10 ans de sécurité web : итα qu'on итα appris... et ce qu'on rate encore

10 ans de sécurité web : итα qu'on итα appris... et ce qu'on rate encore

Jul 04, 2026 web-security ssl-certificates https security-headers dns-security

Dix ans de sécurité web : ce qu'on a appris (et ce qui coince encore)

En 2016, Instagram venait de lancer les Stories. Pokémon Go faisait fureur. Et si vous osiez sécuriser votre site avec HTTPS, vous étiez considéré comme un paranoïaque.

Dix ans plus tard, la question n'est plus « dois-je utiliser HTTPS ? » mais « pourquoi est-ce que je m'en passerais ? ». Le problème avec le progrès ? Il ne s'arrête jamais.

Les chiffres qui en disent long

Quand on regarde le million de sites les plus visités, les tendances sont encourageantes :

  • Adoption HTTPS : de 6% en 2015 à plus de 65% aujourd'hui
  • En-têtes HSTS : une hausse de 22x (de 11 000 à 252 000 sites)
  • Content Security Policy (CSP) : une croissance de 125x (de 1 365 à 170 000 sites)

Quand Chrome a commencé à marquer les sites non-HTTPS comme « Non sécurisé » en 2017, c'était la panique générale. Mais ça a fonctionné. Aujourd'hui, être sans HTTPS, c'est devenir une exception.

Le bon côté : la sécurité de base est devenue... la base

Les en-têtes de sécurité comme X-Content-Type-Options ou X-Frame-Options n'étaient adoptés que par moins de 5% des sites il y a dix ans. Aujourd'hui, on tourne autour de 30-35%.

Personne ne fait la fête pour X-Frame-Options. Ces en-têtes, c'est la plomberie du web. Ils préviennent le clickjacking, les attaques de MIME-type sniffing. Le fait qu'ils soient devenus standards montre que la sécurité n'est plus une option.

CSP mérite une mention spéciale. Passer de 1 365 à 170 000 sites, c'est le parcours d'une startup artisanale vers standard industriel. Configurer CSP correctement, c'est un vrai casse-tête. Il faut comprendre toutes les sources de contenu, les scripts tiers, les patterns de code inline. Le fait que autant d'équipes aient pris le temps de le faire correctement montre que l'industrie a grandi.

Le mauvais côté : on stagne (et parfois on recule)

Là où ça se complique, c'est qu'HTTPS a atteint un plateau. Les adoptions faciles sont faites. Les blogs avec Let's Encrypt, les entreprises conscientes des risques réputationnels. Tout ça, c'est fait.

Ce qui reste, ce sont les cas顽固. Les applications legacy qui demanderaient un refactoring majeur. Les outils internes que personne ne veut toucher. Les sites où la sécurité, c'est le problème de quelqu'un d'autre. Ce n'est pas une critique de la progression du web. C'est simplement la réalité : les derniers 10% d'une courbe d'adoption sont toujours les plus ardus.

Plus inquiétant : certaines protections ont purement et simplement disparu. Les certificats EV (Extended Validation), autrefois vendus comme le nec plus ultra de la confiance en ligne (vous vous souvenez de la barre verte dans votre navigateur ?) ? Ils se sont effondrés. Les navigateurs ont retiré l'interface distinctive des EV. Sans cette différenciation visible, personne ne paie le supplément. De 15 600 adoptions à un peu plus de 4 000 en 2026. Un cas d'école fascinant sur le lien entre expérience utilisateur et économie de la sécurité.

Les nouveaux venus : la sécurité en 2026 et au-delà

Les données récentes ne parlent plus des anciens standards. Elles concernent ce qui vient.

La cryptographie post-quantique commence à apparaître. Pas de manière massive, mais on voit les premières implémentations timides. L'industrie se prépare à un monde où les ordinateurs quantiques pourraient casser les chiffrements actuels. C'est ce que la sécurité fait de mieux : se préparer avant que le problème n'arrive.

L'isolation cross-origin, ECH (Encrypted Client Hello), et d'autres technologies préservant la vie privée sont en phase d'adoption précoce. Ce sont les blocs de construction d'un web plus résistant à la surveillance.

Les cookies méritent aussi une attention renouvelée. Avec la dépréciation enfin concrète des cookies tiers (après des années de reports), l'hygiène des cookies first-party est devenue cruciale. Des cookies sécurisés, conscients du SameSite ? Ce n'était pas une priorité pour beaucoup de développeurs il y a cinq ans. Aujourd'hui, c'est le minimum.

Ce que ça veut dire pour vos projets

Si vous lancez un site ou une application aujourd'hui, le message de dix ans de données est clair : traitez la sécurité comme une infrastructure de base, pas comme un ajout afterthought. HTTPS n'est pas négociable. Les en-têtes de sécurité non plus. Les outils ont muri, les coûts ont baissé, et les conséquences de négliger ces fondamentaux ont augmenté.

Mais ne vous arrêtez pas là. La前沿 du web security a bougé. Surveillez :

  • Préparation post-quantique : anticipez comment votre infrastructure devra évoluer
  • Migration des cookies : auditez votre usage des cookies avant que les restrictions tierces ne vous tombent dessus
  • Alternatives respectueuses de la vie privée : ECH et technologies similaires arrivent dans un navigateur près de chez vous

Le web de 2026 est infiniment plus sécurisé qu'en 2016. Mais la sécurité n'est pas une destination. C'est une conversation permanente entre défenseurs et attaquants, organismes de normalisation et éditeurs de navigateurs, développeurs et utilisateurs. Le fait qu'on continue à avoir cette conversation, à mesurer, à améliorer ? C'est la vraie victoire de ces dix ans.

Aux dix prochaines années de rendre le web plus sûr. Un en-tête, un certificat, un serveur bien configuré à la fois.


Besoin d'aide pour poser vos fondamentaux de sécurité ? NameOcean propose des certificats SSL gratuits, une gestion DNS automatisée, et des environnements d'hébergement configurés selon les standards modernes de sécurité. Parce que le meilleur moment pour sécuriser votre site, c'était il y a dix ans. Le deuxième meilleur moment, c'est maintenant.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL HU IT ES DE DA ZH-HANS EN