Découvrez pourquoi sécuriser les en-têtes de votre site est crucial contre les cyberattaques
Impact : Vol d'identité, fraude
Impact : Transactions frauduleuses
Impact : Espionnage, vol de données
des sites sans protection en-têtes
d'augmentation des attaques XSS
coût moyen d'une cyberattaque
pour détecter une intrusion
Un site de vente en ligne sans protection CSP a été victime d'une injection XSS. Les pirates ont récupéré 15 000 numéros de cartes bancaires.
Coût : 850 000€ + fermeture 3 mois
Absence d'en-tête X-Frame-Options : les clients ont été victimes de clickjacking, validant des virements à leur insu.
Impact : 2.1M€ de fraudes + procès
Sans HSTS, les données médicales ont été interceptées via une fausse borne WiFi. 50 000 dossiers patients compromis.
Sanction RGPD : 4M€ + plaintes
Injection de contenu malveillant dans l'ENT étudiant. Propagation de malwares sur 8 000 ordinateurs.
Coût : 1.2M€ + réputation ternie
Contrôle quelles ressources (scripts, styles, images) peuvent être chargées sur votre site.
Empêche votre site d'être intégré dans une iframe sur d'autres domaines.
DENY - Aucune iframe
SAMEORIGIN - Même domaine uniquement
Force l'utilisation de HTTPS et empêche les connexions HTTP non sécurisées.
Empêche le navigateur de deviner le type MIME des fichiers.
Simple mais efficace !
| En-tête | Priorité | Difficulté | Impact Sécurité | Compatibilité |
|---|---|---|---|---|
| Content-Security-Policy | CRITIQUE | Complexe |
★★★★★
|
95%+ |
| X-Frame-Options | IMPORTANT | Facile |
★★★★☆
|
99%+ |
| Strict-Transport-Security | ESSENTIEL | Facile |
★★★★★
|
98%+ |
| X-Content-Type-Options | RECOMMANDÉ | Très facile |
★★★☆☆
|
99%+ |
Analyse complète et note de A à F. Interface simple et rapide.
Outil de Mozilla avec recommandations détaillées et historique.
Analyse approfondie avec monitoring continu et alertes.
Excellent (90-100%)
Tous les en-têtes critiques présents
Bien (70-89%)
Quelques améliorations possibles
Moyen (50-69%)
Protection basique, à améliorer
Critique (0-49%)
Site vulnérable, action urgente
1. En-têtes manquants
Implémenter immédiatement CSP et HSTS
2. Configuration faible
Renforcer les politiques existantes
3. Optimisations
Ajouter les en-têtes recommandés
4. Monitoring
Surveiller et maintenir le niveau
Configuration directe dans Apache, Nginx, IIS
WordPress, Drupal, Joomla avec plugins dédiés
Cloudflare, AWS CloudFront, Azure CDN
# En-têtes de sécurité essentiels Header always set X-Frame-Options "DENY" Header always set X-Content-Type-Options "nosniff" Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" Header always set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'" Header always set Referrer-Policy "strict-origin-when-cross-origin"
# Dans votre bloc server {}
add_header X-Frame-Options "DENY" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
<?php
// En-têtes de sécurité à placer en début de script
header('X-Frame-Options: DENY');
header('X-Content-Type-Options: nosniff');
header('Strict-Transport-Security: max-age=31536000; includeSubDomains; preload');
header('Content-Security-Policy: default-src \'self\'; script-src \'self\' \'unsafe-inline\'; style-src \'self\' \'unsafe-inline\'');
header('Referrer-Policy: strict-origin-when-cross-origin');
?>
Plugin gratuit, configuration simple, toutes les options essentielles.
Sécurité complète incluant les en-têtes, firewall et monitoring.
Spécialisé uniquement dans les en-têtes HTTP, très léger.