Sécurité des sites européens en 2026 : ce que les premières observations révèlent

HTTPS, en-têtes de sécurité, exposition WordPress, conformité RGPD : un état des lieux avant la publication du baromètre Orilyt 2026 le 16 juin.

Depuis dix ans, la sécurité web vit dans un paradoxe. Les fondamentaux comme HTTPS sont devenus quasi universels, et la conformité RGPD a structuré tout l'écosystème publicitaire. Mais à mesure que ces basiques se sont généralisés, les pratiques avancées comme HSTS, CSP ou la gestion fine des permissions sont restées le privilège d'une minorité de sites.

Dans le même temps, les attaques se sont déplacées vers la chaîne d'approvisionnement : plugins vulnérables, scripts tiers compromis, fuites de configuration. WordPress, qui propulse désormais une part majoritaire des sites avec un CMS dans le monde, reste la cible préférée des botnets automatisés.

Cet article fait un état des lieux des grands indicateurs de sécurité web mondiaux en 2026, à partir des sources publiques largement reconnues. Il pose le contexte avant la publication, le 16 juin 2026, du baromètre Orilyt qui mesurera ces mêmes critères sur cinq panels européens distincts.

Pourquoi parler de sécurité maintenant ?

Trois facteurs concomitants rendent l'état de la sécurité web une question d'actualité en 2026 : la pression réglementaire européenne, la sophistication des attaques automatisées, et le déficit persistant d'audit dans la longue traîne des PME et collectivités.

Le contexte 2026 : NIS2, DSA et obligations renforcées

La directive NIS2, transposée dans les droits nationaux européens depuis 2024, élargit considérablement le périmètre des entités tenues de garantir un socle de cybersécurité. Au-delà des opérateurs d'importance vitale, elle touche désormais les sous-traitants numériques, les hébergeurs et plus largement toute organisation moyenne dont l'activité dépend du numérique.

Le Digital Services Act (DSA), entré pleinement en vigueur en 2024, ajoute des obligations spécifiques aux plateformes en ligne, y compris sur la transparence des bandeaux cookies et la modération de contenu. Pour les sites éditoriaux ou e-commerce moyens, cela renforce la nécessité d'un audit régulier de conformité.

Cette pression réglementaire change la perception de la sécurité web. Ce qui était auparavant un sujet pour grands comptes devient une exigence basique pour toute structure exposée en ligne, y compris la PME qui héberge un blog ou la collectivité avec un site institutionnel.

Ce qu'on sait déjà des données mondiales

Le HTTP Archive Web Almanac, publié chaque année à partir d'un crawl de plus de 16 millions de sites, est la source de référence pour mesurer l'évolution annuelle des pratiques web. Dans son édition 2024, il confirmait qu'environ 93 % des pages chargées sur mobile et 96 % sur desktop sont servies en HTTPS.

L'observatoire Mozilla Observatory, complété par les données BuiltWith et W3Techs, donne une vision plus fine. HSTS reste implémenté sur seulement 25 à 30 % des sites majeurs selon les sources. Content-Security-Policy, dans sa forme structurée, reste sous la barre des 15 %. Les autres en-têtes (Permissions-Policy, X-Content-Type-Options, Referrer-Policy) varient entre 30 et 60 % selon les méthodes de mesure.

Ces données mondiales sont une bonne référence, mais elles agrègent des sites de toutes tailles et de toutes géographies. La question légitime devient : qu'en est-il vraiment des sites européens, qui évoluent sous une pression réglementaire spécifique ?

Pourquoi un focus européen manque dans le paysage actuel

Les baromètres existants concentrent l'analyse soit sur le top mondial (Tranco top 1 million, Alexa avant lui), soit sur des pays anglo-saxons individuels. Il existe peu d'études comparant rigoureusement les pratiques techniques entre pays européens sur un échantillon élargi.

C'est précisément ce vide que le baromètre Orilyt publié le 16 juin 2026 entend combler. Cinq panels nationaux indépendants ont été scannés sur 12 critères techniques homogènes, permettant pour la première fois une comparaison directe sur l'état de la sécurité, de la performance et de la conformité.

En attendant cette publication, regardons ce que les données publiques mondiales nous disent déjà des grands chantiers ouverts, et où se cachent les angles morts pour les agences et freelances qui auditent des sites au quotidien.

HTTPS : la base supposée acquise, vraiment ?

HTTPS est devenu un acquis dans le discours commun, mais sa mise en œuvre complète reste imparfaite. La présence du cadenas ne dit rien de la qualité de la configuration sous-jacente.

HTTPS quasi universel sur les sites actifs

Les chiffres du HTTP Archive Almanac 2024 sont sans appel : 93 % des pages mobiles et 96 % des pages desktop sont désormais chiffrées. La généralisation de Let's Encrypt depuis 2016 et l'intégration native dans les hébergeurs grand public ont fait basculer le web dans une ère où le HTTP non chiffré est devenu une anomalie technique.

