Présentation - HTTP Security Headers Scanner

Security Headers Scanner

SHS est une plateforme d’analyse dédiée aux en-têtes de sécurité HTTP. Elle permet d’évaluer les protections visibles exposées par un site web, d’identifier les mécanismes absents ou perfectibles, et de suivre leur évolution dans le temps.

L’objectif est de fournir une lecture claire, progressive et exploitable d’un sujet souvent technique : comprendre rapidement l’état d’un site, repérer les points d’amélioration prioritaires, puis accéder à davantage de détails lorsque les droits de consultation le permettent.

Que sont les en-têtes de sécurité HTTP ?

Les en-têtes de sécurité HTTP, aussi appelés Security Headers, sont des informations envoyées par un serveur web dans ses réponses HTTP. Ils donnent des consignes aux navigateurs afin d’encadrer certains comportements sensibles : utilisation de HTTPS, chargement des scripts, intégration dans une iframe, gestion des cookies, transmission du référent ou accès à certaines fonctionnalités du navigateur.

Bien configurés, ces en-têtes contribuent à réduire certains risques comme le détournement de connexion, le clickjacking, l’exécution de scripts non autorisés ou la fuite d’informations. Ils ne sécurisent pas à eux seuls une application, mais ils font partie des bonnes pratiques importantes de durcissement web.

Lire l’article détaillé Explications détaillées sur les principaux en-têtes HTTP de sécurité.

À quoi sert SHS ?

SHS aide à comprendre comment un site web utilise les principaux en-têtes HTTP liés à la sécurité. Ces en-têtes contribuent notamment à limiter certains risques côté navigateur, à encadrer le chargement des ressources, ou encore à renforcer le comportement attendu des connexions HTTPS.

La plateforme transforme ces signaux techniques en indicateurs lisibles : note, score, tests réussis, historique d’analyse, évolutions positives ou dégradations détectées.

Ce que fait SHS

Analyse les en-têtes HTTP liés à la sécurité.
Présente un score, une note et un résumé lisible.
Affiche les tests réussis, manquants ou à améliorer.
Conserve un historique des analyses pour chaque site.
Met en évidence les améliorations et les dégradations observées.
Réserve certains détails techniques aux utilisateurs autorisés.

Comment interpréter les résultats

Les résultats fournis par SHS indiquent la présence, l’absence ou la qualité apparente de configuration de plusieurs mécanismes de sécurité HTTP. Ils permettent d’obtenir une première lecture de la posture sécuritaire exposée par un site depuis l’extérieur.

Un bon score signifie que plusieurs protections importantes sont présentes et correctement détectées. Un score plus faible peut signaler des protections manquantes, incomplètes ou mal configurées. Dans les deux cas, les résultats doivent être lus comme des indicateurs d’amélioration, et non comme une garantie absolue de sécurité.

Important : SHS aide à identifier des axes d’amélioration concrets, mais ne remplace pas un audit de sécurité complet.

À qui s’adresse SHS ?

SHS s’adresse aux personnes et aux équipes qui souhaitent disposer d’une vision claire, régulière et exploitable de certains mécanismes de sécurité HTTP visibles d’un site web.

propriétaires ou gestionnaires de sites web ;
équipes techniques chargées de l’exploitation ou de la maintenance ;
structures souhaitant disposer d’une vue centralisée sur plusieurs domaines ;
analystes souhaitant suivre l’évolution de configurations HTTP de sécurité ;
utilisateurs souhaitant mieux comprendre les protections visibles d’un site.

Ce que SHS ne remplace pas

SHS analyse des éléments visibles depuis l’extérieur, principalement à partir des réponses HTTP retournées par les sites testés.

La plateforme ne remplace ni une revue de code, ni un test d’intrusion, ni un audit d’architecture, ni une analyse complète des vulnérabilités applicatives. Elle constitue un point d’entrée utile pour repérer des signaux de configuration et suivre leur évolution.