HTTPS est un facteur de classement Google. Découvrez comment sécuriser votre site et protéger vos visiteurs avec les bonnes pratiques de sécurité web.
Depuis 2014, Google utilise HTTPS comme signal de classement. Un site non sécurisé (HTTP) est pénalisé dans les résultats de recherche et affiché avec un avertissement "Non sécurisé" dans Chrome, ce qui fait fuir les visiteurs.
Au-delà de HTTPS, les en-têtes de sécurité protègent votre site contre les attaques (XSS, clickjacking, injection) et renforcent la confiance des utilisateurs et des moteurs de recherche.
Le certificat SSL chiffre les communications entre le navigateur de l'utilisateur et votre serveur. Il active le protocole HTTPS et affiche le cadenas dans la barre d'adresse.
Connexion sécurisée - Certificat valide
HSTS force le navigateur à toujours utiliser HTTPS pour votre domaine, empêchant les attaques de type "man-in-the-middle" et les redirections HTTP vers HTTPS.
Configuration recommandée :
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
CSP contrôle quelles ressources peuvent être chargées sur votre page. C'est la protection la plus efficace contre les attaques XSS (Cross-Site Scripting).
Exemple basique :
Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline'
Empêche votre site d'être intégré dans une iframe sur un autre domaine, protégeant contre les attaques de clickjacking.
Configuration recommandée :
X-Frame-Options: SAMEORIGIN
X-Content-Type-Options: nosniff
Empêche le navigateur de deviner le type MIME
X-XSS-Protection: 1; mode=block
Active le filtre XSS du navigateur
Referrer-Policy: strict-origin-when-cross-origin
Contrôle les informations de référent envoyées
Permissions-Policy: geolocation=(), microphone=()
Contrôle l'accès aux API du navigateur
Notre outil analyse automatiquement la sécurité de votre site et vous donne un score détaillé avec des recommandations pour améliorer votre protection.