Cette quasi-universalité cache pourtant des fragilités. Les certificats expirés, mal renouvelés, ou avec des chaînes de confiance incomplètes restent observables sur les sites moins maintenus. Les redirections HTTP vers HTTPS oubliées, ou pire, les sous-domaines non couverts par le certificat, créent des angles morts difficiles à détecter sans outil dédié.

Sur la longue traîne des sites associatifs, des collectivités locales et des PME, le taux de couverture reste sensiblement inférieur aux moyennes du top 1 000. C'est précisément cette longue traîne que les agences et freelances auditent au quotidien, et où le décalage avec les standards reste le plus marqué.

HSTS, encore largement absent du paysage

HTTP Strict Transport Security (HSTS) est un en-tête qui force les navigateurs à utiliser exclusivement HTTPS pour un domaine donné, pendant une durée configurable. C'est l'étape qui ferme définitivement la porte aux attaques de rétrogradation vers HTTP.

Malgré sa simplicité de mise en œuvre, HSTS reste implémenté sur seulement 25 à 30 % des sites selon le HTTP Archive Almanac. Sur les sites WordPress non maintenus, il est souvent oublié dans la chaîne de déploiement, et de nombreuses configurations sécurisées se limitent à la redirection HTTPS sans pousser jusqu'à HSTS.

Pour aller plus loin sur cette pratique et ses implications, voir notre guide sur le certificat SSL et HTTPS, qui détaille les deux tests les plus critiques à effectuer sur tout audit professionnel.

Mixed content et certificats expirés, les angles morts

Le mixed content désigne les ressources HTTP chargées sur une page HTTPS. C'est l'une des causes les plus fréquentes d'avertissements navigateur sur des sites pourtant migrés vers HTTPS. Une image, une iframe ou un script ancien en HTTP suffit à briser la chaîne de confiance.

Le second angle mort est celui des certificats expirés, fréquent sur les sous-domaines de staging, les API internes oubliées, ou les sites annexes peu monitorés. Sans alerting automatique, ces incidents passent inaperçus jusqu'à ce qu'un visiteur les signale.

Un audit professionnel doit systématiquement vérifier ces deux points, qui sont pourtant rarement présents dans les outils gratuits grand public. C'est l'une des raisons pour lesquelles un audit multi-dimensions garde sa valeur face à un simple test PageSpeed.

Les en-têtes de sécurité, encore le parent pauvre

Au-delà de HTTPS, les en-têtes HTTP de sécurité forment une seconde ligne de défense largement sous-exploitée. Leur configuration correcte est devenue le marqueur d'un site géré par une équipe technique sérieuse.

CSP, le casse-tête mal implémenté

Content-Security-Policy (CSP) est l'en-tête le plus puissant pour empêcher l'injection de scripts malveillants. Bien configuré, il bloque toute exécution de JavaScript non explicitement autorisé. Mal configuré, il casse le site sans rien protéger.

Cette difficulté de mise en œuvre explique son faible taux d'adoption : moins de 15 % des sites ont une CSP structurée selon les sources publiques. Beaucoup se contentent d'une CSP en mode report-only ou d'une directive default-src trop permissive, ce qui réduit l'efficacité réelle.

Sur WordPress, la mise en place d'une CSP exige souvent un travail d'inventaire des sources externes (Google Fonts, Google Tag Manager, plateformes vidéo) qui dépasse le cadre d'un audit standard. C'est typiquement le chantier que les agences proposent en mission de mise à niveau facturée.

Permissions-Policy, X-Frame-Options, Referrer-Policy

Trois autres en-têtes moins connus mais simples à activer : Permissions-Policy (anciennement Feature-Policy) contrôle les API navigateur autorisées, X-Frame-Options empêche le clickjacking, Referrer-Policy gère les fuites d'URL vers les sites tiers. Tous trois s'activent en quelques lignes dans la configuration serveur.

Selon HTTP Archive, ces en-têtes restent présents sur 30 à 60 % des sites majeurs, mais leur configuration est souvent par défaut, sans personnalisation réelle. Un audit doit donc évaluer non seulement la présence mais aussi la pertinence des valeurs.

Notre guide pratique des en-têtes de sécurité HTTP détaille les valeurs recommandées pour chaque cas et les pièges classiques à éviter sur les sites WordPress.

L'écart entre top 1 000 et longue traîne

Toutes les données publiques montrent un même phénomène : les sites du top 1 000 mondial sont nettement mieux configurés que la moyenne des sites web. Le pourcentage de présence d'en-têtes avancés est souvent deux à trois fois supérieur sur les sites à fort trafic.

