Votre URL commence par https:// avec un cadenas vert. Bonne nouvelle, votre site est "sécurisé". Mais que signifie vraiment HTTPS ? À quoi sert le certificat SSL ? Faut-il en prendre un payant ou Let's Encrypt suffit-il ? Pour un dirigeant non technique, ces questions méritent des réponses claires en 2025.
HTTPS et SSL : les bases en français clair
HTTP vs HTTPS
HTTP : protocole de communication web non chiffré. Tout ce qui transite (mots de passe, données carte bancaire, contenu de formulaires) est en clair, lisible par n'importe qui sur le réseau.
HTTPS : version chiffrée du HTTP. Toutes les données sont cryptées entre le navigateur et le serveur. Personne ne peut intercepter les informations, même sur un Wi-Fi public.
Le certificat SSL/TLS
Pour activer HTTPS, votre site a besoin d'un certificat numérique. Ce certificat fait deux choses : 1) Il prouve l'identité du site (vérifié par une autorité de certification). 2) Il fournit les clés cryptographiques pour le chiffrement.
SSL est l'ancien protocole, TLS est le nouveau. En 2025, on parle encore couramment de "SSL" mais techniquement c'est TLS 1.3 qui est utilisé.
Pourquoi HTTPS est devenu obligatoire
- Google pénalise les sites HTTP en SEO depuis 2014, et de plus en plus durement
- Chrome et Firefox affichent "Non sécurisé" sur les sites HTTP — fait fuir les visiteurs
- RGPD impose des mesures de sécurité dont le HTTPS pour les sites traitant des données personnelles
- Confiance utilisateur : le cadenas vert est devenu un standard de crédibilité
- Paiement en ligne : impossible sans HTTPS (les processeurs paiement comme Stripe l'exigent)
En 2025, ne pas avoir HTTPS sur son site n'est plus un retard : c'est une mort programmée.
Let's Encrypt : le certificat gratuit qui suffit dans 95% des cas
Let's Encrypt est une autorité de certification gratuite et automatisée fondée en 2014. Elle émet des certificats SSL valides reconnus par tous les navigateurs. Caractéristiques :
- Gratuit, illimité
- Renouvellement automatique tous les 90 jours
- Validité technique identique aux certificats payants
- Inclus chez 99% des hébergeurs modernes (OVH, Scaleway, Hetzner, Vercel, Netlify)
- Activation en 1 clic ou automatique
Pour 95% des PME françaises, Let's Encrypt suffit largement. Aucune raison rationnelle d'en payer un autre.
Quand un certificat payant peut être pertinent
Certificat EV (Extended Validation)
Validation poussée de l'identité de l'entreprise. Affichait le nom de la société dans la barre d'adresse en vert (sur certains anciens navigateurs — fonctionnalité supprimée par Chrome en 2019). Aujourd'hui, l'EV n'apporte quasiment plus rien visuellement par rapport au DV (Domain Validation) gratuit.
Coût : 80-300 €/an. À considérer uniquement pour les banques, sites institutionnels avec image très premium. Pour 99% des PME, totalement inutile en 2025.
Certificat avec garantie
Certains certificats payants incluent une "garantie financière" en cas de fraude liée au certificat. En pratique, jamais utilisée. Marketing.
Wildcard certificat
Couvre tous les sous-domaines (*.exemple.com). Let's Encrypt fait aussi du wildcard gratuitement depuis 2018. Aucune raison de payer.
| Type | Coût annuel | Validation | Recommandation 2025 |
|---|---|---|---|
| Let's Encrypt DV | 0 € | Domaine | ✓ Pour 95% des PME |
| DV payant (commercial) | 20-80 € | Domaine | Inutile (Let's Encrypt suffit) |
| OV (Organization Validation) | 80-200 € | Organisation | Marginal |
| EV (Extended Validation) | 150-500 € | Étendu | Inutile depuis 2019 |
| Wildcard Let's Encrypt | 0 € | Domaine + sous-domaines | ✓ Pour PME multi-sous-domaines |
À retenir — Si on vous propose un certificat SSL à 80-300 €/an en 2025, méfiez-vous. Pour 99% des PME, Let's Encrypt gratuit fait exactement le même travail technique. C'est une zone de marketing musclé chez certains hébergeurs et registrars qui jouent sur la peur ('vraie sécurité', 'certificat professionnel'). Ne payez pas pour rien.
Comment vérifier que votre HTTPS est bien configuré
- Tester sur SSL Labs (ssllabs.com/ssltest) : note de A+ à F sur la qualité de votre configuration. Cible : A ou A+.
- Vérifier les redirections HTTP → HTTPS : taper http://votresite.com (sans le S) doit rediriger automatiquement vers https.
