Pourquoi sécuriser son site web avec HTTPS ?

13792583873_2682af02b5_b

2017, sera l’année du HTTPS c’est une certitude. Les acteurs du web ont décidé Google et Mozilla (Firefox) en tête de pousser cet aspect lié aux échanges d’informations entre le navigateur de votre visiteur et votre site web. Actuellement la plupart des sites web sont accessibles grâce à une adresse qui commence par http://. Le fait qu’il soit accessible avec https:// au lieu de http:// signifie bien plus qu’une simple lettre en plus (« s » pour « secure »). Vous êtes même en infraction avec la loi si vous faites de la vente en ligne de ne pas l’utiliser au moins au stade du paiement. On vous explique pourquoi juste après.

A quoi ça sert le HTTPS ?

HTTPS est acronyme qui désigne une façon d’échanger les données (protocole) qui va permettre à vos visiteurs de :

  • vérifier l’identité de votre site web et peut permettre de savoir quelle entreprise est derrière sans même devoir aller chercher dans vos conditions de vente
  • leur garantir que tous les échanges seront cryptés du début à la fin au cours de ses différentes actions réalisées sur votre site web. Que ce soit les pages qu’il visionne, les fichiers qu’il télécharge mais aussi les formulaires qu’il remplit et les données qu’il fournit.

Actuellement une personne mal intentionnée pourrait intercepter ces échanges sur un site web en HTTP ce qui n’est pas possible avec HTTPS quand il est bien configuré (voir plus bas pour rendre votre site web compatible). C’est pour cela que vous seriez en infraction si vous avez un site de vente en ligne. Car cela signifierait que les données des cartes bancaires de vos clients pourraient être transmises à des personnes extérieures. Cependant rassurez-vous, une plateforme de paiement ayant pignon sur rue est forcément sécurisée avec HTTPS. Mais rien n’impose de crypter les données AVANT le passage au paiement.

Pourquoi passer au HTTPS en 2017?

  • La notoriété et la confiance vis-à-vis de vos clients: Google et Firefox affichent des messages de plus en plus dissuasifs depuis 2017 à vos visiteurs pour les prévenir que le site n’est pas sécurisé et que leurs données ne sont pas protégées. A vous de voir si vous prenez le risque que les gens se disent que vous n’êtes pas fiable ou digne de confiance.
  • Des points en moins pour votre référencement naturel (SEO) : Google a clairement précisé que dès 2017, cela devenait un facteur de référencement et donc des points en moins si le site web n’était pas disponible en HTTPS. C’est donc un facteur facile pour gagner des points et améliorer votre positionnement dans les moteurs de recherche tout en améliorant la sécurité.
  • Impossibilité d’utiliser certains services: Dans le cas de certains développements pour votre site web, l’accès à un services web donné ne sera pas possible  si votre site n’est pas en HTTPS. Il serait dommage de se priver de fonctionnalités à cause de ce manquement.
  • Nouvelle norme HTTP2 pour les serveurs web : La plupart des serveurs web qui hébergent les fichiers de votre site web ne pourront passer à la nouvelle norme HTTP2 sans passer au HTTPS. C’est donc également une question d’évolutivité de la base technique de votre site web et donc une potentielle faille de sécurité à moyen terme.
  • Nécessité vis-à-vis de la loi et/ou transmission de données sensibles : La loi pour la vente en ligne et/ou votre business qui vous impose la plus grande discrétion sur les données de vos clients vous pousseront également à passer au HTTPS. La nouvelle situation en 2017 vis-à-vis du HTTPS ne changera rien, vous devez le faire de toute façon. Il suffit d’avoir besoin d’un espace client permettant à vos clients de consulter des fichiers sensibles sur votre site web de manière protégée pour avoir recours au HTTPS. De manière générale, dès que vous transmettez des données ou que vos clients le font, vous devez sécuriser votre site web en HTTPS.

On veut passer au HTTPS, que doit-on faire pour que notre site soit compatible?