Cette dichotomie révèle un déséquilibre concret : les pratiques techniques sécuritaires sont concentrées dans les équipes IT structurées des grandes entreprises, alors que la majorité du web est composé de sites PME, associatifs ou institutionnels qui n'ont pas accès à ces compétences.

C'est précisément le rôle des freelances, agences web et plateformes d'audit comme Orilyt : porter ces standards de sécurité auprès des sites qui n'ont ni le budget ni le savoir-faire pour les mettre en œuvre seuls. Le baromètre du 16 juin mesurera l'ampleur de cet écart sur les panels européens.

WordPress : la cible #1 et ses signaux faibles

WordPress propulse désormais plus de 40 % des sites web dans le monde selon W3Techs. Cette domination en fait la cible privilégiée des botnets automatisés qui scannent en permanence les versions vulnérables et les plugins exposés.

Parts de marché WordPress en 2026

Les chiffres W3Techs au début 2026 placent WordPress autour de 43 % des sites web mondiaux et 62 % des sites utilisant un CMS identifiable. Ces parts continuent de progresser lentement, malgré la concurrence des solutions e-commerce dédiées comme Shopify et la montée des frameworks headless.

Cette domination concentre mécaniquement les efforts des attaquants sur l'écosystème WordPress. Les scans automatisés cherchant des versions vulnérables, des plugins compromis ou des configurations laxistes représentent une part majeure du trafic malveillant observé par les WAF (Web Application Firewall) modernes.

Pour les freelances et agences qui maintiennent des sites WordPress, cette réalité change la nature du travail. La maintenance n'est plus optionnelle, elle est devenue une condition de survie pour les sites exposés en ligne.

Exposition de version readme et install

Trois fichiers WordPress sont des indicateurs classiques d'un site mal maintenu : readme.html qui révèle la version installée, install.php accessible aux scanners de version, et le listing des répertoires wp-content/uploads/. Leur présence est souvent corrélée à un site obsolète ou peu surveillé.

Le HTTP Archive et les bases publiques ne mesurent pas systématiquement ces indicateurs spécifiques à WordPress, mais les rapports trimestriels de Wordfence et Patchstack confirment qu'une part significative des sites WordPress audités présente au moins un de ces signaux faibles.

Notre guide opérationnel pour sécuriser un site WordPress détaille les vérifications à effectuer et les corrections rapides à apporter dans le cadre d'un audit ou d'un contrat de maintenance.

Plugins vulnérables, le maillon faible

La base WPScan recense en permanence plusieurs milliers de vulnérabilités touchant les plugins WordPress, dont certaines avec score CVSS critique. Les attaquants industrialisent l'exploitation : dès qu'une CVE est publiée, des scans massifs cherchent les sites non corrigés dans les heures qui suivent.

La logique de mise à jour automatique introduite dans WordPress 5.5 a réduit la fenêtre d'exposition, mais elle ne couvre pas tous les plugins, et beaucoup d'agences la désactivent volontairement par crainte de régressions. Le résultat est un patrimoine de sites toujours vulnérables, audit après audit.

Sur un parc d'agence, un monitoring hebdomadaire qui détecte ces failles avant le client est la différence concrète entre un freelance qui livre une prestation ponctuelle et un partenaire qui assure une maintenance professionnelle. Le baromètre du 16 juin mesurera l'exposition WordPress par pays européen.

RGPD et conformité : où en sont vraiment les sites européens ?

Le RGPD est entré en vigueur en 2018. Huit ans plus tard, son application reste profondément hétérogène selon les pays et les secteurs. Les bandeaux cookies sont devenus le terrain le plus visible de cette conformité, mais la profondeur de mise en œuvre reste très variable.

Cookies tiers et bandeaux de consentement

La directive ePrivacy combinée au RGPD impose un consentement explicite avant tout dépôt de cookie non strictement nécessaire. En théorie, les sites européens sont tous concernés. En pratique, les mises en œuvre vont du bandeau strictement conforme au dark pattern incitant au consentement par fatigue.

Les audits de la CNIL et de ses homologues européens (autorités nationales sous le RGPD) ont sanctionné régulièrement depuis 2021 des grands sites mal configurés. Mais la sanction reste rare sur la longue traîne, ce qui explique la persistance des bandeaux non conformes sur de nombreux sites PME.

Bandeaux conformes versus dark patterns

Trois critères distinguent un bandeau conforme : le refus aussi simple que l'acceptation, la conservation des choix de l'utilisateur, et l'absence de scripts tracking déposés avant consentement. Beaucoup de bandeaux échouent sur au moins l'un des trois.

Pour une vision détaillée des points de vérification et des outils acceptables (Axeptio, Tarteaucitron, Didomi), voir notre guide sur RGPD et cookies.

