Comment un score de sécurité est calculé

Il n'existe pas de standard universel pour les scores de sécurité de domaine. Chaque outil utilise ses propres critères et pondérations. Cependant, les bons outils partagent une approche commune : ils évaluent plusieurs domaines de risque indépendants, chacun avec un poids proportionnel à son impact réel sur la sécurité.

Wezea, par exemple, analyse 7 dimensions : SSL/TLS, authentification email (SPF, DKIM, DMARC), exposition des ports réseau, vulnérabilités CVE, présence sur les listes noires, configuration DNS, et exposition globale.

INFO
Score ≠ conformité
Un score de sécurité mesure la posture de sécurité observable de l'extérieur. Il ne remplace pas un audit de conformité (ISO 27001, NIS2) ni un test d'intrusion. C'est un outil de pilotage rapide, pas une certification.

Les composantes principales d'un score de sécurité

SSL / TLS (poids élevé)

Un certificat expiré ou des protocoles obsolètes (TLS 1.0/1.1) impactent fortement le score. C'est souvent la première chose vérifiée car son impact est immédiat et visible par tous les visiteurs. Un certificat valide avec TLS 1.3 et HSTS configuré donne le score maximum sur ce critère.

Authentification email — SPF (poids élevé)

Absence de SPF = score très dégradé. SPF avec ~all (softfail) = score partiel. SPF bien configuré avec -all (hardfail) = score complet. L'erreur commune : avoir un SPF syntaxiquement valide mais qui ne couvre pas tous les serveurs d'envoi réels.

Authentification email — DKIM (poids moyen-élevé)

La présence et la validité de la clé DKIM pour le sélecteur principal est vérifiée. Une clé DKIM courte (< 1024 bits) ou absente dégrade le score. Les clés de 2048 bits donnent le score maximal.

Authentification email — DMARC (poids élevé)

C'est souvent le critère qui fait le plus chuter les scores. La progression est linéaire : absence = 0, p=none = score partiel, p=quarantine = bon score, p=reject = score maximal.

Ports réseau exposés (poids moyen)

Chaque port sensible accessible depuis Internet (SSH public, base de données exposée, RDP...) dégrade le score. Un serveur qui n'expose que les ports 80 et 443 obtient un score maximal sur ce critère.

Présence sur les listes noires (poids critique)

Un domaine ou une IP présent sur une liste noire majeure (Spamhaus, Barracuda) entraîne une chute drastique du score. C'est un indicateur de problème actif — à traiter en priorité absolue.

Vulnérabilités CVE (poids variable)

Les CVE critiques (score CVSS ≥ 9.0) non patchées sur les services exposés impactent fortement le score. Les CVE moyennes (4.0-7.9) ont un impact modéré.

L'échelle de notation

A+ (95-100) — Posture de sécurité excellente
A  (85-94)  — Très bonne sécurité, quelques ajustements mineurs
B  (70-84)  — Bonne base, des points à corriger
C  (55-69)  — Risques significatifs identifiés
D  (35-54)  — Plusieurs problèmes importants
F  (0-34)   — Posture de sécurité critique

La majorité des PME non spécialisées en IT obtiennent des scores entre C et B lors d'un premier audit. L'objectif réaliste pour une PME sans équipe sécurité dédiée est un score A stable.

WARN
Un score B peut cacher un score F
Si votre domaine est blacklisté (F sur ce critère) mais excellent sur tout le reste, le score global peut afficher un C trompeur. Regardez toujours les scores par composante, pas seulement le score global.

Par où commencer pour améliorer son score

Les gains rapides (impact élevé, effort faible)

  1. Corriger le DMARC — passer de none à quarantine, puis à reject. Configuration en 15 minutes, gain de points immédiat.
  2. Ajouter ou corriger SPF — si absent ou mal configuré. Impact fort sur le score et sur la délivrabilité.
  3. Renouveler le certificat SSL — si expiré ou expirant sous 30 jours. Impact immédiat.
  4. Demander le délistage — si présent sur une blacklist, identifier la cause et soumettre le délistage.

Les améliorations de fond (impact élevé, effort moyen)

  1. Configurer DKIM si absent
  2. Fermer les ports non nécessaires via le pare-feu
  3. Mettre à jour les logiciels avec des CVE critiques
  4. Activer HSTS avec une longue durée

L'optimisation avancée (score A+ visé)

  1. Activer DNSSEC
  2. Configurer les en-têtes HTTP de sécurité (CSP, X-Frame-Options...)
  3. Passer le SPF en hardfail (-all)
  4. DMARC en alignement strict (adkim=s; aspf=s)

Les limites d'un score de sécurité

Un score élevé ne signifie pas que votre site est invulnérable. Les scores de sécurité évaluent uniquement ce qui est visible de l'extérieur. Ils ne détectent pas :

Pour ces risques, un test d'intrusion (pentest) réalisé par un professionnel est nécessaire.

À quelle fréquence vérifier son score ?

La sécurité évolue en permanence. Un certificat peut expirer, un service peut devenir vulnérable suite à une CVE publiée, votre IP peut être blacklistée après une compromission. Un score parfait aujourd'hui peut être F demain.

La bonne pratique est un monitoring continu avec alertes en temps réel, plutôt qu'un audit ponctuel mensuel ou trimestriel. Vous voulez être alerté le jour où quelque chose change, pas le mois suivant.

OK
Monitoring automatique
Wezea surveille votre domaine en continu et vous alerte dès qu'un indicateur se dégrade : SSL qui approche de l'expiration, nouvelle blacklist, CVE critique publiée sur votre stack, changement DNS suspect.

Obtenez votre score de sécurité maintenant :

→ Scanner mon domaine gratuitement

Lire aussi

Audit de sécurité de domaine : ce que ça vérifie vraiment Certificat SSL expiré : conséquences et renouvellement SPF, DKIM et DMARC : le guide complet