLD) ; ceux d’un secteur sont basés sur les extensions spécifiques à ce secteur. Une entreprise utilisant une extension générique comme
.comne peut pas être rattachée à un pays ou à un secteur à cette échelle. Ces segments sont « suffisamment précis » pour comparer des populations, avec ce caveat clairement indiqué. - Nous mesurons des domaines, pas des organisations. Une même entreprise peut posséder de nombreux domaines ; nous notons chaque domaine sur sa propre configuration.
- Vue externe uniquement. Nous évaluons ce qui est observable depuis l’internet public. Nous ne voyons pas, et ne cherchons pas à voir, ce qui se trouve derrière un accès authentifié.
Nos règles : agrégé uniquement, privé pour le propriétaire, résidence UE
Trois engagements gouvernent tout ce que nous publions :
- Agrégé uniquement. Nous publions des tendances de population — classements par TLD, par pays, par secteur. Nous ne publions jamais de page indexée nommant une entreprise individuelle avec sa note.
- Privé pour le propriétaire. La note d’un domaine individuel et le détail contrôle par contrôle ne sont présentés qu’au propriétaire vérifié qui en fait la demande.
- Résidence des données en UE. Toutes les données sont stockées et traitées au sein de l’Union européenne — une posture de conformité et un engagement de confiance délibéré.
Foire aux questions
Comment Defaults.Exposed calcule-t-il le score de sécurité d’un domaine ? En exécutant 34 contrôles observables depuis l’extérieur (authentification e-mail, TLS, en-têtes web, DNS et infrastructure), en notant chacun comme réussite / échec / N/A, et en les pondérant selon leur impact réel pour produire une note de A+ à F.
Scannez-vous ou attaquez-vous les domaines que vous notez ? Non. Chaque contrôle est observable depuis l’internet public — les mêmes informations qu’un serveur mail destinataire ou le navigateur d’un visiteur verrait. Il n’y a aucune connexion, aucune intrusion, aucun accès à des systèmes privés.
Pourquoi un domaine peut-il obtenir un F ? Le plus souvent parce qu’il n’a pas de SPF ni de DMARC en enforcement et peut donc être usurpé dans les e-mails — une vulnérabilité réelle et vérifiable de l’extérieur.
Puis-je voir la note du domaine d’une entreprise spécifique ? Uniquement s’il s’agit de votre propre domaine et que vous en vérifiez la propriété. Nous ne publions jamais les notes de domaines d’entreprises individuelles.
À quelle fréquence les données sont-elles mises à jour ? En continu. La population complète est rafraîchie selon un calendrier régulier et chaque chiffre est daté avec une mention « au » afin que vous sachiez à quelle date il correspond.
Vérifiez votre domaine vous-même
La façon la plus rapide de comprendre la méthode est de la mettre en pratique. Vérifiez votre propre domaine de manière privée et gratuite, et consultez les 34 contrôles notés avec des explications en langage clair et les correctifs à apporter.
Vérifier votre domaine → · La courbe de notes d’Internet → · Données agrégées uniquement. Données stockées et traitées dans l’UE.