Sécuriser le site web de votre entreprise

Au-delà des courriels, votre site web a aussi besoin de quelques réglages de sécurité de base. Voici les principaux et à quoi ils servent.

HTTPS et redirection

Votre site doit être servi en HTTPS (cadenas), et toute visite en http:// doit être redirigée automatiquement vers https://. La plupart des hébergeurs offrent un certificat gratuit (Let's Encrypt) en un clic.

HSTS — forcer le HTTPS

L'en-tête Strict-Transport-Security oblige le navigateur à toujours utiliser HTTPS, même si quelqu'un tape l'adresse en http. Cela bloque certaines attaques d'interception.

CSP — limiter les scripts

L'en-tête Content-Security-Policy restreint d'où le navigateur peut charger du code, ce qui réduit fortement le risque d'injection de scripts malveillants (XSS).

Anti-clickjacking et anti-sniffing

X-Frame-Options: DENY empêche qu'on intègre votre site dans un cadre piégé. X-Content-Type-Options: nosniff empêche le navigateur de mal interpréter vos fichiers.

Ces en-têtes s'ajoutent dans la configuration de votre serveur ou de votre hébergeur (Apache, Nginx, Cloudflare, etc.).

Vérifiez votre configuration gratuitement

Entrez votre domaine : on teste vos SPF, DKIM, DMARC et votre site, et on vous donne le plan d'action exact.

Faire le bilan gratuit
À lire aussi : le guide SPF, DKIM, DMARC, Microsoft 365, Google Workspace, sécuriser son site web.