Outil gratuit
Vérificateur gratuit d'en-têtes de sécurité
Entrez votre URL pour vérifier quels en-têtes de sécurité sont présents et obtenir une note avec des recommandations spécifiques pour améliorer votre posture de sécurité.
Comment ça fonctionne
Entrez votre URL
Collez l'adresse de votre site web dans le vérificateur ci-dessus.
Nous vérifions les en-têtes
L'outil récupère votre page et inspecte tous les en-têtes de sécurité HTTP par rapport aux bonnes pratiques.
Consultez votre note
Voyez quels en-têtes sont présents, manquants ou mal configurés avec des explications en langage clair.
Ce que cet outil vérifie
Strict-Transport-Security (HSTS)
Force les connexions HTTPS et empêche les attaques par rétrogradation.
Content-Security-Policy (CSP)
Contrôle quelles ressources le navigateur peut charger pour bloquer les attaques XSS.
X-Frame-Options
Empêche le détournement de clic en bloquant l'intégration de votre site dans des iframes.
X-Content-Type-Options
Empêche les navigateurs de deviner les types de contenu, bloquant les attaques par détournement MIME.
Referrer-Policy et Permissions-Policy
Contrôle le partage d'informations de référent et l'accès aux fonctionnalités du navigateur.
Pourquoi les en-têtes de sécurité sont importants
Les en-têtes de sécurité sont des instructions que votre serveur web envoie aux navigateurs avec chaque page. Ils indiquent au navigateur ce qu'il est autorisé à faire et ce qu'il doit bloquer. Sans eux, votre site est plus vulnérable aux attaques par scripts intersites (XSS), au détournement de clic, à l'injection de données et aux attaques de l'homme du milieu.
La plupart des frameworks web modernes permettent d'ajouter facilement des en-têtes de sécurité. Quelques lignes de configuration peuvent bloquer des catégories entières d'attaques. Pourtant, de nombreux sites web sont encore livrés sans en-têtes basiques car ils sont invisibles à l'oeil nu.
Google considère également le HTTPS et les signaux de sécurité comme des facteurs de classement. Un site correctement sécurisé protège non seulement vos visiteurs mais peut aussi mieux performer dans les résultats de recherche.
Questions fréquentes
Que sont les en-têtes de sécurité HTTP ?
Les en-têtes de sécurité HTTP sont des en-têtes de réponse que votre serveur web envoie aux navigateurs. Ils indiquent au navigateur comment se comporter lors du traitement du contenu de votre site, bloquant des attaques comme le XSS et le détournement de clic.
Pourquoi mon site obtient-il un F ?
Une note F signifie que la plupart des en-têtes de sécurité recommandés sont manquants. C'est courant pour les sites utilisant des configurations serveur par défaut. Ajouter les en-têtes prend généralement quelques minutes de configuration serveur.
Comment ajouter des en-têtes de sécurité à mon site ?
La méthode dépend de votre hébergement. Pour Apache, utilisez .htaccess, pour Nginx, utilisez la configuration du bloc serveur, pour Vercel ou Netlify, utilisez leur fichier de configuration des en-têtes. La plupart des CDN permettent aussi d'ajouter des en-têtes.
L'ajout d'en-têtes de sécurité ralentit-il mon site web ?
Non. Les en-têtes de sécurité ajoutent une quantité négligeable de données à chaque réponse, généralement moins de 500 octets. Ils n'ont aucun impact mesurable sur la vitesse de chargement des pages.
Content-Security-Policy est-il difficile à configurer ?
CSP peut être complexe pour les sites avec de nombreux scripts tiers. Commencez en mode report-only pour voir ce qui serait bloqué avant d'appliquer. Une politique basique est simple à mettre en place.
Les en-têtes de sécurité affectent-ils le SEO ?
Indirectement oui. Google favorise les sites HTTPS et HSTS garantit que le HTTPS est toujours utilisé. Un site sécurisé renforce aussi la confiance des utilisateurs, réduisant le taux de rebond ce qui peut améliorer le classement.
À quelle fréquence devrais-je vérifier mes en-têtes de sécurité ?
Vérifiez après chaque déploiement ou changement de configuration serveur. Les en-têtes peuvent être accidentellement supprimés lors des mises à jour. Une surveillance régulière détecte les régressions avant les attaquants.
La sécurité n'est qu'une pièce du puzzle
Votre score d'en-têtes de sécurité ne raconte qu'une partie de l'histoire. Nous vérifions aussi le consentement aux cookies, la conformité RGPD, l'accessibilité et plus de 120 autres points.
Lancer un scan gratuit du site web→