Note F en sécurité securityheaders.com : pourquoi votre site est exposé et comment savoir

Votre site a une note F en sécurité.Personne ne vous l'a dit. Faisons mieux.

securityheaders.com est un outil public, gratuit, anonyme. Vous y tapez votre domaine, vous obtenez en 10 secondes un bulletin de notes de A+ à F sur les 6 protections HTTP que votre site devrait poser. La majorité des sites de PME française que j'audite chez Menschhh reçoivent un F. Cet article n'est pas un audit déguisé. C'est un mode d'emploi pour faire le test vous‑même, comprendre le résultat, et savoir quoi en faire avec votre prestataire ou votre équipe technique.

Olivier Beining, signature de l'article Par Olivier Publié le 26 mai 2026 · 9 min de lecture

01 · Le test

Le test qui prend 10 secondes.

Vous ouvrez securityheaders.com. Vous tapez votre domaine. Vous appuyez sur entrée. Le site interroge votre serveur, lit les en‑têtes HTTP que vous renvoyez à chaque visiteur, et affiche un grade global de A+ à F.

Le résultat est public. N'importe qui peut faire le test, sur n'importe quel site. C'est l'équivalent securityheaders du nutri‑score : un signal lisible immédiatement, qui ne demande aucune compétence technique pour être interprété au niveau du grade.

Pas de connexion à fournir, pas d'installation, pas d'agent à poser sur votre site. L'outil mesure depuis l'extérieur ce que votre serveur dit publiquement à chaque navigateur qui demande votre page d'accueil.

Source : securityheaders.com, outil maintenu depuis 2015 par Scott Helme, devenu référence industrie pour l'audit des en‑têtes HTTP.

02 · Le verdict

Si vous voyez ce F, vous avez 6 portes ouvertes.

Le F est le grade par défaut d'un site WordPress, Shopify ou Wix sortie d'usine. Ce n'est pas une exception : c'est la règle observée sur 8 sites PME sur 10 que je passe en audit avant une refonte.

Le F ne signifie pas que votre site est attaqué. Il signifie qu'il est configurable mais pas configuré. 6 protections HTTP standard de l'industrie sont absentes de la réponse serveur. Les sites professionnels les posent depuis 2018.

  • 2018 Année depuis laquelle les sites pros ferment ces 6 portes
  • F Grade par défaut WordPress, Shopify, Wix
  • 30 min Temps moyen pour passer de F à A

Aucune protection HTTP active

F

_01 Le jour du verdict

25 mai 2026, une dirigeante PME découvre le grade de son propre site.

J'avais préparé une slide d'audit pour une refonte. Le badge F est apparu à l'écran avant qu'elle n'ait eu le temps de poser une question. Site WordPress en ligne depuis plusieurs années, prestataire historique sérieux, équipe technique compétente. Sa première phrase n'a pas été technique. « Mais personne ne m'en a jamais parlé. » C'est la phrase que j'entends dans 9 audits sur 10. Le sujet n'est pas dans le radar des dirigeants parce qu'il n'est pas dans le radar de leurs prestataires. Et ça, c'est peut-être plus grave que le grade F lui-même.

03 · L'analogie

Votre site est un immeuble de bureaux ouvert au public.

Pensez à votre site comme à un immeuble de bureaux que vous ouvrez chaque jour à des visiteurs : clients, prospects, candidats, partenaires. Les 6 en‑têtes de sécurité HTTP, c'est l'équivalent du badge à l'entrée, de la vidéosurveillance, des portes blindées, du contrôle d'accès aux ascenseurs.

Sans ces 6 éléments, votre immeuble est ouvert à tout vent. N'importe qui peut entrer, se faire passer pour vous, voler des données à vos clients, déjouer votre accueil. Ce n'est pas qu'on va forcément vous attaquer demain. C'est que le risque existe et qu'il est évitable en 30 minutes de configuration.

securityheaders.com est le bulletin scolaire de ce dispositif. Voici comment lire la note que vous obtenez :

A+ Excellent. Niveau banque, gouvernement. Difficile à obtenir sans casser du fonctionnel.
A Standard pro 2026. Ce qu'on attend d'un site d'entreprise sérieuse.
B Acceptable mais incomplet. Une ou deux protections manquent encore.
C Insuffisant. Plusieurs portes ouvertes.
D, E Risque réel. Pas défendable devant un prospect B2B sérieux ou un audit client.
F Zéro protection HTTP. Cas majoritaire dans la nature 2026, mais c'est le défaut sortie d'usine, pas une fatalité.

04 · Les 6 portes

Les 6 protections HTTP, expliquées sans jargon.

Chaque protection traite un risque concret. Voici ce qu'elles font, et ce qu'il se passe quand elles sont absentes.

