Qu'est-ce qu'une note SecurityScorecard et qu'est-ce que cela signifie pour ton site web ? Carrie SmahaMis à jour le 14 mai 2026 9 minutes de lecture Une note SecurityScorecard est une évaluation de sécurité « de l'extérieur vers l'intérieur » attribuée à ton organisation, qui repose entièrement sur ce qui est visible publiquement depuis Internet. Elle ne nécessite ni ta coopération, ni tes identifiants, ni même que tu en aies conscience. SecurityScorecard analyse ton infrastructure accessible au public et attribue une note à ce qu'il détecte — exactement comme un pirate examinerait ton site avant de décider s'il vaut la peine d'approfondir ses recherches. Si tu as reçu une fiche d'évaluation d'un client, d'un fournisseur ou de ta propre équipe de sécurité et que tu ne sais pas trop ce que cela signifie, cet article t'explique ce que la plateforme évalue, pourquoi certains problèmes sont difficiles à résoudre sur un hébergement mutualisé ou géré, et ce qui change avec un serveur dédié. Table des matières Comment SecurityScorecard évalue-t-il ta sécurité ? Que signifie réellement cette note alphabétique ? Quels sont les 10 facteurs de risque évalués par SecurityScorecard ? Pourquoi tes notes intéressent-elles les entreprises et les équipes chargées des achats ? Quels indicateurs de ta fiche de suivi révèlent des problèmes de configuration de l'hébergement ? Pourquoi les environnements d'hébergement mutualisé et dédié limitent ce que tu peux corriger Quels sont les changements avec un serveur dédié ? Ce que SecurityScorecard ne mesure pas Comment commencer à améliorer ton score Comment prendre le contrôle de ta configuration de sécurité Comment SecurityScorecard évalue-t-il ta sécurité ? SecurityScorecard analyse l'ensemble de l'espace d'adressage IPv4 — soit plus de 3,9 milliards d'adresses IP routables — tous les 10 jours, sur plus de 1 400 ports. La plateforme analyse également les ressources cloud plusieurs fois par jour, car la propriété des adresses IP dans le cloud change fréquemment. L'analyse recueille toutes les informations qu'un pirate pourrait repérer depuis l'extérieur : ports exposés, versions de logiciels obsolètes et failles connues, ainsi que des données provenant de sources privées telles que les flux d'informations sur les menaces et les bases de données de vulnérabilités. Ce processus ne nécessite à aucun moment d'accéder à tes systèmes. Ton score reflète ce que SecurityScorecard peut voir depuis l'Internet public — c'est-à-dire exactement ce que verrait en premier toute personne cherchant à pirater ton site. Les scores sont mis à jour quotidiennement. Si ton infrastructure et le nombre de problèmes restent stables, ton score reste inchangé. Si tu corriges un problème, ton score s'améliore, souvent dans les 24 à 48 heures suivant la confirmation de la correction par le cycle d'analyse suivant. Que signifie réellement cette note alphabétique ? La note alphabétique — de A à F — et la note numérique correspondante, comprise entre 100 et 0, reflètent la probabilité statistique que ton organisation soit victime d'une violation de données. Plus la note est basse, plus cette probabilité est élevée. Le lien entre la note et la probabilité de manquement est significatif : A (90–100) : Probabilité de violation la plus faible B (80–89) : Risque faible C (70–79) : Risque modéré D (60-69 ans) : risque accru F (moins de 60) : Risque élevé Les organisations notées F ont 13,8 fois plus de risques de subir une violation de données que celles notées A. Ce n'est pas une différence négligeable. Une organisation notée D se situe juste au-dessus de ce seuil, et un réajustement prévu de la notation peut faire pencher la balance d'un côté ou de l'autre. Quels sont les 10 facteurs de risque évalués par SecurityScorecard ? SecurityScorecard évalue les entreprises selon 10 facteurs de risque: sécurité des applications, score Cubit, santé du DNS, sécurité des terminaux, discussions entre pirates, fuites d'identifiants, réputation IP, sécurité réseau, fréquence des correctifs et ingénierie sociale. Plusieurs d'entre eux sont directement liés à la configuration de ton serveur : La sécurité réseau vérifie la présence de ports ouverts non sécurisés, de protocoles TLS faibles et de suites de chiffrement mal configurées. Les ports non sécurisés peuvent être exploités pour permettre à un pirate de contourner la procédure de connexion ou d'obtenir un accès privilégié au système. S'il est mal configuré, un port ouvert sert de point d'entrée direct entre l'environnement du pirate et ton réseau interne. La sécurité des applications vérifie si tes