Le passage au HTTPS va nécessiter deux choses pour votre site web :

  • l’obtention d’un certificat SSL
  • des changements au niveau des fichiers de votre site web

Etape 1 /2 : l’obtention d’un certificat SSL

SSL est un protocole d’échange sécurisé entre deux points. Par exemple entre le navigateur de votre visiteur et le serveur où se situe les fichiers de votre site web. Un certificat SSL va permettre de garantir à votre visiteur passant par l’adresse https:// que le cryptage est validé de de A à Z pour l’échange des données entre son navigateur et votre site web.

Il permet aussi de voir le niveau de confiance qu’il peut avoir en votre entreprise. C’est le petit cadenas vert à côté de l’adresse du site. Plus il y a d’informations en vert avec le cadenas mieux c’est. Le fait qu’il y ait plus ou moins d’informations va dépendre du type de certificat : SSL DV, OV et EV. Le certificat SSL DV (domain validation) est le certificat de base utilisé par la plupart des sites web et suffisant pour la plupart des entreprises. Les certificats OV (organisation validation) et EV (extended validation) seront nécessaires dans des cas où une certification plus précise est un plus pour votre entreprise et/ou vis-à-vis de la loi.

Pas de certificat SSL, pas de cadenas ou mal sécurisé : ce type de message peut s’afficher. Faites attention et continuer votre visite uniquement si vous êtes sûr de ce que vous faites.

https-firefox-message

probleme-certificat-ssl

Certificat SSL DV (domaine validation) & OV (organisation validation) : le certificat spécifie le domaine et par quel organisme le certificat SSL a été attribué et vérifié. Le certificat OV va en plus spécifier pour quelle entreprise il a été attribué. Visuellement, il faut parfois aller dans « plus d’informations » pour voir à quelle organisation le certificat a été attribué.

belgium-https-ssl-ov

google-https-ssl-ov

Certificat SSL EV (extended validation) : il permet d’indiquer le nom de l’entreprise directement dans la barre d’adresse et spécifie la localisation de l’entreprise. C’est le niveau le plus haut de certification.

dns-https-ssl-ev

De la même manière que vous pouvez enregistrer votre nom de domaine et/ou l’hébergement de votre site web, il existe de nombreux prestataires qui offrent la possibilité de souscrire à un certificat SSL. C’est donc un choix de votre part et/ou de votre agence web de souscrire à l’un ou l’autre. Si votre agence web vous conseille un prestataire en particulier, suivez son conseil, c’est qu’elle a l’habitude de travailler avec celui-ci et vous évitera de potentiels problèmes et des surcoûts liés aux pratiques du prestataires. Si vous n’avez pas confiance en elle, je vous invite à lire l’article sur les critères de sélection d’une agence web.

Ce certificat SSL est renouvelable chaque année (ou pour une durée plus longue pour certains) et est attribué à votre nom de domaine, vous ne pouvez pas l’utiliser sur votreentreprise.be si vous l’avez enregistré pour votreentreprise.com.

Etape 2/2 : Modifications des fichiers de votre site web

Une fois le type de certificat SSL et le prestataires choisi, il faudra installer le certificat sur votre hébergement et préparer les fichiers de votre site web à être accessible via l’adresse https://www.votreentreprise.com et plus http://www.votreentreprise.com. Cela va nécessiter une série d’opérations sur votre site comme rediriger toutes les adresses des pages de http:// vers https://,… Selon la complexité de celui-ci, les fonctionnalités développées et les services web utilisés, cela peut varier d’une matinée à une journée de travail en moyenne.

On en parle ?

En 2017, il est donc important de prévoir cette mise à jour de votre site web, elle n’est pas obligatoire mais fortement conseillée et vu les enjeux et ne fut-ce que l’intérêt pour le référencement naturel (SEO) ce serait dommage de vous en priver.

On passe votre site web au HTTPS ensemble? Contactez-nous, on s’occupe de cela avec vous. Ce changement sera complètement transparent pour vos visiteurs. Il vous permettra également pour vous, d’améliorer encore un peu plus la sécurité et la visibilité de votre site web auprès de votre cible.

Partagez ce merveilleux article

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *