en
en
2 min.
Content Security Policy (CSP): votre sécurité web bloque-t-elle vos données?
1L’art de la gestion de projet2Un projet à succès commence par une bonne gouvernance3Cascade, agilité, demandes de changement?

Content Security Policy (CSP): votre sécurité web bloque-t-elle vos données?

Axel Queffeulou
Architecte Senior de solution de données
Plus sur l'auteur
  • Niveau Technique
  • 14 mai 2025
Transformation numérique Sécurité web

Les politiques de sécurité des contenus (Content Security Policy ou CSP) sont aujourd'hui considérées comme indispensables pour protéger vos sites Web et applications contre des attaques potentielles, telles que l'injection de scripts malicieux. 

Toutefois, bien que nécessaires, elles peuvent parfois bloquer involontairement l'envoi des données vers vos plateformes analytiques et marketing, créant ainsi des trous dans votre collecte d’informations – un problème que l’on constate souvent trop tard! 

Cet article vous aidera à mieux comprendre les CSP et leurs problématiques, ainsi qu’à savoir comment les détecter et bien les gérer.

Comprendre les CSP

Les CSP sont des règles implémentées par les administrateurs web ou les équipes de sécurité afin de contrôler les ressources autorisées à s’exécuter sur un site ou une application. Elles restreignent généralement:

  • Les domaines pouvant charger des scripts
  • Les méthodes autorisées pour transmettre des données

Bien configurées, les Content Security Policies représentent un bouclier robuste pour protéger vos utilisateurs et leurs données.

Problématiques des CSP sur la collecte des données

Le problème survient lorsque des CSP strictes bloquent involontairement des scripts ou des requêtes légitimes vers des plateformes de collecte et de traitement de données marketing, comme Google Analytics, Meta ou Reddit. 

Résultats:

  • Pertes de données significatives
  • Biais dans l’analyse des performances marketing
  • Difficulté accrue à prendre des décisions basées sur les données

Exemples de problèmes liés aux CSP

Complexité additionnelle avec des services tiers

Lorsque vous utilisez des services tiers, comme des systèmes de paiement, des chatbots, des extranets ou d’autres espaces sécurisés, la gestion des Content Security Policies devient encore plus complexe. Chaque partenaire peut avoir ses propres règles et listes d’URLs, souvent non documentées ou évolutives sans préavis. Cette réalité complique grandement la maintenance à jour des CSP et augmente le risque de blocages involontaires, créant des pertes de visibilité importantes sur les performances et la sécurité.

Intégration de nouveaux partenaires

Lors de l'ajout d'un nouveau partenaire technologique, comme Google ou Meta, il peut arriver que celui-ci nécessite des accès spécifiques non pris en compte dans les CSP existantes. Un partenaire mal configuré ou mal intégré peut ainsi rapidement devenir une source majeure de violations de CSP et de pertes de données associées.

Mises à jour des SDK et changements d'endpoints

Les partenaires technologiques peuvent mettre à jour leur kit de développement logiciel (software development kit ou SDK) ou changer leurs endpoints de collecte de données à tout moment et sans préavis. Cela peut entraîner des blocages soudains et des pertes significatives de données, surtout lorsque ces nouvelles URLs ne sont pas incluses dans les CSP existantes.

Cas concret: mode de Consentement de Google (GCM)

Lors de la mise en place du mode Consentement de Google (Google Consent Mode ou GCM), les kits SDK de Google Analytics, Google Ads et Google Campaign Manager utilisent de nouvelles adresses, telles que googlesyndication.com. Si ces nouvelles URLs ne sont pas explicitement autorisées (allow-listées) dans vos CSP, votre collecte de données et la modélisation comportementale ne seront pas activées.

 

Détecter les erreurs causées par les CSP

Voici une méthode simple, mais efficace qui permettra à vos analystes de détecter rapidement les blocages causés par les Content Security Policies:

1. Écoute des erreurs dans les navigateurs

Utilisez JavaScript pour capturer les erreurs liées aux CSP en ajoutant un listener global:

window.addEventListener('securitypolicyviolation', (e) => {

        // Envoyer vers votre outil de suivi ou directement à GA4, BigQuery, etc.

});

 

2. Log des erreurs

Envoyez ces données vers Google Analytics 4, BigQuery ou un service de log centralisé. Cela vous permettra d'analyser rapidement les violations et d'agir proactivement.

3. Notifications et alertes automatisées

Mettez en place un système d’alertes (par courriel ou via Slack, Teams ou autre) lorsque des nouvelles erreurs liées aux CSP sont détectées. Cela permet d’agir immédiatement avant que les pertes de données ne deviennent significatives.

Autres options de détection des violations CSP

Il existe d’autres options pour surveiller les problématiques de collecte de données causées par les CSP. Le mode «Content-Security-Policy-Report-Only» permet d’enregistrer les violations sans réellement bloquer les ressources. Il existe aussi des fonctionnalités natives de solutions de surveillance d’infrastructure, telles que Datadog, afin de créer une intégration rapide pour une analyse avancée.

Bonnes pratiques pour gérer vos CSP

En adoptant les approches listées ci-dessous, vous pourrez protéger efficacement votre site web tout en assurant une collecte de données optimale, aujourd’hui essentielle à la performance marketing et décisionnelle de votre entreprise.

  • Collaborez avec votre équipe de sécurité dès le début pour définir une Content Security Policy équilibrée: suffisamment fournie pour assurer la sécurité, sans être trop restrictive pour éviter les blocages intempestifs.
  • Vérifiez régulièrement les rapports de CSP pour identifier rapidement les nouvelles problématiques.
  • Mettez en place un monitoring continu et automatisé des violations CSP afin d'être alerté.e instantanément.
  • Assurez-vous d'avoir un processus de communication clair avec vos partenaires technologiques pour anticiper les changements majeurs dans leurs software development kits (SDK) ou endpoints.
  • Soyez particulièrement vigilant.e lors de l'intégration de services tiers complexes, comme les systèmes de paiement, les chatbots et les autres espaces sécurisés.

L’équipe Données et Expérience (D.E.) d’adviso peut vous aider à prévenir les pertes de données et à renforcer votre sécurité. Contactez nos experts dès maintenant pour définir des directives CSP adaptées à vos technologies ou pour implémenter un système de détection et d’alerte.

Axel Queffeulou

Depuis 2009, Axel évolue dans l’industrie du marketing numérique, où il a occupé des rôles d’analyste, de gestionnaire, de directeur, de coach et de chargé de cours. Ingénieur logiciel de formation, il a accompagné des clients de divers secteurs en simplifiant la complexité des données numériques et en dirigeant des projets d’intégration multi-plateformes. Fort de 14 ans d’expérience en agence, il se distingue par sa capacité à vulgariser, à bâtir des alliances au sein de grandes organisations et à piloter des stratégies data-driven créatrices de valeur.

Nous joindre Contactez nos experts en gestion de projet 1 888-598-1881

PASSEZ AU PROCHAIN NIVEAU

1 888-598-1881

4388, rue Saint-Denis, Suite 300, Montréal, QC, H2J 2L1 Tous droits réservés - Adviso 2025