arrow_back Retour au blog
Sécurité web basique 10 avril 2026 8 min de lecture

SSL/TLS : pourquoi le HTTPS est vital pour votre entreprise (et comment le vérifier)

HTTPS, certificat SSL, TLS 1.3… Ce que ces termes signifient concrètement pour votre business. Pourquoi le HTTPS est obligatoire et comment vérifier la configuration de votre site en 5 minutes.

"Un client m'a appelé paniqué : son navigateur affichait 'Site non sécurisé' sur mon site. Mon certificat SSL avait expiré la nuit précédente. En 12 heures, j'avais perdu 30 % de mon trafic et plusieurs devis n'avaient pas été envoyés."Valérie C., consultante RH, site vitrine + formulaire de contact

HTTPS vs HTTP : la différence en une phrase

En HTTP, les données échangées entre votre navigateur et le serveur circulent en clair — comme une carte postale que n'importe qui peut lire. En HTTPS, elles sont chiffrées — comme une lettre sous enveloppe scellée.

Le cadenas dans la barre d'adresse indique que la connexion est chiffrée grâce à un certificat SSL/TLS.

Pourquoi c'est critique pour votre PME

Sécurité et responsabilité légale

Sans HTTPS, toute information saisie sur votre site peut être interceptée par un attaquant sur le même réseau Wi-Fi. La CNIL considère le HTTPS comme une mesure de sécurité minimale obligatoire pour tout site traitant des données personnelles.

En l'absence de HTTPS, votre responsabilité peut être engagée en cas d'incident.

Référencement Google (SEO)

Depuis 2014, Google prend le HTTPS comme signal de classement. Depuis 2018, Chrome affiche "Non sécurisé" sur les sites HTTP. Double impact : perte de positions dans les résultats + taux de rebond plus élevé.

Selon HubSpot, les sites HTTPS ont en moyenne un taux de rebond 30 % plus faible.

Confiance des clients

Selon GlobalSign, 84 % des internautes abandonnent un achat si leur navigateur affiche un avertissement de sécurité. Le cadenas, c'est le premier signal de confiance avant même votre contenu.

Les différents types de certificats SSL

Type Vérification Coût Adapté pour
DV (Domain Validation) Contrôle du domaine Gratuit (Let's Encrypt) Sites vitrine, blogs
OV (Organization Validation) Identité juridique vérifiée 100 – 300 €/an Sites d'entreprise
EV (Extended Validation) Vérification approfondie 200 – 700 €/an E-commerce, paiements

Pour les PME avec site vitrine : Un certificat DV de Let's Encrypt (gratuit) est suffisant. Pour les PME avec e-commerce : Un certificat OV minimum, idéalement EV.

Let's Encrypt : le SSL gratuit pour tous

Let's Encrypt est une autorité de certification à but non lucratif soutenue par Mozilla, Google, Cisco. Elle délivre des certificats SSL DV totalement gratuits et automatiquement renouvelables.

La plupart des hébergeurs français (OVH, O2Switch, Infomaniak, LWS) proposent Let's Encrypt en un clic. Si le vôtre ne le propose pas, c'est le moment d'en changer.

Versions TLS : ce qui est acceptable aujourd'hui

Version Statut Action
SSL 3.0 Vulnérable (POODLE) Désactiver immédiatement
TLS 1.0 Déprécié (BEAST) Désactiver
TLS 1.1 Déprécié Désactiver
TLS 1.2 Acceptable Maintenir + activer TLS 1.3
TLS 1.3 Recommandé Activer en priorité

Depuis 2020, Chrome, Firefox, Edge et Safari ont désactivé TLS 1.0 et 1.1. Si votre serveur ne supporte que ces versions, certains navigateurs afficheront des avertissements.

Vérification : Testez votre configuration sur SSL Labs. Un site bien configuré obtient au minimum la note A.

Les 5 erreurs SSL les plus courantes

1. Le certificat expiré À expiration, les navigateurs bloquent l'accès avec une page rouge. Activez le renouvellement automatique et configurez une alerte email 30 jours avant.

Voir aussi : Certificat SSL expiré — risques et solution en 5 minutes

2. Le contenu mixte (mixed content) Votre page principale est en HTTPS, mais elle charge des ressources (images, scripts) en HTTP. Le navigateur bloque ces ressources et affiche un avertissement.

3. Le certificat ne couvre pas tous les sous-domaines Utilisez un certificat wildcard (*.votresite.fr) pour couvrir tous vos sous-domaines.

4. La redirection HTTP → HTTPS manquante Votre site doit être accessible uniquement en HTTPS. Ajoutez une redirection 301 dans votre .htaccess :

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

5. Le HSTS non configuré Le HSTS force les navigateurs à toujours utiliser HTTPS, même si quelqu'un tape votre URL sans https:// :

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

Votre check-list SSL complète

  • Mon site affiche le cadenas — l'URL commence par https://
  • Mon certificat est valide (non expiré)
  • Le renouvellement automatique est activé
  • Mon serveur supporte TLS 1.2 et TLS 1.3
  • Aucun contenu mixte (toutes les ressources en HTTPS)
  • Redirection 301 HTTP → HTTPS en place
  • HSTS configuré
  • Note A ou A+ sur SSL Labs

Pas sûr de tout ça ? Lancez un audit gratuit sur MonAuditCyber.fr — le diagnostic SSL/TLS complet est inclus, résultat en 30 secondes.

Voir aussi : Cybersécurité PME — le guide complet

Sources : Let's Encrypt · SSL Labs — Qualys · Mozilla — Server Side TLS Guide · CNIL — Sécurité des données · ANSSI — Recommandations TLS

← Tous les articles
verified_user

Passez à l'action

Ne laissez pas une faille connue mettre votre entreprise en danger.

Analyser mon site maintenant — C'est gratuit →