Sécurité
CSP (Content Security Policy), c'est quoi ?
Le CSP (Content Security Policy) est un en-tête de sécurité HTTP qui indique au navigateur quels scripts, styles et ressources votre site est autorisé à charger. C'est la principale protection contre les attaques XSS (Cross-Site Scripting), qui représentent la catégorie de failles la plus fréquente sur le web.
Le CSP est un en-tête HTTP envoyé par votre serveur à chaque visiteur. Il dresse une liste blanche des sources de contenu autorisées sur votre site : quels domaines peuvent fournir des scripts, des styles, des images, des polices. Si un script malveillant tente de s'exécuter depuis un domaine non autorisé, le navigateur le bloque silencieusement. C'est une barrière de sécurité que la majorité des sites PME n'ont pas activée.
L'analogie simple
Imaginez un restaurant qui ne reçoit de marchandises que de fournisseurs approuvés et figurant sur une liste. Si un livreur inconnu se présente à la porte de service avec des ingrédients, il est refusé, peu importe ce qu'il prétend livrer. Le CSP fonctionne pareil pour votre site : vous dressez une liste des fournisseurs de code autorisés (Google Analytics, votre CDN de polices, votre système de paiement). Tout code qui arrive d'une source non listée est refusé par le navigateur avant même d'être exécuté.
Pourquoi Google s'en préoccupe
Les attaques XSS (Cross-Site Scripting) consistent à injecter du code malveillant dans une page web pour voler des données de session, rediriger les visiteurs ou afficher des contenus frauduleux. Elles représentent l'une des catégories de failles les plus exploitées sur le web. Sans CSP, un attaquant qui parvient à injecter du JavaScript dans votre page (via un commentaire, un formulaire ou une dépendance compromise) peut exécuter n'importe quel code chez vos visiteurs. Le CSP ne remplace pas les corrections de failles, mais limite les dégâts en cas d'injection réussie.
Ce que ça change pour votre site
Un site PME sans CSP est vulnérable aux injections de scripts qui peuvent détourner les formulaires de contact, voler les coordonnées de vos visiteurs ou afficher des publicités malveillantes à leur insu. En cas d'incident, votre responsabilité RGPD peut être engagée si des données personnelles ont été compromises. Les outils d'audit comme securityheaders.com affichent un grade F ou D sans CSP, ce que certains prospects B2B vérifient avant de signer un contrat avec un prestataire web.
Sur mes sites
Comment Guillaume Creation le garantit
Sur mes sites
grade A sur securityheaders.com avec CSP strict, HSTS, X-Frame-Options, Referrer-Policy et Permissions-Policy
Moyenne française
moins de 10 pour cent des sites PME français ont un CSP configuré selon securityheaders.com
Source : Audits securityheaders.com sur les projets livrés
Questions fréquentes
Comment savoir si mon site a un CSP configuré ?
Rendez-vous sur securityheaders.com, entrez l'adresse de votre site. Vous obtenez une note de A à F et la liste des en-têtes de sécurité présents ou manquants. Un grade F ou D indique généralement l'absence de CSP (et d'autres en-têtes de sécurité).
Le CSP peut-il casser mon site si je le configure mal ?
Oui, c'est le principal risque. Un CSP trop restrictif bloque des ressources légitimes (Google Fonts, scripts analytics, chatbot support) et peut rendre des fonctionnalités inaccessibles. C'est pourquoi on commence en mode report-only (qui observe sans bloquer), puis on affine la liste blanche avant de passer en mode strict.
Le CSP protège-t-il contre toutes les attaques web ?
Non, le CSP protège spécifiquement contre les injections XSS et le chargement de ressources non autorisées. Il ne protège pas contre les injections SQL, les failles CSRF ou les attaques par force brute. La sécurité complète d'un site requiert plusieurs couches de protection complémentaires.
Pour les curieux : le détail technique
Le CSP se configure via l'en-tête HTTP Content-Security-Policy. Les directives principales : default-src (source par défaut), script-src (scripts JavaScript), style-src (feuilles de style), img-src (images), font-src (polices), connect-src (requêtes API/fetch/XHR), frame-ancestors (protection contre le clickjacking). La directive report-uri permet d'envoyer les violations dans un tableau de bord pour les surveiller sans bloquer d'abord. La mise en place d'un CSP strict demande de lister toutes les ressources tierces utilisées par le site (Google Fonts, YouTube, intercom, etc.), ce qui nécessite une connaissance technique précise de l'architecture du site.
Sources de référence
Termes liés
Sécurité
HSTS, c'est quoi ?
HSTS est une instruction de sécurité qui force votre navigateur à toujours se connecter à votre site en HTTPS, jamais en HTTP. Sans HSTS, une attaque simple peut intercepter votre connexion.
Sécurité
HTTPS, c'est quoi ?
HTTPS (HyperText Transfer Protocol Secure) est la version sécurisée du protocole qui fait circuler les données entre votre navigateur et un site web. Sans HTTPS, les données transitent en clair sur le réseau. Avec HTTPS, elles sont chiffrées et illisibles pour quiconque intercepterait la connexion.
Ce standard est garanti sur mes sites.
Les trois offres Essentiel, Business et Signature garantissent les standards techniques du top 3 pour cent et top 1 pour cent des sites français. Rien n'est en option.