Sécurité
HSTS, c'est quoi ?
HSTS est une instruction de sécurité qui force votre navigateur à toujours se connecter à votre site en HTTPS, jamais en HTTP. Sans HSTS, une attaque simple peut intercepter votre connexion.
HSTS (HTTP Strict Transport Security) est un en-tête HTTP envoyé par un serveur à un navigateur. Il dit au navigateur : dorénavant, pour ce site, utilise toujours HTTPS, jamais HTTP, même si l'utilisateur tape une adresse qui commence par http. C'est une protection contre l'interception de connexion.
L'analogie simple
Imaginez que vous demandez à un taxi de toujours vous emmener par l'autoroute sécurisée, jamais par les petites routes de campagne peu éclairées. La première fois, vous lui donnez l'instruction. Les fois suivantes, il s'en souvient automatiquement sans que vous ayez à le répéter. HSTS fonctionne pareil : une fois l'instruction envoyée, le navigateur prend toujours l'autoroute sécurisée (HTTPS), même si vous tapez l'adresse sans le "s".
Pourquoi Google s'en préoccupe
Sans HSTS, un attaquant sur un réseau Wi-Fi public peut intercepter la première connexion d'un visiteur à votre site et le rediriger vers une fausse version du site pour voler ses données. HSTS empêche ça en bloquant tout accès en HTTP. C'est une protection standard en 2026 que la majorité des sites PME n'ont toujours pas activée.
Ce que ça change pour votre site
Si votre site traite des formulaires de contact, des devis en ligne ou des espaces client, l'absence de HSTS expose vos visiteurs à un risque d'interception sur les réseaux Wi-Fi publics (cafés, hôtels, gares). En cas d'incident, votre responsabilité peut être engagée au titre du RGPD. De plus, les outils d'audit de sécurité comme securityheaders.com affichent un grade F sans HSTS, ce que certains décideurs PME vérifient avant de signer un devis.
Sur mes sites
Comment Guillaume Creation le garantit
Sur mes sites
max-age 2 ans avec includeSubDomains et preload
Moyenne française
moins de 15 pour cent des sites PME français ont HSTS
Source : securityheaders.com (audits publics)
Questions fréquentes
Comment savoir si mon site a HSTS ?
Rendez-vous sur securityheaders.com, entrez l'adresse de votre site. Vous obtenez une note de A plus à F, et la liste détaillée des en-têtes de sécurité présents ou manquants. Si HSTS n'apparaît pas, il n'est pas activé.
Est-ce que HSTS est compatible avec tous les navigateurs ?
Oui, tous les navigateurs modernes (Chrome, Firefox, Safari, Edge) supportent HSTS depuis plus de 10 ans. Aucun risque de compatibilité.
Est-ce que je peux activer HSTS moi-même sur WordPress ou Wix ?
Sur Wix ou Shopify, HSTS est souvent activé par défaut par la plateforme. Sur WordPress, ça dépend de votre hébergeur : certains le proposent en option, d'autres demandent une modification manuelle du fichier de configuration serveur. C'est une intervention technique à confier à un professionnel.
Pour les curieux : le détail technique
HSTS se configure par un en-tête HTTP côté serveur : Strict-Transport-Security avec trois directives principales. max-age définit la durée pendant laquelle le navigateur doit forcer HTTPS (en secondes, généralement 2 ans soit 63072000). includeSubDomains étend la protection à tous les sous-domaines. preload inscrit le site dans la liste officielle des navigateurs (Chrome, Firefox, Safari) pour que la protection soit active dès la première visite.
Sources de référence
Termes liés
Sécurité
HTTPS, c'est quoi ?
HTTPS (HyperText Transfer Protocol Secure) est la version sécurisée du protocole qui fait circuler les données entre votre navigateur et un site web. Sans HTTPS, les données transitent en clair sur le réseau. Avec HTTPS, elles sont chiffrées et illisibles pour quiconque intercepterait la connexion.
Sécurité
CSP (Content Security Policy), c'est quoi ?
Le CSP (Content Security Policy) est un en-tête de sécurité HTTP qui indique au navigateur quels scripts, styles et ressources votre site est autorisé à charger. C'est la principale protection contre les attaques XSS (Cross-Site Scripting), qui représentent la catégorie de failles la plus fréquente sur le web.
Ce standard est garanti sur mes sites.
Les trois offres Essentiel, Business et Signature garantissent les standards techniques du top 3 pour cent et top 1 pour cent des sites français. Rien n'est en option.