Le verdict en trois phrases
Une migration est le meilleur moment pour corriger la securite : on change l'infrastructure de toute facon. Sans audit, on reconduit les anciennes failles et on risque de casser le SEO (URL http indexees, contenus mixtes). La checklist 2026 (HSTS, CSP, TLS 1.3, redirections 301 vers https) fait passer un site de la note F a A sur securityheaders.com, pour un cout de 150 000 a 400 000 FCFA.
La checklist des headers de securite
Chaque header bloque une categorie d'attaque. Voici les essentiels et leur effet.
| Header | Role | Sans lui | Priorite |
|---|---|---|---|
| HSTS | force le HTTPS | interception possible | Haute |
| Content-Security-Policy | bloque scripts injectes | risque XSS | Haute |
| X-Frame-Options | empeche le clickjacking | site "encadrable" | Haute |
| X-Content-Type-Options | bloque le MIME sniffing | execution detournee | Moyenne |
| Referrer-Policy | limite les fuites d'URL | donnees exposees | Moyenne |
| Permissions-Policy | restreint camera/micro/geo | abus d'API | Moyenne |
Un site sans ces headers obtient typiquement un F ; en les ajoutant correctement (avec une CSP testee pour ne rien casser), on atteint un A ou A+.
TLS, certificats et impact note
Au-dela des headers, la couche transport et les certificats comptent autant.
| Element | Etat a viser 2026 | Etat a risque | Cout/effort |
|---|---|---|---|
| Version TLS | 1.3 (1.2 minimum) | TLS 1.0/1.1 actifs | inclus dans audit |
| Certificat SSL | auto-renouvele (Let's Encrypt) | expire manuellement | gratuit |
| Redirection http->https | 301 systematique | http accessible | inclus |
| Contenu mixte | aucun (tout en https) | images/scripts en http | nettoyage |
| Note securityheaders | A / A+ | F / D | objectif audit |
| Cout audit complet | 150 000 - 400 000 FCFA | - | selon taille |
Besoin d'un site web professionnel ?
Kolonell crée des sites web qui attirent des clients, optimisés pour le marché sénégalais. Devis gratuit en 2 minutes.
Au Senegal, la loi 2008-12 sur la protection des donnees personnelles impose des mesures de securite raisonnables : un site qui collecte des donnees clients sans HTTPS correct ni headers s'expose a des sanctions de la CDP et a une perte de confiance.
Mini cas pratique
Sophie migre le site de sa clinique a Dakar (prise de rendez-vous en ligne, donnees patients). Avant migration : note F sur securityheaders, TLS 1.0 encore actif, pas de HSTS, formulaires en partie en http. Audit + correction factures 300 000 FCFA. Apres : TLS 1.3, HSTS active, CSP testee, redirections 301, note A. Resultat : conformite loi 2008-12 renforcee, plus aucun avertissement "site non securise" sur le navigateur (qui faisait fuir 1 visiteur sur 5), et un formulaire de rendez-vous dont le taux de completion remonte de 12 points.
FAQ
Les headers de securite ralentissent-ils le site ? Non, leur impact sur la performance est nul : ce sont des en-tetes HTTP de quelques octets. Ils n'affectent ni le LCP ni le poids des pages.
Une mauvaise CSP peut-elle casser mon site ? Oui, si elle est trop stricte elle peut bloquer des scripts legitimes (analytics, chat, paiement). C'est pourquoi on la teste d'abord en mode "report-only" avant de l'activer.
Le certificat SSL gratuit Let's Encrypt suffit-il ? Oui pour la quasi-totalite des sites : il offre le meme chiffrement qu'un certificat payant, se renouvelle automatiquement tous les 90 jours, et evite les oublis d'expiration.
Pourquoi faire l'audit pendant la migration plutot qu'apres ? Parce qu'on reconfigure deja serveur et DNS : ajouter les headers et corriger le TLS coute alors quelques heures, contre une intervention separee plus chere ensuite.
Discutons de votre projet. On audite gratuitement la securite de votre site actuel (note securityheaders, TLS, certificats) et on chiffre la mise en conformite. WhatsApp +221 77 596 93 33.
Mohamed Bah
Fondateur, Kolonell
Passionné par le digital et l'entrepreneuriat en Afrique, Mohamed accompagne les entreprises sénégalaises dans leur transformation digitale depuis 2020. Fondateur de Kolonell, il croit que chaque PME mérite une présence en ligne professionnelle et accessible.