Le baromètre du 16 juin mesurera le taux de conformité apparente de chaque panel national, à partir d'une signature technique observable depuis l'extérieur, sans dépôt de cookie.

Mentions légales et politique de confidentialité

Au-delà des cookies, la loi pour la confiance dans l'économie numérique (LCEN) en France et ses équivalents européens imposent la présence de mentions légales accessibles et d'une politique de confidentialité claire. Ces obligations sont souvent oubliées sur les sites vitrines ou les blogs amateurs.

Un audit professionnel doit vérifier la présence et la complétude de ces pages, en s'assurant qu'elles sont accessibles depuis chaque page du site. C'est une vérification simple mais souvent absente des outils d'audit gratuits.

Pour les agences, c'est aussi un argument commercial direct : un site non conforme expose son éditeur à une sanction administrative, et porter ce sujet en réunion client transforme un audit en mission de mise à niveau facturable.

Ce qu'apportera le baromètre Orilyt du 16 juin 2026

Les chiffres mondiaux donnent un cadre. Mais pour les agences européennes qui auditent des sites au quotidien, la vraie question est : comment se positionnent les sites européens, pays par pays, sur ces critères de sécurité ?

Cinq panels nationaux indépendants scannés

Le baromètre Orilyt 2026 a scanné cinq panels nationaux indépendants tirés des bases publiques sectorielles : .fr (France), .de (Allemagne), .es (Espagne), .be (Belgique) et .ch (Suisse). Chaque panel a été constitué pour refléter la diversité réelle du tissu web national, pas seulement le top des sites les plus visités.

Cette approche multi-pays est ce qui manquait au paysage des baromètres existants, focalisés soit sur le top mondial soit sur une seule géographie. La comparaison directe entre cinq écosystèmes nationaux ouvre des questions inédites : qui maîtrise le mieux HTTPS, qui domine la sécurité avancée, où se concentre l'exposition WordPress ?

Douze critères techniques homogènes

Tous les panels ont été mesurés sur la même grille technique : présence HTTPS, force du certificat, HSTS, CSP, autres en-têtes de sécurité, exposition de version WordPress, taux de compression (Gzip/Brotli), mobile-friendly, présence de meta description, viewport, présence de mentions légales, et bandeau cookies conforme.

Cette homogénéité est ce qui rend la comparaison rigoureuse. Là où la plupart des études publient des chiffres absolus difficilement comparables entre eux, le baromètre Orilyt fournit un classement direct sur chaque critère, avec rang moyen et podium par pays.

Pourquoi cela compte pour les agences

Pour un freelance ou une agence qui audite des sites clients, connaître l'état moyen du marché national est un argument de discussion concret. Pouvoir dire "votre site est en dessous de la moyenne française sur 4 critères sur 12" rend la conversation tangible, là où "votre site n'est pas optimal" reste vague.

Le baromètre Orilyt sera publié en accès ouvert le 16 juin 2026, avec un dossier de presse, des graphiques détaillés et une page de comparaison interactive permettant de positionner un site donné par rapport à la moyenne de son panel national.

En attendant cette publication, lancer un audit Orilyt sur un site permet d'obtenir dès maintenant un diagnostic complet sur les douze critères du baromètre, plus de quarante autres tests universels et plus de quarante-cinq tests spécifiques par CMS.

L'état de la sécurité web en 2026 reste un paysage à deux vitesses. D'un côté, les fondamentaux comme HTTPS sont devenus quasi universels, portés par la généralisation de Let's Encrypt et l'intégration native chez les hébergeurs. De l'autre, les pratiques avancées comme HSTS, CSP ou la maîtrise fine des en-têtes restent l'apanage d'une minorité.

WordPress, qui propulse plus de 40 % du web, reste la cible privilégiée des attaques automatisées. Les plugins vulnérables et les configurations laxistes alimentent un patrimoine constant de sites à risque, que les agences et freelances découvrent à chaque audit.

Le baromètre Orilyt publié le 16 juin 2026 apportera, pour la première fois, une comparaison rigoureuse entre cinq écosystèmes nationaux européens sur ces critères. En attendant, lancer un audit gratuit sur votre site ou celui d'un client donne dès maintenant une mesure objective de sa position sur les douze critères qui structurent l'analyse.

Vos questions les plus fréquentes

Sources et références

• HTTP Archive, Web Almanac 2024 Security chapter — état annuel HTTPS, HSTS, CSP et en-têtes de sécurité
• W3Techs, Usage statistics of content management systems — parts de marché WordPress et autres CMS
• Mozilla Observatory — outil d'évaluation des en-têtes de sécurité HTTP, méthode reconnue
• ENISA Threat Landscape 2024 — paysage européen des menaces cybersécurité
• WPScan, base de données des vulnérabilités WordPress
• Commission européenne, directive NIS2 — texte officiel et transpositions nationales