Vous avez surement deja vu ce message d'avertissement rouge "Connexion non securisee" en visitant un site, et vous avez probablement fait demi-tour. Vos propres visiteurs reagissent exactement pareil face a votre site s'il n'est pas passe en HTTPS. Ce n'est plus une option technique reservee aux sites bancaires, c'est un standard minimal attendu par les visiteurs autant que par Google.
HTTPS, c'est quoi concretement
Le HTTPS est la version securisee du protocole HTTP qui fait transiter les donnees entre le navigateur de votre visiteur et votre serveur. Le S signifie "secured" : les informations echangees (mots de passe, coordonnees bancaires, formulaires de contact) sont chiffrees pendant le trajet, ce qui empeche un tiers malveillant sur le meme reseau de les intercepter en clair. Sans HTTPS, n'importe qui connecte au meme wifi public que votre visiteur peut theoriquement lire ce qu'il tape sur votre site.
Le certificat SSL, la piece technique qui rend tout ca possible
Le certificat SSL (ou plus precisement TLS aujourd'hui, le nom SSL etant reste dans l'usage courant) est le fichier numerique qui atteste de l'identite de votre site et permet le chiffrement. Il existe plusieurs niveaux :
- Le certificat gratuit (type Let's Encrypt), suffisant pour l'immense majorite des sites vitrines et boutiques, renouvele automatiquement tous les 90 jours par l'hebergeur.
- Le certificat a validation etendue (EV, de 100 a 300 euros par an), qui verifie juridiquement l'identite de l'entreprise, pertinent surtout pour les sites bancaires ou tres grande envergure.
Pour un site vitrine ou un site e-commerce classique, le certificat gratuit fait exactement le meme travail de chiffrement que la version payante. La difference se joue sur la reconnaissance juridique de l'identite, pas sur la securite technique.
Pourquoi Google penalise l'absence de HTTPS depuis 2018
Depuis juillet 2018, Chrome affiche explicitement "Non securise" dans la barre d'adresse de tout site en HTTP simple. Google a confirme officiellement que le HTTPS fait partie des criteres de classement, avec un poids modeste mais reel. Concretement, entre deux sites de qualite equivalente, celui en HTTPS a un leger avantage. L'impact le plus fort reste cependant sur la confiance immediate du visiteur, qui se traduit en taux de rebond et en taux de conversion sur vos formulaires.
Les erreurs frequentes apres la mise en place
- Oublier de rediriger automatiquement toutes les anciennes URLs en HTTP vers leur equivalent HTTPS, ce qui casse des liens et duplique le contenu aux yeux de Google.
- Laisser des contenus mixtes : des images ou scripts encore charges en HTTP sur une page HTTPS, ce qui declenche des avertissements de securite partiels dans le navigateur.
- Ne pas mettre a jour les liens internes et le sitemap apres la migration, ce qui brouille l'indexation par les moteurs de recherche.
Notre conseil pratique
Verifiez des maintenant que votre site affiche bien un cadenas ferme dans la barre d'adresse, sans aucun avertissement au clic dessus. Si ce n'est pas le cas, la mise en place d'un certificat gratuit et des redirections necessaires est une intervention rapide, souvent traitee en quelques heures dans le cadre d'une maintenance et securite courante. Ne laissez jamais ce point trainer : chaque jour sans HTTPS est un jour ou une partie de vos visiteurs, avertis par leur navigateur, referment l'onglet avant meme de decouvrir votre offre. Pour verifier l'etat exact de votre site, vous pouvez demander un devis incluant un diagnostic de securite complet.
