Defaults.Exposed › Corrections
Corrigez la sécurité de votre domaine — guides gratuits, pas à pas
Des guides en langage clair pour corriger chaque problème que nous évaluons — SPF, DKIM, DMARC, DNSSEC, TLS, certificats et en-têtes de sécurité HTTP. Chacun explique de quoi il s'agit, ce qu'il peut coûter à votre entreprise et exactement comment le configurer chez votre fournisseur.
- CDN / WAF et hébergement
Deux lectures de la tuyauterie derrière votre site : si vous êtes derrière un bouclier protecteur (un CDN avec un pare-feu applicatif web, comme Cloudflare) qui filtre les attaques et absorbe les pics de trafic, et une cartographie de qui gère réellement votre DNS, votre site et votre messagerie. Les deux sont informatifs dans notre notation — ils ne font pas bouger votre note — mais ils décrivent à quel point votre serveur d'origine est exposé aux attaques et aux pannes, et à quel point vos fournisseurs sont enchevêtrés. Un bouclier en façade et un ensemble de fournisseurs sensément réparti, voilà à quoi ressemblent les entreprises résilientes. - Chiffrement moderne (version TLS et suites de chiffrement)
Le TLS est la serrure qui brouille les données circulant entre vos visiteurs et votre site web. Deux choses rendent cette serrure fiable : utiliser une version moderne de TLS (pas les anciennes, cassées) et utiliser des suites de chiffrement robustes (la recette de brouillage proprement dite). Cette page couvre les deux — plus quelques réglages connexes qui n'affectent pas votre note mais valent la peine d'être connus. - Configuration des serveurs de noms (diversité et SOA)
Vos serveurs de noms sont l'annuaire qui indique à tout internet où trouver votre site et votre messagerie. S'ils résident tous sur un même réseau et que celui-ci tombe, votre entreprise disparaît d'internet au même instant — plus de site, plus de messagerie, plus rien — et un réglage d'horloge bâclé sur ces serveurs peut laisser les changements que vous faites bloqués pendant des jours. - Content-Security-Policy (CSP)
Une Content Security Policy est une règle de sécurité que votre site web remet au navigateur de chaque visiteur, lui indiquant exactement quel code est autorisé à s'exécuter. Sans elle, si du code malveillant atterrit un jour sur une page — via une zone de commentaires, une extension piratée, ou un script tiers — le navigateur l'exécutera librement, y compris du code qui copie discrètement les numéros de carte et mots de passe de vos clients pendant qu'ils les saisissent, le cadenas toujours affiché. - DKIM
Le DKIM est le sceau inviolable et invisible apposé sur chaque e-mail que votre entreprise envoie. Il permet au fournisseur de messagerie destinataire de confirmer que l'e-mail vient réellement de vous et qu'il est arrivé intact. Sans lui, vos e-mails sont plus faciles à falsifier, plus faciles à altérer, et bien plus susceptibles d'atterrir dans les spams. - DMARC (Protection contre l'usurpation d'e-mail)
Le DMARC est le seul réglage qui ordonne réellement aux fournisseurs de messagerie du monde entier de BLOQUER les e-mails qui usurpent le nom de votre entreprise. Le SPF et le DKIM vérifient les serrures ; le DMARC décide de ce qui arrive quand une contrefaçon échoue au contrôle — à la corbeille, signalée, ou laissée passer. Mal réglé, votre domaine est entièrement falsifiable ; bien réglé, l'usurpation s'arrête avant la boîte de réception. - DNS inversé (PTR)
Le DNS inversé est le badge d'identité du serveur qui envoie les e-mails de votre entreprise. Quand un fournisseur destinataire comme Gmail ou Microsoft 365 cherche qui se cache derrière l'adresse d'envoi et obtient un nom vérifié, vos e-mails ont l'air légitimes. Sans badge — ou si le nom et le numéro ne concordent pas — vos factures et devis parfaitement authentiques sont traités comme suspects et discrètement mis à la corbeille ou rejetés. - DNSSEC
Le DNSSEC est un sceau numérique apposé sur le carnet d'adresses de votre domaine. Il permet à internet de prouver que la réponse à « où vit ce domaine ? » vient bien de vous et n'a pas été falsifiée en chemin. Sans lui, la réponse peut être forgée — et vos visiteurs discrètement envoyés ailleurs. - En-têtes d'isolation cross-origin (COOP / CORP / COEP)
Trois instructions optionnelles du navigateur qui contrôlent la façon dont d'autres sites peuvent interagir avec le vôtre — l'ouvrir dans des fenêtres surgissantes, intégrer ses images et ses scripts, ou tirer ses ressources dans leurs propres pages. C'est un durcissement moderne, pas un indispensable de base, et dans notre notation elles sont informatives : leur absence ne baisse pas votre note. Mais les deux qui sont sûres ferment une faille discrète de hameçonnage et de vol de bande passante, et l'équipe informatique d'un acheteur attentif remarquera leur présence. - Enregistrements CAA
