Defaults.Exposed › Rapports
Le bulletin des en-têtes de sécurité HTTP : la note du Web en 2026
Publié 2026-06-29
Chiffres au 2026-06-29 · méthodologie v7. Données de recensement agrégées sur 261 millions de domaines notés. Les vérifications d’en-têtes sont observées sur les réponses que nous avons pu atteindre. Voir comment nous notons.
Les en-têtes de sécurité HTTP comptent parmi les défenses les moins chères du web — quelques lignes de configuration, sans coût — et les données montrent qu’ils sont presque partout ignorés. Sur 261 millions de domaines, seuls 4,03% définissent correctement chaque en-tête essentiel. Chaque en-tête bloque une attaque précise et réelle — clickjacking, injection de contenu, rétrogradation de protocole, fuite de référent — et chacun manque sur la grande majorité des sites.
Le bulletin de notes
Plus c’est élevé, mieux c’est — la part des domaines qui définissent chaque en-tête correctement. Au 2026-06-29 :
| En-tête | Ce qu’il empêche | Domaines qui le définissent |
|---|---|---|
| HSTS (Strict-Transport-Security) | Rétrogradation de HTTPS vers HTTP | 22,91% des sites HTTPS |
| Content-Security-Policy | Cross-site scripting / injection de contenu | 8,87% |
| X-Frame-Options / frame-ancestors | Clickjacking | 14,48% |
| X-Content-Type-Options (nosniff) | Attaques par confusion de type MIME | 16,65% |
| Referrer-Policy | Fuite des URL des visiteurs vers des tiers | 10,10% |
| Tous les précédents (« sécurisé par défaut ») | L’ensemble complet | 4,03% |
Content-Security-Policy — la défense la plus solide contre le cross-site scripting — est l’échec phare : seuls 8,87% des domaines en livrent une efficace. Et seuls 4,03% réussissent l’ensemble complet.
Pourquoi si bas, alors qu’ils sont gratuits ?
La plupart des serveurs et des plateformes n’installent pas les en-têtes par défaut, ils n’apparaissent donc que lorsque quelqu’un les ajoute délibérément. Aucun avertissement effrayant ne signale leur absence — contrairement à un certificat expiré, un en-tête manquant est invisible pour le propriétaire du site comme pour les visiteurs, jusqu’au moment où il est exploité. C’est précisément cette invisibilité qui explique que l’adoption reste à un chiffre pour les en-têtes les plus importants.
Quels en-têtes dois-je prioriser ?
Pour la plupart des sites, dans l’ordre :
- HSTS — une fois en HTTPS, verrouillez-le. Corriger HSTS.
- Protection contre le clickjacking — un en-tête d’une ligne qui empêche vos pages d’être encadrées. Corriger le clickjacking.
- X-Content-Type-Options : nosniff et Referrer-Policy — triviaux à ajouter. MIME-sniffing · Referrer-Policy.
- Content-Security-Policy — le plus puissant et le plus exigeant ; à faire avec soin. Corriger CSP.
Foire aux questions
Que sont les en-têtes de sécurité HTTP ? Des instructions qu’un serveur envoie avec chaque page, demandant au navigateur d’appliquer des protections — bloquer l’encadrement, refuser le contenu mixte, restreindre les scripts. C’est de la configuration gratuite, pas un logiciel.
Pourquoi seuls 4,03% du web les définissent-ils tous ? Parce qu’ils sont optionnels et invisibles. Rien ne casse ni n’avertit lorsqu’ils manquent, donc la plupart des sites ne les ajoutent jamais — jusqu’à ce qu’une attaque exploite la faille.
Quel est l’en-tête le plus important ? HSTS et une Content-Security-Policy offrent la plus grande protection. Le CSP est la défense la plus solide contre le cross-site scripting, mais demande le plus de soin à déployer.
Comment voir quels en-têtes manquent à mon site ? Lancez une vérification gratuite et privée (ci-dessous) — elle liste chaque en-tête et indique si vous l’avez défini.
Vérifiez vos en-têtes de sécurité gratuitement
Consultez votre bulletin complet d’en-têtes — et exactement ce qu’il faut ajouter — en privé et réservé au propriétaire.
Vérifiez votre domaine → · Corriger CSP → · Corriger HSTS → · Comment nous notons → · Données agrégées uniquement. Données stockées et traitées dans l’UE.