Defaults.Exposed

Defaults.Exposed › Rapports

Le bulletin des en-têtes de sécurité HTTP : la note du Web en 2026

Publié 2026-06-29

Chiffres au 2026-06-29 · méthodologie v7. Données de recensement agrégées sur 261 millions de domaines notés. Les vérifications d’en-têtes sont observées sur les réponses que nous avons pu atteindre. Voir comment nous notons.

Les en-têtes de sécurité HTTP comptent parmi les défenses les moins chères du web — quelques lignes de configuration, sans coût — et les données montrent qu’ils sont presque partout ignorés. Sur 261 millions de domaines, seuls 4,03% définissent correctement chaque en-tête essentiel. Chaque en-tête bloque une attaque précise et réelle — clickjacking, injection de contenu, rétrogradation de protocole, fuite de référent — et chacun manque sur la grande majorité des sites.

Le bulletin de notes

Plus c’est élevé, mieux c’est — la part des domaines qui définissent chaque en-tête correctement. Au 2026-06-29 :

En-têteCe qu’il empêcheDomaines qui le définissent
HSTS (Strict-Transport-Security)Rétrogradation de HTTPS vers HTTP22,91% des sites HTTPS
Content-Security-PolicyCross-site scripting / injection de contenu8,87%
X-Frame-Options / frame-ancestorsClickjacking14,48%
X-Content-Type-Options (nosniff)Attaques par confusion de type MIME16,65%
Referrer-PolicyFuite des URL des visiteurs vers des tiers10,10%
Tous les précédents (« sécurisé par défaut »)L’ensemble complet4,03%

Content-Security-Policy — la défense la plus solide contre le cross-site scripting — est l’échec phare : seuls 8,87% des domaines en livrent une efficace. Et seuls 4,03% réussissent l’ensemble complet.

Pourquoi si bas, alors qu’ils sont gratuits ?

La plupart des serveurs et des plateformes n’installent pas les en-têtes par défaut, ils n’apparaissent donc que lorsque quelqu’un les ajoute délibérément. Aucun avertissement effrayant ne signale leur absence — contrairement à un certificat expiré, un en-tête manquant est invisible pour le propriétaire du site comme pour les visiteurs, jusqu’au moment où il est exploité. C’est précisément cette invisibilité qui explique que l’adoption reste à un chiffre pour les en-têtes les plus importants.

Quels en-têtes dois-je prioriser ?

Pour la plupart des sites, dans l’ordre :

  1. HSTS — une fois en HTTPS, verrouillez-le. Corriger HSTS.
  2. Protection contre le clickjacking — un en-tête d’une ligne qui empêche vos pages d’être encadrées. Corriger le clickjacking.
  3. X-Content-Type-Options : nosniff et Referrer-Policy — triviaux à ajouter. MIME-sniffing · Referrer-Policy.
  4. Content-Security-Policy — le plus puissant et le plus exigeant ; à faire avec soin. Corriger CSP.

Foire aux questions

Que sont les en-têtes de sécurité HTTP ? Des instructions qu’un serveur envoie avec chaque page, demandant au navigateur d’appliquer des protections — bloquer l’encadrement, refuser le contenu mixte, restreindre les scripts. C’est de la configuration gratuite, pas un logiciel.

Pourquoi seuls 4,03% du web les définissent-ils tous ? Parce qu’ils sont optionnels et invisibles. Rien ne casse ni n’avertit lorsqu’ils manquent, donc la plupart des sites ne les ajoutent jamais — jusqu’à ce qu’une attaque exploite la faille.

Quel est l’en-tête le plus important ? HSTS et une Content-Security-Policy offrent la plus grande protection. Le CSP est la défense la plus solide contre le cross-site scripting, mais demande le plus de soin à déployer.

Comment voir quels en-têtes manquent à mon site ? Lancez une vérification gratuite et privée (ci-dessous) — elle liste chaque en-tête et indique si vous l’avez défini.

Vérifiez vos en-têtes de sécurité gratuitement

Consultez votre bulletin complet d’en-têtes — et exactement ce qu’il faut ajouter — en privé et réservé au propriétaire.

Vérifiez votre domaine → · Corriger CSP → · Corriger HSTS → · Comment nous notons → · Données agrégées uniquement. Données stockées et traitées dans l’UE.