Un enregistrement CAA est une courte instruction dans les réglages de votre domaine qui désigne quelles autorités de certification ont le droit d'émettre le certificat de sécurité du « cadenas » pour votre site. Une fois activé, aucune autre autorité ne peut créer discrètement un certificat valide en votre nom. - Enregistrements MX (Configuration de la messagerie)
Un enregistrement MX est le panneau indicateur qui dit au reste du monde où livrer les e-mails adressés à votre domaine. S'il est absent ou cassé, chaque message envoyé à votre entreprise — demandes de clients, réinitialisations de mot de passe, factures, contrats — rebondit directement vers l'expéditeur. Pas de MX, pas de boîte de réception. - HSTS (Strict-Transport-Security)
Le HSTS est une instruction d'une ligne que votre site web donne à chaque navigateur : « reviens toujours vers moi par la connexion sécurisée et chiffrée — jamais par la non sécurisée. » Sans lui, votre cadenas peut être discrètement arraché sur un Wi-Fi partagé, et la toute première visite de votre site est exposée. - HTTPS et redirection forcée vers le sécurisé
Le HTTPS, c'est le cadenas dans la barre du navigateur — il chiffre tout ce qui circule entre votre site web et vos clients pour que cela ne puisse être ni lu ni altéré en transit. La redirection forcée vers le sécurisé garantit que les visiteurs atterrissent automatiquement sur cette version chiffrée, même quand ils tapent votre adresse sans « https:// ». Ensemble, c'est la chose la plus élémentaire dont un site web a besoin pour être seulement considéré comme sûr. - Prise en charge de l'IPv6
L'IPv6 est la version plus récente et bien plus vaste du système d'adressage d'internet, introduite parce que l'ancien (IPv4) a épuisé sa réserve. Ajouter la prise en charge de l'IPv6 signifie que votre site et votre messagerie peuvent être joints sur le réseau moderne aussi bien que sur l'ancien. Dans notre notation, c'est informatif — ne pas l'avoir ne baisse pas votre note — mais c'est un véritable enjeu de portée : une part croissante de clients mobiles et étrangers se connectent sur des réseaux IPv6 uniquement, et ils vous joignent sans accroc seulement si vous le prenez en charge. Le correctif est gratuit et réside dans votre configuration DNS et d'hébergement. - Protection contre le détournement de clic (X-Frame-Options)
Une instruction d'une ligne qui interdit aux navigateurs de laisser d'autres sites charger secrètement le vôtre à l'intérieur des leurs. Sans elle, un escroc peut dissimuler vos vraies pages, là où vos clients sont connectés, derrière une fausse page et les pousser à cliquer sur des choses qu'ils n'avaient jamais voulu valider — approuver un paiement, changer un mot de passe, accorder un accès. - Protection contre le reniflage MIME (X-Content-Type-Options)
Un en-tête d'une ligne qui empêche les navigateurs de deviner ce qu'est réellement un fichier. Sans lui, un fichier déposé sur votre site — ou un fichier présent sur vos propres pages — peut être mal interprété par le navigateur et exécuté comme du code, ce qui est précisément la façon dont certaines attaques transforment un dépôt d'apparence anodine en moyen de voler les sessions de vos clients. - Referrer-Policy
Une Referrer-Policy est une instruction d'une ligne que votre site transmet au navigateur de chaque visiteur, contrôlant quelle part de votre adresse web le suit lorsqu'il clique sur un lien vers un autre site. Sans elle, l'adresse complète de la page où il se trouvait — termes de recherche, numéros de compte, liens de réinitialisation, chemins de pages internes et tout le reste — est discrètement remise au site suivant où il atterrit, y compris annonceurs, régies d'analyse, et partout ailleurs où pointe un lien. - Santé du certificat TLS
Votre certificat SSL/TLS est la carte d'identité numérique qui prouve qu'un visiteur parle bien à votre site web — et non à un imposteur — et qui alimente le cadenas dans le navigateur. Ce contrôle examine si ce certificat est valide et reconnu, s'il n'est pas sur le point d'expirer, et s'il est bâti sur une cryptographie robuste et moderne. - SPF (Sender Policy Framework)
Le SPF est la ligne, dans les réglages de votre domaine, qui liste les services de messagerie autorisés à envoyer des e-mails au nom de votre entreprise. Sans elle, n'importe qui dans le monde peut envoyer un e-mail qui semble venir de vous — et vos propres e-mails légitimes risquent davantage d'atterrir dans les spams de vos clients.