Sécurité
Certificats SSL, bibliothèques vulnérables, en-têtes de sécurité et protection de vos visiteurs.
La sécurité d'un site web est à la fois une nécessité technique et une obligation légale. En vertu de l'article 32 du RGPD, les entreprises doivent mettre en œuvre des « mesures techniques appropriées » pour protéger les données personnelles. Un certificat SSL expiré, des plugins WordPress obsolètes ou des en-têtes de sécurité manquants peuvent exposer les données de vos visiteurs — et exposer votre entreprise à des amendes. Les violations de données doivent être signalées à votre APD dans les 72 heures, et les personnes concernées doivent être informées s'il y a une menace sérieuse pour leurs droits.
Faits clés
- •L'APD belge a infligé des amendes pour des mesures de sécurité inadéquates
- •46 % de tous les sites web présentent au moins une vulnérabilité de haute gravité (Acunetix 2024)
- •Les plugins WordPress sont responsables de 97 % des vulnérabilités de sécurité WordPress
- •L'absence d'en-têtes de sécurité comme Content-Security-Policy laisse les sites vulnérables aux attaques XSS
- •L'article 32 du RGPD exige le chiffrement des données personnelles en transit — ce qui signifie que SSL/TLS n'est pas optionnel
Ce que nous vérifions
- ✓Validité et configuration du certificat SSL/TLS
- ✓En-têtes de sécurité (CSP, HSTS, X-Frame-Options, etc.)
- ✓Bibliothèques JavaScript présentant des vulnérabilités connues
- ✓Contenu mixte (ressources HTTP sur pages HTTPS)
- ✓Enregistrements d'authentification e-mail SPF, DKIM et DMARC
Sécurité des sites web : bons et mauvais exemples
Certificat SSL expiré ou manquant
Les visiteurs voient un avertissement « Non sécurisé » dans leur navigateur parce que le certificat SSL a expiré ou n'a jamais été installé. L'article 32 du RGPD exige le chiffrement des données personnelles en transit. Sans SSL/TLS, les soumissions de formulaires et identifiants de connexion sont envoyés en texte clair.
SSL valide avec renouvellement automatique
Un certificat SSL/TLS valide (par ex. Let's Encrypt) avec renouvellement automatique configuré. Le navigateur affiche une icône de cadenas. L'en-tête HSTS garantit que les navigateurs se connectent toujours en HTTPS, même si quelqu'un tape http://.
WordPress obsolète avec des vulnérabilités connues
Exécuter WordPress 5.x ou des plugins avec des failles de sécurité connues ayant des entrées CVE publiées. Les attaquants les recherchent automatiquement. Une vulnérabilité exploitée qui divulgue des données clients déclenche une notification obligatoire de violation dans les 72 heures.
Mises à jour régulières et gestion des correctifs
WordPress core, thèmes et plugins mis à jour dans les 48 heures suivant les correctifs de sécurité. Mises à jour automatiques activées pour les versions mineures. Plugins inutilisés entièrement supprimés plutôt que simplement désactivés.
Aucun en-tête de sécurité configuré
Absence de Content-Security-Policy, X-Frame-Options et en-têtes HSTS. Sans ceux-ci, votre site est vulnérable aux attaques par scripts intersites (XSS), au détournement de clic et aux attaques par rétrogradation de protocole. La plupart des hébergeurs ne les configurent pas par défaut.
En-têtes de sécurité correctement configurés
Content-Security-Policy bloque les scripts inline et restreint les origines des ressources. X-Frame-Options empêche le détournement de clic. HSTS avec un long max-age et includeSubDomains. Referrer-Policy défini sur strict-origin-when-cross-origin.
Contenu mixte sur des pages HTTPS
Un site web HTTPS qui charge des images, scripts ou feuilles de style via HTTP. Les navigateurs signalent cela comme non sécurisé et peuvent bloquer les ressources entièrement. Cela brise aussi la chaîne de chiffrement pour toute donnée transmise sur la page.
Toutes les ressources chargées en HTTPS
Chaque image, script, feuille de style et police chargé via HTTPS. Aucun avertissement de contenu mixte. Les ressources externes vérifiées pour le support HTTPS avant intégration. Une directive Content-Security-Policy upgrade-insecure-requests en secours.
Certificat SSL expiré ou manquant
Les visiteurs voient un avertissement « Non sécurisé » dans leur navigateur parce que le certificat SSL a expiré ou n'a jamais été installé. L'article 32 du RGPD exige le chiffrement des données personnelles en transit. Sans SSL/TLS, les soumissions de formulaires et identifiants de connexion sont envoyés en texte clair.
WordPress obsolète avec des vulnérabilités connues
Exécuter WordPress 5.x ou des plugins avec des failles de sécurité connues ayant des entrées CVE publiées. Les attaquants les recherchent automatiquement. Une vulnérabilité exploitée qui divulgue des données clients déclenche une notification obligatoire de violation dans les 72 heures.
Aucun en-tête de sécurité configuré
Absence de Content-Security-Policy, X-Frame-Options et en-têtes HSTS. Sans ceux-ci, votre site est vulnérable aux attaques par scripts intersites (XSS), au détournement de clic et aux attaques par rétrogradation de protocole. La plupart des hébergeurs ne les configurent pas par défaut.
Contenu mixte sur des pages HTTPS
Un site web HTTPS qui charge des images, scripts ou feuilles de style via HTTP. Les navigateurs signalent cela comme non sécurisé et peuvent bloquer les ressources entièrement. Cela brise aussi la chaîne de chiffrement pour toute donnée transmise sur la page.
SSL valide avec renouvellement automatique
Un certificat SSL/TLS valide (par ex. Let's Encrypt) avec renouvellement automatique configuré. Le navigateur affiche une icône de cadenas. L'en-tête HSTS garantit que les navigateurs se connectent toujours en HTTPS, même si quelqu'un tape http://.
Mises à jour régulières et gestion des correctifs
WordPress core, thèmes et plugins mis à jour dans les 48 heures suivant les correctifs de sécurité. Mises à jour automatiques activées pour les versions mineures. Plugins inutilisés entièrement supprimés plutôt que simplement désactivés.
En-têtes de sécurité correctement configurés
Content-Security-Policy bloque les scripts inline et restreint les origines des ressources. X-Frame-Options empêche le détournement de clic. HSTS avec un long max-age et includeSubDomains. Referrer-Policy défini sur strict-origin-when-cross-origin.
Toutes les ressources chargées en HTTPS
Chaque image, script, feuille de style et police chargé via HTTPS. Aucun avertissement de contenu mixte. Les ressources externes vérifiées pour le support HTTPS avant intégration. Une directive Content-Security-Policy upgrade-insecure-requests en secours.
Les guides arrivent bientôt.
Vérifiez votre site web maintenant
Analysez votre site web pour les problèmes de Sécurité et plus de 30 autres vérifications.
Scanner votre site gratuitement