Sécurité
HTTPS, c'est quoi ?
HTTPS (HyperText Transfer Protocol Secure) est la version sécurisée du protocole qui fait circuler les données entre votre navigateur et un site web. Sans HTTPS, les données transitent en clair sur le réseau. Avec HTTPS, elles sont chiffrées et illisibles pour quiconque intercepterait la connexion.
HTTPS est l'évolution sécurisée du HTTP qui est utilisé depuis les débuts du web. Le S signifie Secure. Il repose sur un certificat TLS (anciennement SSL) qui établit une connexion chiffrée entre le navigateur de votre visiteur et votre serveur. Concrètement : l'adresse de votre site commence par https:// et votre navigateur affiche un cadenas à gauche de la barre d'adresse. Sans HTTPS, les navigateurs modernes affichent un avertissement de sécurité qui fait fuir les visiteurs.
L'analogie simple
Imaginez que vous envoyez une lettre à votre médecin avec vos résultats d'analyses. Avec HTTP, vous envoyez cette lettre dans une enveloppe transparente : n'importe qui sur le chemin postal peut lire le contenu. Avec HTTPS, vous l'envoyez dans une enveloppe opaque, scellée avec un code que seul votre médecin peut ouvrir. Si quelqu'un intercepte la lettre, il voit une enveloppe fermée, rien d'autre. C'est exactement ce que fait HTTPS pour les données qui circulent entre votre navigateur et un site.
Pourquoi Google s'en préoccupe
Google a officiellement intégré HTTPS comme signal de classement en 2014. Un site en HTTP est pénalisé dans les résultats de recherche. De plus, depuis 2018, Chrome affiche un avertissement visible en rouge sur tous les sites HTTP qui ont un formulaire de contact ou de connexion. Firefox et Safari font pareil. Pour un visiteur, voir cet avertissement est synonyme de méfiance immédiate, souvent d'un départ sans retour. HTTPS est aussi une exigence de base du RGPD pour les sites qui collectent des données personnelles.
Ce que ça change pour votre site
Un site en HTTP perd entre 25 et 40 pour cent de ses visiteurs dès l'affichage de l'avertissement de sécurité du navigateur, selon les études sur le comportement des utilisateurs. Pour un artisan qui reçoit des demandes de contact par son site, c'est directement des devis perdus. Les certificats TLS sont gratuits depuis Let's Encrypt (2014) : il n'y a aucune raison économique de rester en HTTP en 2026. Si votre site est encore en HTTP, c'est un problème de configuration à régler en moins d'une heure.
Sur mes sites
Comment Guillaume Creation le garantit
Sur mes sites
HTTPS avec TLS 1.3, HSTS activé avec preload, grade A sur securityheaders.com
Moyenne française
environ 30 pour cent des sites PME français ont encore des problèmes de configuration HTTPS (redirections manquantes, contenu mixte, certificat expiré)
Source : Securityheaders.com / SSL Labs sur les sites livrés
Questions fréquentes
Quelle est la différence entre HTTP et HTTPS ?
HTTP transfère les données en clair sur le réseau. HTTPS les chiffre grâce à un certificat TLS. Résultat : avec HTTPS, même si quelqu'un intercepte les données en transit, il ne peut pas les lire. La différence est visible dans la barre d'adresse : https:// avec un cadenas au lieu de http://.
Mon site est sur Wix ou Shopify, est-ce que HTTPS est automatique ?
Oui, les grandes plateformes (Wix, Shopify, Squarespace, WordPress.com) activent HTTPS automatiquement pour tous les sites. Si vous avez un site sur un hébergeur traditionnel (OVH, Infomaniak, o2switch), vérifiez que le certificat Let's Encrypt est activé dans votre panneau d'administration.
HTTPS suffit-il pour sécuriser mon site ?
HTTPS protège les données en transit entre le navigateur et le serveur. C'est nécessaire mais pas suffisant. La sécurité complète d'un site comprend aussi les headers de sécurité (HSTS, CSP, X-Frame-Options), les mises à jour régulières du CMS, des mots de passe forts, et des sauvegardes automatiques.
Pour les curieux : le détail technique
HTTPS repose sur le protocole TLS (Transport Layer Security), la version modernisée de l'ancien SSL. TLS 1.3, la version actuelle, est plus rapide que TLS 1.2 et corrige plusieurs failles de sécurité. Le certificat TLS est émis par une autorité de certification (CA) qui atteste que vous êtes bien le propriétaire du domaine. Les certificats gratuits de Let's Encrypt couvrent les usages courants. Les certificats payants (DV, OV, EV) apportent une validation d'identité plus poussée, utile pour les banques et les e-commerces à fort volume.
Sources de référence
Termes liés
Sécurité
HSTS, c'est quoi ?
HSTS est une instruction de sécurité qui force votre navigateur à toujours se connecter à votre site en HTTPS, jamais en HTTP. Sans HSTS, une attaque simple peut intercepter votre connexion.
Sécurité
CSP (Content Security Policy), c'est quoi ?
Le CSP (Content Security Policy) est un en-tête de sécurité HTTP qui indique au navigateur quels scripts, styles et ressources votre site est autorisé à charger. C'est la principale protection contre les attaques XSS (Cross-Site Scripting), qui représentent la catégorie de failles la plus fréquente sur le web.
Ce standard est garanti sur mes sites.
Les trois offres Essentiel, Business et Signature garantissent les standards techniques du top 3 pour cent et top 1 pour cent des sites français. Rien n'est en option.