← Tous les guides

Les en-têtes de sécurité HTTP expliqués (HSTS, CSP...)

1 juin 2026 · 2 min de lecture

Invisibles pour les visiteurs mais essentiels à la sécurité : les en-têtes de sécurité demandent à votre navigateur de refuser les connexions non sûres et de bloquer les scripts risqués.

Qu'est-ce que les en-têtes de sécurité HTTP ?

Chaque fois que vous ouvrez une page Web, le serveur renvoie la page et un ensemble d'instructions appelées en-têtes de réponse. Quelques-uns sont des en-têtes de sécurité : ils demandent à votre navigateur d'adopter un comportement plus sûr - refuser les connexions non sécurisées, bloquer les scripts risqués et empêcher d'autres sites de détourner la page. Invisibles pour les visiteurs, ils changent réellement le niveau de sécurité d'un site.

Les en-têtes qui comptent

  • Strict-Transport-Security (HSTS). Force les navigateurs à utiliser HTTPS, pour que la connexion ne puisse pas être discrètement rétrogradée en non chiffrée.
  • Content-Security-Policy (CSP). Contrôle ce qu'une page peut charger - la meilleure défense contre les scripts intersites (XSS), où un attaquant injecte du code malveillant.
  • X-Content-Type-Options : nosniff. Empêche le navigateur de « deviner » le type d'un fichier et de l'exécuter comme quelque chose de dangereux.
  • X-Frame-Options / frame-ancestors. Empêche d'autres sites d'intégrer la page dans un cadre caché pour vous tromper (détournement de clic).
  • Referrer-Policy. Limite la quantité d'informations d'adresse divulguées lorsque vous suivez un lien hors du site.
  • Permissions-Policy. Restreint les fonctions puissantes comme la caméra, le micro et la localisation.

Pourquoi cela vous concerne

Ce n'est pas vous qui définissez ces en-têtes, mais les propriétaires de sites. Ils sont toutefois un indice du sérieux d'un site en matière de sécurité. Une banque ou une boutique qui néglige les bases (surtout HSTS et CSP) mérite une petite réserve. Ce n'est pas un verdict de sûreté : un site peut avoir des en-têtes parfaits et être une arnaque, ou en manquer quelques-uns et être parfaitement légitime. Considérez-les comme un indice, pas le portrait complet.

Vérifiez les en-têtes d'un site

Notre vérificateur d'en-têtes de sécurité récupère un site, évalue les en-têtes ci-dessus de A+ à F et explique ce que fait chacun et ce qui manque - en langage clair. Si vous gérez un site, c'est un moyen rapide de repérer des gains faciles. Combinez-le avec le vérificateur SSL/TLS pour le volet chiffrement.

Essayez-le vous-même

Ouvrir le vérificateur d'en-têtes de sécurité

1 juin 2026

Qu'est-ce que le typosquattage ? Les domaines imitateurs

Un zéro à la place d'un « o », un mot ajouté, une autre terminaison - les domaines imitateurs sont conçus pour vous piéger quand vous allez vite. Voici comment.

Lire le guide

30 mai 2026

Votre mot de passe figurait dans une fuite : que faire maintenant

Une notification de fuite est troublante, mais la solution est simple. Voici exactement quoi faire - et comment faire en sorte que ça n'ait plus d'importance.

Lire le guide

30 mai 2026

L'authentification à deux facteurs (2FA) : ce que c'est et pourquoi en avoir

La 2FA est l'étape la plus efficace pour protéger vos comptes - même si votre mot de passe fuit. Voici comment elle fonctionne et comment la configurer.

Lire le guide