sites web utilisent des en-têtes de sécurité HTTP — des contrôles tels que la politique de sécurité du contenu (CSP), la sécurité de transport HTTP stricte (HSTS) et l'en-tête X-Content-Type-Options, que les navigateurs utilisent pour bloquer les vecteurs d'attaque courants. L'indicateur « Cadence de correction » mesure la rapidité avec laquelle ton organisation réagit aux vulnérabilités connues et applique les correctifs, par rapport à des entreprises de taille similaire. La lenteur dans l'application des correctifs est l'un des comportements les plus systématiquement pénalisés sur la plateforme. DNS Health vérifie que la configuration DNS est correcte, que les serveurs de messagerie disposent de protections adéquates contre l'usurpation d'identité (SPF, DKIM, DMARC) et qu'aucun événement malveillant n'apparaît dans l'historique de ton DNS passif. Les autres facteurs — réputation des adresses IP, sécurité des terminaux, discussions entre pirates, fuites d'identifiants — permettent notamment de déterminer si tes adresses IP ont été répertoriées dans des bases de données de logiciels malveillants, si des identifiants de ton organisation ont été retrouvés dans des bases de données de violations de données, et si ton organisation fait l'objet de discussions au sein des communautés de cybercriminels. Pourquoi tes notes intéressent-elles les entreprises et les équipes chargées des achats ? Les évaluations de SecurityScorecard ont largement dépassé le cadre de la sécurité interne. La technologie brevetée de la plateforme est utilisée par les organisations pour la gestion des risques d'entreprise, la gestion des risques liés aux tiers, le reporting au conseil d'administration, la diligence raisonnable, la souscription d'assurances cyber et la surveillance réglementaire. Cela signifie que ton score est de plus en plus visible pour les personnes extérieures à ton organisation : Les entreprises qui ont mis en place des programmes de gestion des risques liés aux fournisseurs vérifient les fiches d'évaluation de ces derniers avant de signer des contrats. Certaines fixent des seuils de note minimaux que les fournisseurs doivent atteindre pour être approuvés. Les assureurs cyber s'appuient sur les notes attribuées par SecurityScorecard pour fixer le prix de leurs polices. Grâce à des partenariats avec des assureurs, la plateforme a déjà mis en place les premières réductions de primes d'assurance cyber du secteur, directement liées aux meilleures notes de sécurité. Une note faible peut entraîner une augmentation de ta prime ou limiter tes options de couverture. Les équipes chargées des achats dans les entreprises soumises à une réglementation — secteur financier, santé, prestataires du secteur public — doivent souvent évaluer le niveau de sécurité de chaque fournisseur avant de l'agréer. Une note « F » ou « D » constitue un signal d'alerte formel dans ce processus. Ça en surprend plus d'un parmi les propriétaires de sites web. La plupart pensent qu'une note de sécurité est un indicateur interne de conformité. Pour les agences et les entreprises qui travaillent avec des grandes entreprises, ça fonctionne plutôt comme une cote de crédit : c'est visible par les partenaires commerciaux et ça peut influencer les contrats avant même que les discussions ne commencent. Quels indicateurs de ta fiche de suivi révèlent des problèmes de configuration de l'hébergement ? La plupart des problèmes relevés dans un rapport SecurityScorecard ne sont pas des bugs logiciels ni des fuites d'identifiants. Il s'agit de problèmes de configuration des serveurs, c'est-à-dire des éléments qui existent ou non en fonction des choix opérés au niveau de l'infrastructure. Regarde ce qui revient le plus souvent sur les sites mal classés : Prise en charge des protocoles TLS : un serveur qui accepte encore les connexions via TLS 1.0 ou TLS 1.1 est signalé comme présentant un problème de sécurité réseau de gravité élevée. Ces protocoles ont été dépréciés par l'IETF en 2021 en raison de failles cryptographiques connues. L'activation ou la désactivation de ces protocoles se contrôle dans la configuration de ton serveur web — Apache, NGINX et le système d'exploitation Linux — et non dans le code de ton application. Sélection des suites de chiffrement : les suites de chiffrement faibles — celles qui utilisent RC4, 3DES ou un chiffrement de type « export » — sont signalées séparément. Les suites de chiffrement que ton serveur propose sont définies dans les fichiers de configuration du serveur web. Une application fonctionnant sous WordPress Magento aucun contrôle là-dessus ; c'est le