- Pas de mixed content : votre site HTTPS ne doit charger que des ressources HTTPS (images, CSS, JS). Les ressources HTTP créent des warnings sécurité.
- HSTS activé : header de sécurité qui force HTTPS définitivement
- Renouvellement automatique : vérifiez que votre certificat se renouvelle bien (Let's Encrypt expire tous les 90 jours)
Cas concret : audit d'un cabinet d'avocats
Un cabinet d'avocats parisien (10 collaborateurs) avait en 2024 un certificat SSL payant à 280 €/an chez son hébergeur, en pensant avoir "le meilleur niveau de sécurité". L'audit révèle : configuration TLS médiocre (note B sur SSL Labs), redirection HTTP non systématique, pas de HSTS, mixed content sur 3 pages.
Migration vers Let's Encrypt (gratuit) avec configuration propre : redirections automatiques, HSTS activé, suppression du mixed content, mise à jour TLS 1.3. Note SSL Labs : A+. Économie annuelle : 280 €.
Le cabinet a réalisé que son "certificat premium" payant offrait moins de sécurité réelle qu'une configuration Let's Encrypt bien faite. Voir aussi notre article sur la cybersécurité PME.
Performance technique : un avantage compétitif durable
L'optimisation technique d'un site n'est pas un projet ponctuel mais une discipline continue. Les algorithmes Google évoluent (Core Web Vitals plus exigeants chaque année), les attentes utilisateurs se durcissent (tolérance vitesse divisée par 2 entre 2018 et 2026), les outils techniques se renouvellent. Une PME qui intègre la performance dans sa culture interne maintient un avantage durable sur ses concurrents.
Concrètement, cela signifie : monitoring continu des Core Web Vitals via Search Console, audits techniques semestriels, formation des équipes content aux bonnes pratiques (images optimisées, structure sémantique), choix d'outils et de partenaires qui partagent l'exigence technique. L'investissement initial (audits, formations, outils) est compensé par un SEO qui résiste aux updates Google.
Voir aussi nos articles sur les Core Web Vitals 2025, le score Lighthouse 90+, et notre offre développement web performant.
Questions fréquentes
Faut-il payer pour un certificat SSL en 2025 ?
Non, dans 99% des cas. Let's Encrypt fournit gratuitement un certificat SSL/TLS techniquement identique aux certificats payants pour la sécurité du chiffrement et la confiance navigateur. Renouvellement automatique tous les 90 jours, inclus chez 99% des hébergeurs modernes (OVH, Scaleway, Hetzner, Vercel, Netlify). Les certificats payants à 80-300 €/an n'apportent quasiment plus rien depuis 2019 (le 'cadenas vert avec nom de société' EV a été supprimé par Chrome). Si on vous propose un certificat SSL payant 'pour vraie sécurité professionnelle', c'est du marketing musclé. Pour 95% des PME, Let's Encrypt gratuit suffit largement.
Comment vérifier que mon site HTTPS est bien configuré ?
Cinq tests à faire : 1) Tester sur SSL Labs (ssllabs.com/ssltest) — cible : note A ou A+, jamais en dessous de A. 2) Vérifier la redirection HTTP vers HTTPS automatique (taper http://votresite.com doit rediriger vers https). 3) Pas de mixed content (votre site HTTPS ne doit charger que des ressources HTTPS — images, CSS, JS). 4) HSTS activé (header de sécurité qui force HTTPS). 5) Renouvellement automatique du certificat (Let's Encrypt expire tous les 90 jours, automatisation obligatoire). Configuration médiocre = pénalité Google même si le cadenas est vert. Investir 200-500 € pour qu'un développeur audite et corrige est largement rentable.
Mon site WordPress n'est pas en HTTPS, est-ce grave ?
Oui, c'est très grave en 2025. Conséquences : 1) Google pénalise lourdement en SEO depuis 2014, l'effet s'est accentué chaque année. 2) Chrome et Firefox affichent 'Non sécurisé' dans la barre d'adresse — fait fuir 30-60% des visiteurs. 3) Impossibilité d'utiliser des paiements en ligne (Stripe, PayPal exigent HTTPS). 4) Non-conformité RGPD pour le traitement de données personnelles. 5) Perte de confiance massive des prospects. Solution : activer HTTPS gratuitement avec Let's Encrypt en 30 minutes (chez OVH, en 1 clic depuis le panneau). Mise en place : 1-2 heures pour un développeur si site complexe, ou support hébergeur pour sites simples.
Conclusion : HTTPS bien fait gratuit > HTTPS payant mal configuré
En 2025, la qualité du HTTPS dépend de la configuration, pas du prix du certificat. Voir notre offre maintenance et sécurité web.