  • _01

    HSTS · la porte blindée HTTPS

    Force le navigateur à toujours utiliser la connexion chiffrée HTTPS sur votre site, jamais la version non chiffrée. Sans cette protection, un client qui se connecte à votre site sur le wifi public d'un hôtel, d'un café ou d'un salon professionnel laisse une fraction de seconde où sa requête circule en clair. Un attaquant sur le même wifi peut l'intercepter et le rediriger vers une fausse version de votre site.

  • _02

    CSP · le contrôle d'accès au code

    Une liste blanche des sources de code que votre site est autorisé à exécuter. Tout ce qui n'est pas dans la liste est bloqué par le navigateur. Sans elle, si un attaquant arrive à injecter du code malicieux dans votre site (faille XSS, plugin compromis, commentaire piégé), ce code s'exécute librement. Avec CSP, l'attaque est neutralisée même si l'injection a réussi.

  • _03

    X‑Content‑Type‑Options · l'étiquette qui ne ment pas

    Empêche le navigateur de deviner le type d'un fichier en le scannant. Il doit se fier strictement à l'étiquette qu'on lui donne. Sans cette protection, un attaquant peut uploader un fichier image qui contient en fait du JavaScript caché : certains navigateurs vont exécuter le code au lieu d'afficher l'image. Fix en 2 lignes côté serveur.

  • _04

    X‑Frame‑Options · l'anti‑clickjacking

    Empêche d'autres sites d'intégrer le vôtre dans une iframe invisible. Un escroc crée un faux site, met votre formulaire de devis ou votre espace client par‑dessus dans une iframe invisible, et capte les actions de vos visiteurs sans qu'ils s'en rendent compte. Avec cette protection, le navigateur refuse d'afficher votre site quand quelqu'un essaie de le cadrer.

  • _05

    Referrer‑Policy · l'URL qui ne fuite pas

    Contrôle quelles informations sont envoyées aux sites externes quand vos visiteurs cliquent sur un lien sortant. Les URLs contiennent souvent des données sensibles : tokens de connexion, identifiants client, montants. Sans cette protection, tous les sites externes que vos clients visitent reçoivent l'URL complète d'où ils viennent. Signal RGPD négatif direct.

  • _06

    Permissions‑Policy · les fonctions du navigateur sous contrôle

    Déclare quelles fonctionnalités du navigateur votre site a le droit d'utiliser : caméra, micro, géolocalisation, paiement Apple Pay ou Google Pay. Tout le reste est désactivé. Sans cette protection, si une faille permet à un script malicieux de s'exécuter, il peut accéder à la webcam, au micro, à la géolocalisation de vos visiteurs sans leur consentement. Avec elle, ces APIs sont coupées à la racine.

05 · Le lexique

Lexique technique securityheaders.com.

Pour aller plus loin avec votre prestataire ou votre équipe technique, voici les 6 en‑têtes nommés exactement comme securityheaders.com les liste, leur fonction technique et la valeur recommandée à poser côté serveur.

Strict-Transport-Security Renforce votre implémentation TLS en forçant le navigateur à n'utiliser que HTTPS sur votre domaine. Empêche tout downgrade vers HTTP. · Recommandé : max-age=63072000; includeSubDomains; preload
Content-Security-Policy Protection efficace contre les attaques XSS. Vous déclarez une liste blanche de sources autorisées : le navigateur refuse de charger toute ressource hors liste. · Recommandé : Liste blanche par origine (self, analytics, CDN)
X-Frame-Options Indique au navigateur si votre site peut être intégré dans une iframe. Bloque les attaques de type clickjacking. · Recommandé : DENY
X-Content-Type-Options Empêche le navigateur de deviner le type MIME d'un fichier. Il doit suivre strictement le content‑type déclaré par le serveur. · Recommandé : nosniff
Referrer-Policy Contrôle quelles informations sur l'URL d'origine sont transmises au site de destination lors des navigations sortantes. · Recommandé : strict-origin-when-cross-origin
Permissions-Policy Permet à votre site de contrôler quelles fonctionnalités et APIs du navigateur peuvent être utilisées (caméra, micro, géoloc, paiement). · Recommandé : camera=(), microphone=(), geolocation=(), payment=(), usb=()
Aucun impact visuel. Aucun changement pour vos visiteurs. Juste des en‑têtes posés côté serveur.

Slide d'audit Menschhh, 25 mai 2026

07 · Avant / après

Ce que ça donne, une fois posé.

Le fix ne change rien à l'apparence de votre site. Aucun pixel ne bouge. Aucun lien ne casse. Aucun visiteur ne s'aperçoit de la différence depuis son navigateur.

Mais le bulletin securityheaders.com bascule en quelques minutes : de 0 protection HTTP active à 7 en‑têtes posés (les 6 standard plus Cross‑Origin‑Opener‑Policy qu'on ajoute en bonus). Le grade global passe de F à A.

C'est la même boutique, le même produit, le même contenu. Juste un immeuble qui ferme enfin ses portes.

