⚙Outil gratuit

Vérificateur sécurité site

Q: Comment ajouter les headers de sécurité ?

Selon votre hébergement : - Apache → fichier .htaccess (Header set X-Frame-Options "DENY") - Nginx → bloc server dans nginx.conf - Cloudflare → onglet Rules - WordPress → plugin Headers Security Advanced & HSTS WP - Vercel/Netlify → fichier de configuration (vercel.json, _headers) Notre plan de correction inclut le code exact pour votre hébergeur.

SSL + headers HTTP + HTTPS en 30 secondes

HTTPS est un signal de classement Google depuis 2014 — et en 2026, 95 % des résultats en première page sont en HTTPS (étude Backlinko). Mais avoir un certificat SSL ne suffit pas : 43 % des sites ont des headers de sécurité manquants (SecurityHeaders.com, 2024) et 12 % ont du mixed content (images HTTP sur pages HTTPS) qui déclenche un avertissement navigateur. Ce scanner vérifie tout en 30 secondes.

Utiliser l’outil →Service Création de site internet

43 %

des sites ont des headers de sécurité manquants

L'essentiel

Le vérificateur de sécurité site Les Créavores scanne votre site web en 30 secondes : certificat SSL/TLS (validité, expiration, chaîne, protocole TLS 1.3), six headers HTTP critiques (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy), redirection 301 HTTPS et détection du mixed content. Rapport scoring /100 OWASP-aligné. Gratuit, sans inscription.

Definition

Comment fonctionne le vérificateur sécurité site ?

La sécurité d'un site web repose sur plusieurs couches techniques.

Le certificat SSL/TLS chiffre les échanges entre le navigateur et le serveur — il est obligatoire pour le HTTPS et expire tous les 90 jours (Let's Encrypt) ou 1 an (certificats payants).

Les headers HTTP de sécurité protègent contre les attaques courantes :

HSTS (force le HTTPS)
Content-Security-Policy (bloque les scripts malveillants XSS)
X-Frame-Options (empêche le clickjacking)
X-Content-Type-Options (bloque le MIME sniffing)
Referrer-Policy (contrôle les données transmises)

La redirection HTTP→HTTPS doit être configurée en 301 permanent. Le mixed content (ressources HTTP chargées sur une page HTTPS) déclenche un avertissement « Non sécurisé » dans Chrome.

Google utilise le HTTPS comme signal de classement et Chrome affiche un cadenas barré pour les sites non sécurisés — ce qui augmente le taux de rebond de 20-30 %.

Service création site internet→Audit site internet→Test vitesse site→Guide création site professionnel→Audit SEO gratuit→

★★★★★ 5,0 / 5● 100 % gratuit● Sans inscription● Audit personnalisé offert, zéro engagement

Entrez l'URL de votre site. Le scanner analyse en quelques secondes votre certificat SSL/TLS, vos headers HTTP de sécurité, votre redirection HTTPS et le mixed content — puis calcule un score sécurité /100.

Expertise

Pourquoi utiliser notre
vérificateur sécurité site ?

🔒

Scan SSL complet

Validité du certificat, date d'expiration, chaîne de certificats, protocole TLS (1.2 ou 1.3), émetteur (Let's Encrypt, DigiCert, Sectigo). Alerte si le certificat expire dans moins de 30 jours.

🛡️

Audit headers HTTP sécurité

Vérification des 6 headers critiques : Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy. Note de A (tous présents) à F (aucun).

🔄

Test redirection HTTPS

Vérification que HTTP redirige vers HTTPS en 301 permanent (pas 302 temporaire). Détection des chaînes de redirection (HTTP → HTTPS → www → final). Chaque redirection supplémentaire ajoute 100-300 ms de latence.

⚠️

Détection mixed content

Scan des ressources HTTP chargées sur une page HTTPS : images, scripts, CSS, iframes. Le mixed content déclenche l'avertissement « Non sécurisé » dans Chrome et peut bloquer le chargement des ressources.