serveur qui gère cela. En-têtes de sécurité HTTP : CSP, HSTS, X-Content-Type-Options, X-Frame-Options — ce sont des en-têtes que les serveurs envoient aux navigateurs pour limiter ce que le navigateur est autorisé à faire avec le contenu de ton domaine. Pour les ajouter, il faut soit une directive dans la configuration de ton serveur web, soit un middleware au niveau du serveur. Ils ne peuvent pas être configurés de manière fiable uniquement depuis WordPress un plugin CMS, et un CDN peut les remplacer ou les supprimer selon sa configuration. Configuration du certificat : la durée de validité du certificat, la prise en charge de la révocation et l'algorithme de signature sont des paramètres liés à la manière dont un certificat TLS est émis et configuré sur le serveur. Il ne s'agit pas de problèmes au sein de ton application, mais de problèmes liés au déploiement du certificat. Pourquoi les environnements d'hébergement mutualisé et dédié limitent ce que tu peux corriger C'est là que le choix de l'hébergeur devient une question de sécurité, et pas seulement une question de performances ou de prix. Avec l'hébergement mutualisé — y compris WordPress gérées qui sont assez restrictives —, c'est le fournisseur d'hébergement qui se charge de la configuration et de la maintenance du serveur. C'est le compromis : tu n'as pas à gérer le serveur, mais tu ne peux pas non plus le configurer. Le serveur web qui héberge ton site est partagé avec des dizaines, voire des centaines d'autres clients, et sa configuration reflète les choix du fournisseur, pas les tiens. Si ton hébergeur n'a pas désactivé TLS 1.0 sur l'ensemble de la plateforme, ton site continuera d'indiquer qu'il prend en charge TLS 1.0. Si HSTS n'est pas configuré au niveau du serveur, ton site n'enverra pas d'en-têtes HSTS, même si tu le souhaites. Et comme cette configuration concerne des milliers de sites, les hébergeurs tardent à la modifier : toute erreur de configuration affecte tous leurs clients. WordPress gérés optimisent spécifiquement WordPress et la disponibilité WordPress . Le renforcement de la sécurité au niveau du serveur ne fait généralement pas partie de leur offre. Quand tu leur demandes de modifier les suites de chiffrement ou d'ajouter des en-têtes de sécurité globaux, la réponse est souvent soit « on ne peut pas faire ça », soit « envoie un ticket d'assistance et on va l'examiner » — sans délai ni garantie. Ça donne une situation classique: tu vois des problèmes apparaître dans ton rapport SecurityScorecard, tu cherches à les résoudre, et tu te rends compte que la solution nécessite un accès au serveur dont tu ne disposes pas. Quels sont les changements avec un serveur dédié ? Un serveur dédié te donne un accès root à une machine physique que tu es le seul à utiliser. C'est toi qui décides de tout : quelles versions TLS le serveur accepte, quelles suites de chiffrement il propose, quels en-têtes HTTP il envoie, et comment les certificats sont gérés. Ça veut dire que chaque problème relevé dans les catégories « Sécurité du réseau » et « Sécurité des applications » d'un rapport SecurityScorecard peut être résolu directement. Pour désactiver TLS 1.0 et 1.1 sur un serveur Apache, il suffit d'une simple modification de configuration et d'un redémarrage du service. Ajouter HSTS à chaque réponse, c'est juste trois lignes dans un bloc de serveur. Pour appliquer une politique de sécurité de contenu stricte, il faut accéder au même fichier de configuration. Aucune de ces actions ne nécessite d'ouvrir un ticket d'assistance. Aucune ne nécessite d'attendre que le fournisseur intervienne. Sur les serveurs dédiésInMotion Hosting, tu bénéficies d'un accès root complet et d'un contrôle total cPanel. Pour les clients qui préfèrent une approche guidée, InMotion Solutions — l'équipe d'administrateurs système interne — peut mettre en place des mesures de renforcement de la sécurité au niveau du serveur, gérer la configuration TLS et valider les modifications par rapport à des critères d'évaluation de la sécurité. L'offre Premier Care Bundle ajoute une gestion proactive de la sécurité grâce à la protection contre les logiciels malveillants Monarx et à l'assistance produit avancée. En pratique : les problèmes de sécurité relevés par SecurityScorecard qui sont impossibles à résoudre sur un hébergement mutualisé deviennent gérables sur un serveur dédié. Ce que SecurityScorecard ne mesure pas Quelques précisions s'imposent, car on a parfois tendance à surestimer l'étendue de ce que couvre la plateforme. SecurityScorecard évalue ta surface d'attaque externe, c'est-à-dire ce qui est visible