Avant le fix

Grade F
  • 0 en-tête posé
  • Aucune protection HTTP active

Après le fix

Grade A
  • 7 en-têtes posés
  • Standard pro 2026, niveau entreprise sérieuse

08 · La méthode

Faites le test maintenant. 3 étapes.

1. Ouvrez securityheaders.com. Tapez votre domaine principal. Activez Follow Redirects. Appuyez sur entrée.

2. Lisez le grade affiché. Notez‑le, prenez la capture d'écran. Faites tourner le test sur 2 ou 3 sites de référence de votre secteur : leurs grades vous donnent le standard réel pratiqué autour de vous.

3. Si vous lisez D, E ou F, envoyez la capture à votre prestataire web ou à votre équipe technique avec une question simple : « quel est le plan pour passer ce site en A d'ici 30 jours ? ». Si la réponse est floue, vague ou défensive, vous savez ce que ça veut dire.

L'opération est rapide. Elle ne demande pas de refonte. Elle ne change rien à votre site visuellement. Elle se fait au niveau de la configuration serveur ou de votre couche edge (Cloudflare par exemple). N'importe quel prestataire compétent sait poser ces 6 en‑têtes en moins d'une demi‑journée. Si votre site souffre d'un autre symptôme classique en parallèle, j'ai écrit ailleurs pourquoi votre site ne convertit pas.

09 · La nuance

Ce que la note F ne veut pas dire.

Lire F sur securityheaders.com ne signifie pas que votre site va être attaqué demain. Ce n'est pas une vulnérabilité active, ce n'est pas une faille zero‑day. C'est l'absence d'une couche de protection standard que les sites pros posent par défaut.

Inversement, lire A ne signifie pas que votre site est invulnérable. Un site en grade A peut avoir une faille applicative grave ailleurs (injection SQL, plugin vérolé, mot de passe admin faible). Les en‑têtes HTTP ne sont qu'une couche du dispositif, pas le dispositif entier.

Ce que la note F dit vraiment, c'est qu'il y a une négligence systémique du marché web français sur ce point précis. La majorité des sites PME que j'audite sont en F. Pas parce qu'ils sont mal faits, mais parce que ce sujet n'a jamais été abordé entre le dirigeant et son prestataire. Ce silence est le vrai problème.

10 · Questions fréquentes

Questions que les dirigeants me posent en audit.

Si mon site est en F, on va m'attaquer demain ?
Non. F signifie que 6 portes sont ouvertes, pas que quelqu'un est en train de les pousser. Le risque est probabiliste : plus votre activité prend de la visibilité (presse, partenaires, appels d'offres), plus la probabilité que quelqu'un teste votre surface d'attaque augmente. La logique est la même que pour les serrures de votre boutique : vous les fermez la nuit non pas parce qu'on est en train de cambrioler, mais parce que le risque est réel et que le fix coûte 30 minutes.
Combien de temps faut‑il pour passer de F à A ?
30 minutes à une demi‑journée selon l'hébergement. La configuration se fait au niveau du serveur web (Apache, nginx) ou au niveau de votre CDN (Cloudflare Transform Rules). Aucun changement de code applicatif, aucune migration, aucun risque de casser le site visible. Si votre prestataire vous annonce 2 semaines ou 3 000 €, c'est qu'il y a un problème ailleurs.
Mon hébergeur ne s'en occupe pas par défaut ?
Non. C'est l'angle mort de la majorité des offres d'hébergement grand public. Hébergeur, prestataire web, agence : chacun considère que c'est le rôle de l'autre. Résultat, personne ne le fait. Ces en‑têtes sont une décision active à prendre par le responsable du site, pas une option qui s'active toute seule.
C'est compatible WordPress, Shopify, Wix ?
Oui pour les 3, mais avec des nuances. WordPress permet une configuration fine via le serveur ou un plugin. Shopify pose la majorité des en‑têtes pour vous sur la version moderne mais pas tous. Wix et les builders SaaS limitent la marge de manœuvre. Si vous êtes sur un builder fermé, faites le test : si vous lisez F, la seule option propre est souvent de migrer vers une stack qui vous laisse la main.
Cloudflare devant mon site suffit ?
Non, pas en mode plug‑and‑play. Activer Cloudflare ne pose pas les 6 en‑têtes automatiquement. Il faut configurer une Transform Rule dans Cloudflare pour les injecter au niveau du edge. Cette configuration est rapide mais doit être faite explicitement. Sans elle, le grade ne bouge pas.
Le grade A nuit‑il à mon référencement Google ?
Non, l'inverse. HTTPS strict, signal de site bien tenu, navigation propre : tous ces critères sont pris en compte favorablement par Google. La sécurité est un signal de qualité utilisateur que les moteurs apprécient. Aucun cas connu de perte de référencement après un passage en grade A.

Étape suivante

Et pour votre site web ?

30 minutes en visio pour regarder votre site ensemble, identifier ce qui freine, chiffrer ce qui vaut la peine d’être fait. Sans engagement, sans relance commerciale. Si on s’entend, on continue.