Aller au contenu principal
Mis à jour chaque semaine · 2447 sites

Benchmark de sécurité web UE

Nous analysons 2447 sites web européens chaque semaine — banque, pharma, e-commerce, secteur public, technologie. Aucun site individuel n’est nommé. La question n’est pas qui a échoué, mais quels secteurs sont exposés.

59.7/100

Score moyen

47%

E-mail falsifiable

79%

Pas de DNSSEC

63%

En-têtes de sécurité manquants

68.8/100

Score d'accessibilité

5.3

Cookies pré-consentement moy.

Comment se situe votre secteur ?

Posture de sécurité par secteur — triée par score moyen. Cliquez sur un secteur pour voir le détail.

Secteur Sites Score Non protégé Falsifiable Non sécurisé Répartition des notes
Pharma 46
55.9
57% 57% 7%
C
D
Technology 1005
57.5
68% 50% 10%
C
D
Media 390
58.4
75% 55% 3%
C
D
Santé 12
60.0
58% 67% 0%
B
C
D
E-Commerce 220
61.0
58% 38% 11%
C
D
Télécommunications 52
61.2
67% 40% 4%
C
D
Automotive 45
61.5
53% 53% 4%
C
D
Banking 137
61.6
46% 38% 14%
C
D
Transport 39
62.0
56% 33% 10%
B
C
D
Éducation 140
63.0
66% 49% 1%
B
C
D
Government 133
63.0
47% 47% 5%
B
C
D
Insurance 47
64.7
38% 40% 13%
B
C
D
Immobilier 17
64.9
53% 35% 6%
B
C
D
Énergie 68
65.0
41% 37% 4%
B
C
D
Réglementaire 96
65.9
49% 28% 6%
B
C
D

Trié par score de sécurité moyen (le plus bas en premier). Explication des colonnes : Non protégé = 3+ en-têtes HTTP critiques manquants. Falsifiable = DMARC absent ou faible. Non sécurisé = pas de redirection HTTPS.

A B C D F

Comment se compare votre pays ?

Posture de sécurité par pays — cliquez sur un pays pour voir sa répartition détaillée.

🇦🇹

Austria

95 sites

56.9 🇧🇪

Belgium

95 sites

56.8 🇧🇬

Bulgaria

46 sites

52.3 🇨🇭

Switzerland

95 sites

62.7 🇨🇾

Cyprus

16 sites

51.8 🇨🇿

Czech Republic

94 sites

62.5 🇩🇪

Germany

241 sites

63.4 🇩🇰

Denmark

92 sites

62.0 🇪🇪

Estonia

48 sites

63.7 🇪🇸

Spain

204 sites

57.2 🇪🇺

European Union

18 sites

63.7 🇫🇮

Finland

93 sites

65.2 🇫🇷

France

228 sites

61.8 🇬🇧

United Kingdom

64 sites

61.2 🇬🇷

Greece

89 sites

53.2 🇭🇷

Croatia

48 sites

54.0 🇭🇺

Hungary

92 sites

54.8 🇮🇪

Ireland

95 sites

58.9 🇮🇸

Iceland

28 sites

55.5 🇮🇹

Italy

193 sites

56.7 🇱🇮

Liechtenstein

28 sites

47.9 🇱🇹

Lithuania

48 sites

51.8 🇱🇺

Luxembourg

43 sites

57.5 🇱🇻

Latvia

43 sites

52.4 🇲🇹

Malta

26 sites

52.0 🇳🇱

Netherlands

145 sites

69.4 🇳🇴

Norway

23 sites

71.6 🇵🇱

Poland

37 sites

60.3 🇵🇹

Portugal

17 sites

60.7 🇷🇴

Romania

13 sites

52.5 🇸🇪

Sweden

40 sites

67.5 🇸🇮

Slovenia

4 sites

54.5 🇸🇰

Slovakia

6 sites

64.5

Où se situe votre site web dans ce tableau ?

Lancez une analyse de sécurité gratuite — sans inscription. Découvrez votre score, votre note et comment vous vous situez par rapport à votre secteur.

Analysez votre site web maintenant

Ce que nous avons constaté

Les failles de sécurité les plus courantes sur 2447 sites web européens — et les réglementations qu’elles enfreignent.

63%

Missing Security Headers

Visitors are exposed to clickjacking, XSS, and content injection because critical HTTP headers are missing.

NIS2 Art. 21

47%

Weak Email Authentication

Emails from these domains can be spoofed — invoices, password resets, anything. No DMARC enforcement.