depuis l'Internet public. Il n'évalue pas la sécurité de ton réseau interne, tes contrôles d'accès, la formation de tes employés ni tes procédures de gestion des incidents. Un score parfait sur SecurityScorecard ne signifie pas que ton organisation ne présente aucune faille de sécurité ; cela signifie simplement que ton infrastructure accessible au public ne présente pas les indices que la plateforme vérifie. La plateforme présente également des limites connues en matière d'attribution d'adresses IP. Les problèmes d'attribution d'adresses IP sont souvent cités comme des difficultés courantes lors des analyses, et certains utilisateurs signalent des adresses IP incorrectement identifiées, ce qui nécessite l'intervention du service d'assistance. Si les résultats ne correspondent pas à ton infrastructure, SecurityScorecard propose une procédure de contestation permettant d'examiner et de contester les attributions erronées. Les scores reflètent également ton environnement concurrentiel. SecurityScorecard utilise une échelle logarithmique et calibre les scores par rapport à plus de 12 millions d'organisations, en comparant ton nombre de vulnérabilités à celui d'autres entités de taille et d'empreinte numérique similaires. Une petite entreprise et une grande entreprise ne se font pas concurrence sur le simple nombre de vulnérabilités détectées. Comment commencer à améliorer ton score Si tu consultes un tableau de bord comportant plusieurs problèmes en suspens, la meilleure approche consiste à traiter les problèmes en commençant par ceux qui présentent le risque de violation le plus élevé — ce qui correspond exactement à l'ordre dans lequel l'onglet « Problèmes » de la plateforme les classe. Pour la plupart des sites de petite et moyenne taille, les améliorations les plus efficaces se répartissent en trois catégories : Configuration TLS et des suites de chiffrement — Désactive TLS 1.0 et 1.1 ; supprime les suites de chiffrement faibles. Ce sont généralement les failles de sécurité réseau qui présentent le plus grand risque de violation. En-têtes de sécurité HTTP — Ajoute les en-têtes HSTS, CSP, X-Content-Type-Options et X-Frame-Options au niveau du serveur. Ces mesures permettent de résoudre la plupart des problèmes de sécurité détectés au niveau des applications. Gestion des certificats — Assure-toi que les certificats utilisent des algorithmes de signature à jour (au minimum ECDSA ou RSA-SHA256), que la fonctionnalité OCSP Stapling est mise en œuvre pour la gestion des révocations, et que la durée de validité des certificats respecte les meilleures pratiques actuelles. Ces trois éléments nécessitent un accès au niveau du serveur. Si ton environnement d'hébergement actuel ne te donne pas cet accès, pour améliorer ton score, tu devras soit t'adapter aux contraintes imposées par ton hébergeur, soit passer à un environnement où c'est toi qui prends ces décisions. Comment prendre le contrôle de ta configuration de sécurité La note attribuée par SecurityScorecard reflète les choix concrets en matière d'infrastructure, et ces choix commencent par l'emplacement de ton site. Si ton rapport fait état de problèmes de configuration récurrents que ton hébergeur actuel ne parvient pas à résoudre, les serveurs dédiésInMotion Hosting t'offrent un accès root, une assistance gérée et l'expertise en sécurité nécessaires pour y remédier — et pour que le problème ne se reproduise plus. Partager cet article Carrie Smaha Directeur principal des opérations de marketing Carrie Smaha une experte en stratégie numérique, développement web et référencement naturel (SEO) qui compte 20 ans d'expérience. Elle a acquis ses premières armes dans des agences au rythme effréné avant de rejoindre InMotion Hosting, où elle dirige les programmes de mise sur le marché, les initiatives d'agence et le marketing technique des produits, qui vise à relier les fonctionnalités des produits aux décisions concrètes des clients. Plus d'articles par Carrie Articles connexes Qu'est-ce que la colocation ? Définitions courantes de l'hébergement Web et leur signification Types d'hébergement Web : Différences entre l'hébergement Web partagé, VPS et dédié Qu'est-ce que l'hébergement Web ? Qu'est-ce qu'une machine virtuelle (VM) ? Qu'est-ce que WordPress ? Un guide pratique pour 2026 Qu'est-ce que le « Time to First Byte » (TTFB) et comment ton serveur l'influence-t-il ? Qu'est-ce qu'un réseau de diffusion de contenu (CDN) et comment fonctionne-t-il ? Qu'est-ce que HTTP/3 et pourquoi est-ce important ? Qu'est-ce qu'une note SecurityScorecard et qu'est-ce que cela signifie pour ton site web ?