Comment créer un site web sécurisé ?

F T ʅ

Vous le pressentez, vous le savez : il faut protéger votre site web.

Ce, pour au moins deux excellentes raisons : vous prémunir des cyberattaques, et gagner la confiance de vos visiteurs.

Mais comment créer un site internet HTTPS (un site internet sécurisé) ? Comment être sûr que ses pages web sont bien protégées ?

Protocole HTTPS, certificats SSL, TSL, EV, DV, OV…. peut-être que tous ces sigles associés à la sécurité d’un site vous donnent un peu le tournis.

On ne peut que vous comprendre !

Découvrons ensemble en quoi consiste un site HTTPS, quels sont les avantages associés, et comment faire un site internet sécurisé !

Que signifie "Site HTTPS" ?

HTTP signifie “hypertext transfer protocol”.

… Vous êtes bien avancé maintenant, hein ? ;-)  Ahah. On continue !

Toutes les informations échangées via ce protocole, risquent potentiellement d'être interceptées.

C’est pourquoi on a créé le protocole HTTPS qui est une extension de HTTP, et qui fonctionne en collaboration avec un autre protocole appelé SSL (secure sockets layer), pour transporter les données de façon sécurisée. C’est le protocole SSL qui s’occupe du transfert de données, à proprement parler. L’évolution du SSL est le TLS (transport layer security), une façon encore plus sûre d'encrypter l'information.

Un site est dit sécurisé, quand la connexion utilisée pour communiquer avec le serveur d’hébergement est cryptée. Vous l’avez compris, l’adresse d’un site sécurisé commence par https:// (le s signifiant “secure” = sécurisé), là où l’adresse d’un site non sécurisé commence par http://. 

Lorsque vous êtes sur un site HTTPS, un cadenas apparaît à gauche de l’adresse du site, dans votre navigateur, et au clic, la mention “Sécurisé” est indiquée.

Sécuriser son site, qu’est-ce que ça apporte ?

Eh bien, avoir un site bien protégé, permet surtout de se prémunir de certains problèmes, mais nous amène aussi quelques bénéfices appréciables. En d’autres termes, un site sécurisé nous évite des choses pas cool, et nous apporte des choses cool. ;-) On regarde ça dans le détail.

Les avantages d’un site HTTPS

Si vous êtes là, c’est sans doute que vous êtes déjà convaincu qu’il est utile de mettre en place la protection de votre site internet. 

Mais voici tout de même un petit rappel de tous les avantages apportés par un site sécurisé :

• Avec le protocole de sécurité HTTPS / SSL, les informations sensibles transitant via le réseau internet (telles que les mots de passe, cartes bancaires, etc.) ne peuvent pas être espionnées par une personne s’étant introduite dans un des équipements utilisés par le réseau (connexion wifi, ligne téléphonique, fibre optique, routeur, …).
  Le protocole agit un peu comme un bouclier anti-hacker / anti-intrusions.
  
  
• Le site bénéficie d’un label en forme de cadenas s’affichant dans la barre d’adresse du navigateur.
  A l’inverse, si un site n’est pas https, les navigateurs mettent les utilisateurs en garde avec des messages d’alerte. Inutile de dire que ça fait “mauvais genre”. ;-)
  
  
• Le référencement est amélioré dans Google.
  Sur le net, c’est bien connu, tout ce qui nous rend plus visible, nous rend plus fort. De plus depuis 2018, Google annonce d’emblée la couleur dans les pages de résultats : tous les pages HTTP sont mentionnées comme “non-sécurisées”. Autant dire que quand on tient à son image de marque, on préfère éviter ça.
  
  
• Votre site bénéficie d’une crédibilité plus importante auprès de vos visiteurs.
  On sait que l’internaute est de plus en plus méfiant. Et on sait aussi qu’il n’a pas tort ! Car les fraudes et les arnaques vont bon train sur le web. Tout mettre en oeuvre pour rassurer vos visiteurs n’est donc jamais une mauvaise idée.
  
  
• La version mobile de votre site est également sécurisée.
  Toutes les règles de sécurité valables sur postes fixes le sont aussi sur appareils mobiles.

Créer un site web sécurisé

Comment rendre mon site HTTPS ?

Autant être franc avec vous, si vous choisissez de vous lancer seul dans l’aventure, c’est une opération qui pourra vous sembler un peu complexe. Du moins si vous n’avez pas l’âme d’un geek. Mais selon la solution que vous aurez choisie, pour créer ou refaire votre site, cela pourra être pris entièrement en charge par votre prestataire.

Rendre son site web HTTPS : la procédure

SiteW s’occupe automatiquement de l’enregistrement et du renouvellement du certificat SSL.
En effet, la mise en place d’une connexion sécurisée HTTPS requiert l’enregistrement d’un certificat SSL auprès d’un organisme certificateur (Symantec, Commodo, Let’s encrypt, …).