📊

Score sécurité /100

Score composite calqué sur la grille Mozilla Observatory : SSL/TLS (30 pts), headers HTTP (30 pts), redirection 301 HTTPS (20 pts), mixed content (20 pts). Chaque vecteur d'attaque est cartographié selon l'OWASP Top 10 2021 — Cryptographic Failures (A02) et Injection (A03) en tête. Seuil minimal recommandé : 80/100 pour un site professionnel conforme RGPD article 32.

Processus

Comment utiliser
le vérificateur sécurité site ?

1
Entrez l'URL de votre site
Collez l'URL de votre page d'accueil. Le scanner lance simultanément la vérification du certificat SSL/TLS via Qualys SSL Labs, l'audit des headers HTTP (note A+ à F à la SecurityHeaders.com), le test de redirection 301 et la détection de mixed content — en moins de 30 secondes.
2
Consultez le score sécurité
Rapport /100 structuré en quatre blocs : TLS (version, expiration, chaîne certificat), headers critiques (présence et valeur de chaque directive CSP, HSTS, X-Frame-Options), redirection permanente (301 vs 302 temporaire), mixed content (inventaire des ressources HTTP sur HTTPS). Chaque bloc affiche le risque CVE associé.
3
Appliquez les corrections
Feuille de route sécurité hiérarchisée selon la criticité OWASP : priorité 1 — SSL expiré ou TLS 1.0/1.1 actif (Cryptographic Failures A02) ; priorité 2 — headers absents exposant au XSS Cross-Site Scripting ou au clickjacking ; priorité 3 — renforcement HSTS preload et Content-Security-Policy strict pour atteindre la note A+ Mozilla Observatory.

FAQ

Questions fréquentes sur
le vérificateur sécurité site

Le HTTPS influence-t-il le SEO ?

Oui. Google utilise le HTTPS comme signal de classement depuis août 2014. En 2026, 95 % des résultats en première page sont en HTTPS (Backlinko). Un site HTTP non sécurisé est désavantagé dans le classement ET affiche un avertissement « Non sécurisé » dans Chrome — ce qui augmente le taux de rebond de 20-30 %.

Mon certificat SSL est-il gratuit ?

Let's Encrypt fournit des certificats SSL/TLS gratuits, automatiques et reconnus par tous les navigateurs. Renouvellement automatique tous les 90 jours. La plupart des hébergeurs (OVH, LWS, Ionos, o2switch) intègrent Let's Encrypt en 1 clic. Les certificats payants (DigiCert, Sectigo) ajoutent une validation d'entreprise (EV) mais n'ont pas d'avantage SEO.

Quels headers de sécurité sont obligatoires ?

Aucun n'est techniquement « obligatoire » mais 3 sont fortement recommandés :

Strict-Transport-Security (HSTS) — force le HTTPS.
X-Content-Type-Options: nosniff — bloque le MIME sniffing.
X-Frame-Options: DENY — empêche le clickjacking.

Content-Security-Policy (CSP) est le plus puissant mais aussi le plus complexe à configurer.

Qu'est-ce que le mixed content ?

Le mixed content se produit quand une page HTTPS charge des ressources en HTTP (images, scripts, CSS). Le navigateur affiche un avertissement et peut bloquer les ressources HTTP.

Cause fréquente : URLs en dur (http://...) dans le code au lieu de relatives (//... ou https://...). Solution : remplacer toutes les URLs HTTP par HTTPS dans le code et la base de données.

TLS 1.2 ou TLS 1.3 ?

TLS 1.3 (2018) est plus rapide (1 aller-retour au lieu de 2 pour le handshake) et plus sécurisé que TLS 1.2. En 2026, TLS 1.3 est supporté par 99 % des navigateurs. La plupart des hébergeurs modernes l'activent par défaut. TLS 1.0 et 1.1 sont obsolètes et bloqués par Chrome/Firefox depuis 2020.