Defaults.Exposed › Méthodologie
Méthodologie — comment nous notons
Chaque domaine est noté selon 34 contrôles (25 qui comptent dans la note + 9 informatifs) répartis en cinq catégories : sécurité des e-mails, TLS & certificats, sécurité web, sécurité DNS et infrastructure. Voici exactement comment cela fonctionne — aucune boîte noire.
Comment fonctionne la notation
Chaque contrôle renvoie réussi, échoué ou N/A. La note d'un domaine correspond à la part de points obtenus parmi les contrôles qui s'appliquent à lui, convertie en lettre :
| Note | Score |
|---|---|
| A+ | 95 % + |
| A | 90 % + |
| B | 80 % + |
| C | 70 % + |
| D | 60 % + |
| F | moins de 60 % |
Les notes sont aussi relatives — un percentile indique où se situe un domaine par rapport à la population de son TLD, et pas seulement face à une liste de contrôle fixe.
La règle d'absence de données (N/A ne compte jamais comme un échec)
Si un contrôle ne peut vraiment pas être évalué (un délai dépassé, un enregistrement masqué), il est marqué N/A et exclu de la note — il ne joue jamais en votre défaveur. C'est différent d'un véritable échec (pas de DMARC, pas de HTTPS), qui est un vrai échec. Un domaine sans SPF/DMARC obtient à juste titre une mauvaise note : il peut être usurpé.
Principes
- Indépendant & externe. Nous mesurons ce que quiconque sur Internet peut observer — aucun accès à vos systèmes n'est requis.
- Agrégé uniquement en public. Nous publions des tendances (par TLD, pays, secteur). La note d'un domaine individuel n'est montrée qu'à son propriétaire vérifié — jamais publiquement.
- Transparent. La liste complète des contrôles figure ci-dessous ; les corrections sont gratuites.
- Traité dans l'UE. Les données sont traitées dans l'UE.
Les 34 contrôles
Chaque contrôle, ce qu'il signifie pour votre entreprise, et s'il compte dans votre note. Suivez un lien pour le guide complet « ce que cela vous coûte + comment le corriger ».
Sécurité des e-mails
Si votre domaine peut être usurpé dans les e-mails, et si vos propres messages atteignent la boîte de réception.
| Contrôle | Ce que cela signifie pour votre entreprise | Dans votre note ? |
|---|---|---|
| Enregistrement SPF | Empêche les criminels d'envoyer des e-mails qui semblent venir de vous, et aide vos messages à atteindre la boîte de réception. | Noté |
| Robustesse de la politique SPF | Un SPF faible se contente d'avertir ; un SPF strict bloque réellement les falsifications. | Noté |
| Politique DMARC | L'instruction qui demande aux fournisseurs de messagerie de rejeter les e-mails usurpés — le contrôle anti-usurpation central. | Noté |
| Rapports DMARC | Indiquent qui envoie des e-mails en votre nom, pour repérer abus et erreurs de configuration. | Noté |
| DKIM | Une signature cryptographique prouvant qu'un e-mail vient réellement de vous ; améliore la délivrabilité. | Noté |
| Enregistrements MX | Si votre domaine est correctement configuré pour recevoir des e-mails. | Noté |
| DNS inversé (PTR) | Aide votre serveur de messagerie à paraître légitime afin que vos messages ne soient pas jetés à la corbeille. | Noté |
TLS & certificats
Le cadenas — si le trafic vers votre site est chiffré avec un certificat valide et moderne.