Si vous vous lancez en solo, voilà les étapes à suivre pour la création d’un site HTTPS :

• Avant toute chose, vous devez effectuer une demande de signature de certificat (CSR) sur votre serveur, afin de récupérer les données nécessaires (certificat de clé publique) pour l’enregistrement du certificat SSL.
• Vient ensuite l’étape du choix et de l’achat du certificat SSL. Vous trouverez différents types de certificats (que nous détaillerons plus bas), qui vous offriront des degrés de sécurité web distincts. Les prestataires pratiquant des tarifs très variables, comparez bien les différentes offres.
• Il vous faudra ensuite passer à la phase de configuration de votre serveur web. Selon le logiciel utilisé, la procédure ne sera pas la même. Référez-vous aux tutoriels existants.
• Mettez ensuite en place des redirections 301 (c’est à dire permanentes) pour rediriger le trafic de vos pages HTTP vers vos nouvelles pages HTTPS, de sorte à ce que la sécurisation n’impacte pas négativement votre référencement.
• Vous pourrez par la suite checker la conformité de votre configuration SSL, grâce à certains outils en ligne, comme par exemple: https://www.ssllabs.com
• Pensez à actualiser votre compte Google Webmaster Tools avec votre nouvelle adresse web HTTPS.
• Mettez également à jour tous vos documents, et tous vos comptes en ligne, contenant vos URLs (campagnes emailing, pub, réseaux sociaux, affiliations...)

Et surtout n’oubliez pas, à terme, de renouveler votre certificat SSL.

• Vérifiez tous les liens qui pointent vers votre site. Ceci afin de ne pas générer d’erreurs 404. Pour ce faire, vous pouvez recourir à des logiciels gratuits, comme par exemple Broken Link check. Cela, encore une fois, vous évitera de voir pâtir votre référencement.
• Enfin, terminez en regardant la compatibilité de vos fichiers externes, et de vos  plugins (si vous avez créé votre site sur un CMS, par exemple).

C’est vrai, y’a du boulot, mais avec un peu de méthode,on arrive à tout !

Choisir son certificat SSL : les différentes sortes de certificats

Voilà les différents types de certificats SSL que vous trouverez sur le marché. Choisissez le vôtre, en fonction de vos besoins :

• Le certificat DV

Ce certificat SSL contrôle le domaine. C’est le niveau de sécurité le plus faible. Dans ce cas, l’organisme de certification ne vérifie que la propriété du domaine concerné. Le certificat DV vous conviendra, si vous ne demandez pas de données privées à vos visiteurs, et si votre site n’est pas la cible potentielle de certaines fraudes, comme le phishing.

• Le certificat OV

Ce certificat effectue un contrôle de l’organisation. L’entreprise est alors vérifiée : on s’assure, par exemple, de l’enregistrement de cette dernière au RCS (registre des commerces et des sociétés). Ce certificat est adapté dans le cas ou vous transférez des données non sensibles.

• Le certificat EV

Il s’agit d’un certificat permettant un contrôle étendu de l’entreprise. Avec ce dernier, vous aurez le degré de sécurité le plus fort. C’est le certificat le mieux adapté pour transférer des données sensibles (informations de paiement, par exemple).

Comment optimiser son référencement en passant de HTTP à HTTPS ?

On l’a vu plus haut, sécuriser son site web n’est plus une option aujourd’hui, si l’on veut optimiser son référencement sur le long terme. 

Cependant, le passage de HTTP à HTTPS peut être un peu délicat pour votre visibilité sur les moteurs de recherche. Pour bien vous en sortir, faites bien attention aux points suivants :

• Mettez en place des redirections 301, pour signifier à Google le fait que vous avez converti vos pages web en HTTPS.
• Veillez bien à effacer vos anciennes pages HTTP pour ne pas avoir des contenus identiques 
• Modifiez tous vos liens internes, ainsi que vos liens entrants (backlinks), en accord avec les propriétaires des différents sites référents, si vous le pouvez (sinon ils seront redirigés via 301).
• Actualisez toutes vos URLs sur les divers supports (dépliants, cartes de visite…).

Ouf… ! Si cela vous semble laborieux, demandez à votre prestataire de service de s’en charger. 

Mais, selon la solution de création de site que vous aurez choisi, tout peut se passer autrement...

Créer un site sécurisé en 1 clic avec un website builder (comme nous)

Si vous choisissez un logiciel en ligne (comme nous), pour créer votre site sécurisé, les choses seront beaucoup plus simples. 

Avec un website builder, tout est entièrement géré par le service :

• Le certificat SSL est enregistré et renouvelé automatiquement
• Les redirections sont assurées, et les nouvelles adresses indexées par les moteurs de recherche.
• Toutes les problématiques de compatibilité sont prises en charge : en effet, pour qu’un site soit sécurisé, tous les fichiers qu’il utilise doivent être chargés depuis une connexion HTTPS sécurisée. Les fichiers doivent donc tous être convertis en HTTPS, ou alors désactivés.

Ainsi, sans avoir à fournir le moindre effort, vous serez assuré d’avoir un site 100% sécurisé, et d’obtenir le fameux cadenas.

On ne plaisante pas avec la sécurité sur internet. On le sait, Google le sait, et vous le savez aussi. Sécuriser son site est à la base de toute réussite sur le web. Une fois bien protégé, votre site n’a plus qu’à s’envoler vers le succès !