Voila, j’ai réussi a arriver au bout de la demarche "CSP" grace à vos conseils. Encore merci. Je résume :
– d’abord il faut lire ce blog pour comprendre ce qui se cache derrier le CSP : en gros ça consiste à limiter les échange du site à proteger avec uniquement les serveurs indispensables à son fonctionnement. Mais puisque mon site est basé sur spip3.2 surchargé par le plugin "Alpha by HTML5 UP" il faut entrer dans le code du plugin pour trouver tous les serveurs qu’il a besoin pour ses styles, polices, scripts, vidéos youtube, etc. C’est à cause de ça que la simple écriture de la ligne "Header set Content-Security-Policy : default-src https:" ajoutée à .htaccess bloque tout le site ...
– solution, le plugin SPIP_CSP qui moyennant modif de la borne 3.0.* en 3.2.* dans le fichier paquet.xml (comme suggéré par JLuc) fonctionne sur spip3.2 : dans la configuration du plugin (très bien fait !) on peut ainsi choisir ce qu’on veut filtrer comme accès aux serveurs externes.
– les autres paramètres de sécurité sont bien installé par l’ajout dans la première ligne du fichier .htacces de :
RewriteEngine On
RewriteCond %SERVER_PORT 80
RewriteRule (.*)$ https://monsite.suffixe/$1 [R=301,L]
#permet aux navigateurs de se souvenir qu’il doit passer en https pour votre site (HSTS)
Header set Strict-Transport-Security "max-age=63072000 ; includeSubDomains ; preload"
# Prevent browsers from incorrectly detecting non-scripts as scripts
Header set X-Content-Type-Options : nosniff
# Block site from being framed with X-Frame-Options and CSP
Header set X-Frame-Options : DENY
# Block pages from loading when they detect reflected XSS attacks
Header set X-XSS-Protection : 1
Mos site passe maintenant "haut-la-main" tous les tests "mozilla.observatory" !!!