| Contrôle | Ce que cela signifie pour votre entreprise | Dans votre note ? |
|---|---|---|
| HTTPS disponible | Sans lui, les navigateurs avertissent les visiteurs « Non sécurisé » et ils s'en vont. | Noté |
| Certificat valide | Un certificat de confiance, correctement émis ; un certificat invalide déclenche des avertissements alarmants dans le navigateur. | Noté |
| Expiration du certificat | Un certificat sur le point d'expirer met votre site hors ligne avec un avertissement plein écran. | Noté |
| Algorithme de signature | Utilise un algorithme de signature moderne et non compromis (pas l'ancien SHA-1). | Noté |
| Robustesse de la clé | Une longueur de clé suffisante pour que le chiffrement ne puisse pas être cassé par force brute. | Noté |
| Version de TLS | TLS moderne (1.2/1.3) ; les anciennes versions sont compromises et échouent aux audits de sécurité. | Noté |
| Robustesse du chiffrement | Un chiffrement fort protégeant les données en transit. | Noté |
| Compression TLS | Compression désactivée pour éviter une catégorie d'attaque connue. | Informatif |
| Agrafage OCSP | Des vérifications de révocation de certificat plus rapides et plus respectueuses de la vie privée. | Informatif |
| Renégociation sécurisée | Protège contre une attaque par renégociation TLS. | Informatif |
Sécurité web
Les en-têtes HTTP qui protègent les navigateurs de vos visiteurs contre les attaques courantes.
| Contrôle | Ce que cela signifie pour votre entreprise | Dans votre note ? |
|---|---|---|
| HSTS | Impose le cadenas sécurisé à chaque visite afin que vos clients ne puissent pas être rétrogradés vers une connexion non sécurisée. | Noté |
| Redirection HTTP→HTTPS | Renvoie les visiteurs arrivant en http directement vers la version sécurisée. | Noté |
| Content-Security-Policy | Réduit le risque qu'un script piraté ou injecté vole les données de vos clients depuis votre site. | Noté |
| Protection contre le clickjacking | Empêche les attaquants d'intégrer votre site pour pousser vos clients à cliquer sur des éléments piégés. | Noté |
| Protection contre le MIME-sniffing | Empêche les navigateurs de mal interpréter les fichiers d'une manière exploitable par les attaquants. | Noté |
| Referrer-Policy | Contrôle quelles informations d'adresse fuitent vers d'autres sites lorsque les visiteurs quittent le vôtre. | Noté |
| En-têtes cross-origin (COOP/CORP/COEP) | Une isolation avancée qui renforce la protection contre les fuites de données entre sites. | Informatif |
Sécurité DNS
Si les fondations de votre domaine peuvent être détournées ou mises hors ligne.
| Contrôle | Ce que cela signifie pour votre entreprise | Dans votre note ? |
|---|---|---|
| Enregistrements CAA | Empêche tout le monde, sauf le fournisseur que vous avez choisi, d'émettre des certificats SSL pour votre domaine. | Noté |
| DNSSEC (DS) | Empêche les attaquants de détourner votre domaine pour rediriger vos visiteurs vers une fausse copie de votre site. | Noté |
| DNSSEC (DNSKEY) | La clé de signature qui fait réellement fonctionner la protection DNSSEC. | Noté |
| Diversité des serveurs de noms | Plusieurs serveurs de noms indépendants pour qu'une seule panne ne vous mette pas hors ligne. | Noté |
| Configuration SOA | Un enregistrement DNS « start of authority » correctement configuré. | Noté |
| Prise en charge d'IPv6 | Accessible via le protocole Internet moderne. | Informatif |
Infrastructure
Le contexte de l'hébergement de votre site (informatif — ces éléments ne modifient jamais votre note).
| Contrôle | Ce que cela signifie pour votre entreprise | Dans votre note ? |
|---|---|---|
| Détection CDN / WAF | Si un réseau de diffusion de contenu / pare-feu applicatif web protège votre site. | Informatif |
| Hébergeur | Identifie l'endroit où votre site est hébergé. | Informatif |
Vous voulez savoir où se situe votre propre domaine sur les 34 contrôles ? Lancer la vérification gratuite → (confidentiel ; nous ne montrons jamais la note d'un domaine qu'à son propriétaire vérifié).