NIS2 Art. 21 / DORA Art. 9

79%

Pas de DNSSEC

DNS responses are unsigned. Attackers can redirect visitors to fake sites without detection.

NIS2 Art. 21
Afficher tous les résultats
95%
No MTA-STS
Inbound emails can be downgraded to plaintext by an attacker — the server doesn't enforce TLS.
NIS2 Art. 21
11%
No SMTP Encryption
Email is transmitted in cleartext. Anyone on the network can read it.
GDPR Art. 32
80%
No security.txt
No public vulnerability disclosure contact — security researchers have nowhere to report issues.
CRA Art. 11
79%
No CAA Records
Any certificate authority can issue certificates for this domain — no restrictions.
NIS2 Art. 21
8%
No HTTPS Redirect
Visitors connect over unencrypted HTTP. Credentials and data are visible on the network.
GDPR Art. 32
92%
No DANE/TLSA
No certificate pinning for email transport — vulnerable to man-in-the-middle on SMTP.
NIS2 Art. 21

Accessibilité, performance et conformité cookies

Au-delà de la sécurité — performances des sites européens en accessibilité, Core Web Vitals et consentement cookies.

Accessibilité (WCAG 2.2)

773 sites analysés · EAA / BFSG

68.8

Score moy.

4.4

Violations moy.

541

Critiques total

Automotive
72.0
Banking
70.7
E-Commerce
71.0
Éducation
80.0
Énergie
69.1
Government
78.5
Santé
78.5
Insurance
68.8
Media
58.8
Pharma
62.4
Immobilier
64.2
Réglementaire
68.8
Technology
67.5
Télécommunications
67.9
Transport
76.5

Conformité des cookies

773 sites analysés · ePrivacy / TTDSG

5.3

Pré-consentement moy.

289

Pas de bannière

261

Pas de refus

Automotive
3.0
Banking
5.4
E-Commerce
5.4
Éducation
4.0
Énergie
5.7
Government
2.4
Santé
1.5
Insurance
7.6
Media
7.2
Pharma
5.3
Immobilier
2.2
Réglementaire
2.2
Technology
4.7
Télécommunications
10.2
Transport
3.9

Core Web Vitals

751 sites analysés

84.3

Score perf.

1.5s

LCP

0.075

CLS

1.1s

FCP

768.0ms

TBT

0ms

TTFB

Automotive
86.3
Banking
81.6
E-Commerce
85.2
Éducation
78.0
Énergie
83.6
Government
91.5
Santé
85.5
Insurance
82.0
Media
79.6
Pharma
82.5
Immobilier
86.1
Réglementaire
94.7
Technology
84.9
Télécommunications
78.6
Transport
86.1

Méthodologie et notation

Comment nous analysons, ce que nous mesurons, comment les scores sont calculés.

Chaque site est analysé chaque semaine selon ces dimensions de sécurité. Les scores sont calculés sur une échelle de 100 points.

En-têtes de sécurité 25 pts

HSTS, CSP, X-Frame-Options, X-Content-Type, Referrer-Policy, Permissions-Policy

Certificat 20 pts

Key strength, signature algorithm, chain depth, TLS version, forward secrecy

Pas d'application de HTTPS 10 pts

HTTP-to-HTTPS redirect for all visitors

Authentification 15 pts

SPF, DKIM (key strength), DMARC (policy enforcement)

Sécurité DNS 15 pts

DNSSEC signing, CAA records, DoH consistency, DANE/TLSA

security.txt 5 pts

Vulnerability disclosure contact per RFC 9116

MTA-STS 3 pts

Inbound email TLS enforcement (enforce vs. testing mode)

TLS-RPT 2 pts

SMTP TLS failure reporting endpoint

Confidentialité du serveur 5 pts

No server version disclosure, no X-Powered-By, restricted CORS

Données basées sur des analyses hebdomadaires automatisées de sites web accessibles au public.

Aucun nom de site individuel n'est divulgué. Toutes les statistiques sont anonymisées par secteur.

Les références réglementaires indiquent quelles exigences se rapportent à chaque constat. Elles n’affirment pas la non-conformité d’une organisation spécifique.

Vos concurrents figurent dans ces données. Êtes-vous meilleur ou moins bon ?

Lancez une analyse de sécurité gratuite et découvrez votre score, votre note et votre positionnement — en 30 secondes, sans inscription.

Analysez votre site web maintenant Découvrir SiteGuardian

Ces données sont également disponibles en JSON via l’API Benchmark.