Defaults.Exposed › Rapports
La courbe de notes de sécurité d'Internet : à quoi ressemble un domaine moyen en 2026
Publié 2026-06-28
Chiffres au 2026-06-28 · méthodologie v7. Ce rapport est récurrent : chaque édition remesure la même population, ce qui permet de suivre l’évolution de la courbe dans le temps. Tous les chiffres sont agrégés — nous ne publions jamais la note d’une entreprise individuelle. Voir comment nous notons pour la méthode complète.
Le domaine moyen sur Internet n’est pas sécurisé. Sur les 260 millions de domaines que nous avons notés, la note la plus courante de loin est F, et le domaine typique se situe à un D ou en dessous. Moins de 1 domaine sur 27 atteint un C ou mieux. Telle est la courbe de notes d’Internet — et elle penche presque entièrement du côté « exposé ».
Quelle est la note de sécurité moyenne d’un domaine ?
Si vous aligniez tous les domaines notés de la planète et marchiez jusqu’au milieu, vous tomberiez sur un domaine noté F — la note la plus basse. F n’est pas un artefact d’arrondi ni une pénalité pour inactivité : un domaine obtient F quand il échoue réellement aux protections de base qui empêchent que ses e-mails soient forgés et ses visiteurs induits en erreur. La majeure partie d’Internet a simplement ces protections désactivées.
Voici la distribution complète.
La distribution des notes d’Internet (260M de domaines)
| Note | Domaines | Part | Ce que ça signifie |
|---|---|---|---|
| A+ | 6 740 | 0,0% | Pratiquement à l’épreuve des balles — réussit presque tous les contrôles |
| A | 49 762 | 0,0% | Solide : messagerie verrouillée, TLS moderne, protections DNS clés activées |
| B | 1 145 942 | 0,4% | Bon, avec des lacunes mineures |
| C | 8 582 117 | 3,3% | Mitigé — une vraie protection par endroits, de vraies failles ailleurs |
| D | 26 088 093 | 10,0% | Faible — la plupart des protections sont absentes |
| F | 224 536 050 | 86,2% | Pratiquement sans protection — peut être usurpé |
Parcourez ce tableau et la forme est sans équivoque : la courbe n’est pas une cloche centrée sur « B ». C’est une falaise. 86,2% d’Internet obtient un F, encore 10,0% obtient un D, et tout ce qui est au-dessus d’un C n’est qu’une décimale en comparaison.
Dans quelle mesure une bonne note est-elle rare ?
Très. Sur l’ensemble du recensement :
- Seulement 0,46% des domaines obtiennent un B ou mieux — soit environ 1 sur 220.
- Seulement 0,02% obtiennent un A ou A+ — soit environ 1 sur 4 600.
- Un C ou mieux — le seuil pour « dispose d’une protection significative » — n’est atteint que par moins de 1 domaine sur 27.
Autrement dit, un domaine réellement bien configuré n’est pas la norme à laquelle vous ne parvenez pas. C’est une exception rare. La bonne nouvelle cachée dans cette statistique : franchir ce seuil vous place au-dessus de l’écrasante majorité d’Internet, et la plupart des étapes sont gratuites.
Pourquoi la courbe penche-t-elle autant vers le F ?
Trois raisons, et aucune n’est « Internet est plein de hackers » :
- Les paramètres par défaut sont désactivés. Quand vous enregistrez un domaine, l’authentification e-mail (SPF, DKIM, DMARC), DNSSEC, CAA et les en-têtes de sécurité ne sont pas activés pour vous. Quelqu’un doit les activer — et presque personne ne le fait.
- Personne n’en avertit le propriétaire. Un patron de PME qui achète un domaine n’est jamais prévenu que, par défaut, des criminels peuvent envoyer des e-mails qui semblent provenir exactement de son adresse. Il n’existe aucun message d’erreur pour « votre domaine peut être usurpé ».
- Les protections sont invisibles jusqu’à ce qu’elles échouent. Un enregistrement SPF manquant ne cause aucun problème visible — jusqu’à ce qu’un fraudeur utilise votre domaine pour envoyer de fausses factures à vos clients, ou que vos vrais e-mails commencent à atterrir en spam.
La courbe de notes qui en résulte reflète la négligence, pas la malveillance.
Ce qu’un F signifie concrètement pour une entreprise
Une note d’échec n’est pas un score abstrait. Concrètement, un F signifie généralement qu’une ou plusieurs des situations suivantes s’applique au domaine :
- Ses e-mails peuvent être forgés. Sans SPF ni DMARC en enforcement, n’importe qui peut envoyer des e-mails qui semblent provenir exactement de ce domaine — à ses clients, ses employés et ses fournisseurs — et ils arrivent en boîte de réception. C’est le mécanisme derrière les arnaques aux fausses factures et à la fraude au président.
- Ses vrais e-mails ont plus de chances d’être mis en spam. Gmail et Yahoo font de plus en plus confiance uniquement aux domaines authentifiés, ce qui fait que de vrais devis et factures atterrissent discrètement dans les spams.
- Il échoue aux contrôles de sécurité d’autres entreprises. Les grands donneurs d’ordre scannent le domaine d’un fournisseur avant de signer. « Peut être usurpé » peut suffire à perdre le contrat.
- Son site peut éloigner les visiteurs. Un certificat manquant ou défaillant affiche aux visiteurs une page rouge « Non sécurisé ».
Comment la courbe de notes évolue-t-elle dans le temps ?
Parce que la flotte de scan remesure la population en continu, cette distribution est vivante, pas un instantané unique. Nous la publions sous forme de rapport récurrent afin que la courbe puisse être suivie édition après édition — si Internet devient plus sécurisé, cette page le montrera. Comparez les tableaux de classement en évolution ici :
- Les TLD les plus et les moins sécurisés →
- Sécurité des domaines par pays →
- Sécurité des domaines par secteur →
Foire aux questions
Quelle est la note de sécurité moyenne d’un domaine en 2026 ? La note la plus courante parmi les 260 millions de domaines que nous avons mesurés est F, et le domaine typique (médiane) obtient un D ou en dessous. Seuls 0,46% des domaines obtiennent un B ou mieux.
Quel pourcentage de sites web échoue à la sécurité de base ? Au 2026-06-28, 86,2% des domaines notés obtiennent un F — pratiquement sans protection et susceptibles d’être usurpés — et 10,0% supplémentaires obtiennent un D.
Combien de domaines ont une note A ? Seuls 6 740 domaines obtiennent un A+ et 49 762 obtiennent un A — ensemble environ 0,02% de tous les domaines notés, soit environ 1 sur 4 600.
Une note faible est-elle due au fait qu’un domaine est en parking ou inactif ? Non. Un domaine obtient une mauvaise note parce qu’il échoue réellement à des contrôles réels et observables de l’extérieur — par exemple, il peut être usurpé parce qu’il n’a pas de SPF ni de DMARC en enforcement. Les contrôles qui ne peuvent réellement pas être déterminés sont marqués N/A et exclus ; ils ne comptent jamais comme un échec.
Voyez où se situe votre propre domaine sur la courbe
Ce sont des moyennes de population. Votre domaine fait peut-être partie des 0,46% qui obtiennent un B ou mieux — ou des 86,2% qui n’y parviennent pas. Vous pouvez le vérifier de manière privée et gratuite, et voir exactement lesquels des 34 contrôles vous réussissez et comment corriger ceux que vous ratez.
Vérifier votre domaine → · Comment nous notons → · Données agrégées uniquement ; la note d’un domaine individuel n’est communiquée qu’à son propriétaire vérifié. Données stockées et traitées dans l’UE.