Résumez cet article avec une IA
Un de vos clients vous appelle pour vous dire qu'il ne peut pas accéder à votre site. Son navigateur lui affiche un avertissement en rouge et lui déconseille de continuer. Vous ouvrez votre propre site sur Chrome et vous voyez, dans la barre d'adresse, les mots "Non sécurisé" juste avant votre URL.
Ce message n'est pas une simple alerte technique. Pour un prospect qui découvre votre entreprise pour la première fois, c'est une raison immédiate de partir. Avant qu'il ait lu votre offre, avant qu'il ait vu vos réalisations, avant qu'il ait formé le moindre avis sur vos compétences.
Ce guide explique pourquoi ce message apparaît, ce qu'il vous coûte concrètement, et comment le corriger pas à pas, souvent en moins d'une heure.
Ce que signifie concrètement "Non sécurisé" et pourquoi tous les navigateurs l'affichent
Quand un navigateur affiche "Non sécurisé", cela signifie que votre site utilise le protocole HTTP au lieu de HTTPS. La différence est fondamentale, même si elle se résume à une seule lettre.
HTTPS (HyperText Transfer Protocol Secure) chiffre toutes les données échangées entre le navigateur de votre visiteur et votre serveur. Sans ce chiffrement, les informations transmises (formulaire de contact, adresse email, données de paiement) circulent en clair sur le réseau et peuvent théoriquement être interceptées par un tiers.
Ce chiffrement est assuré par un certificat SSL (Secure Sockets Layer, aujourd'hui remplacé par TLS mais le terme SSL reste utilisé). C'est un fichier numérique installé sur votre serveur qui garantit deux choses : que la connexion est sécurisée, et que votre site appartient bien à l'entité qu'il prétend représenter.
Chrome, Firefox, Safari et Edge affichent tous cet avertissement de manière visible et explicite depuis plusieurs années. Ce n'est pas une alerte discrète dans les paramètres. C'est un signal rouge dans la barre d'adresse, là où le regard du visiteur se pose naturellement pour vérifier l'URL.
Ce que ce message coûte réellement à votre activité
L'impact est plus large que la plupart des propriétaires de sites ne l'imaginent, et il touche trois dimensions simultanément.
La première est la crédibilité immédiate. Un prospect qui voit "Non sécurisé" avant d'avoir lu la première ligne de votre contenu forme un jugement sur votre sérieux. Nous avons observé des taux de rebond supérieurs à 85 % sur mobile pour des sites sans HTTPS, comparés à des moyennes sectorielles autour de 50 à 60 %. Les visiteurs partent avant d'avoir engagé.
La deuxième est le référencement. Google a officialisé HTTPS comme critère de classement en 2014, et cette pondération s'est renforcée depuis. Un site en HTTP est systématiquement désavantagé par rapport à ses concurrents sécurisés, à contenu et autorité équivalents. Sur des requêtes locales où quelques décimales de score peuvent faire la différence entre la première et la deuxième page, l'absence de HTTPS peut coûter des positions acquises.
La troisième est la conversion. Sur tout site qui collecte des données via un formulaire, un espace client ou un paiement, le message "Non sécurisé" tue la conversion. Aucun visiteur raisonnable ne va saisir ses coordonnées ou ses informations bancaires sur un site qui affiche cet avertissement. C'est une barrière psychologique difficile à compenser par n'importe quel autre élément de réassurance.
Les cinq causes qui expliquent pourquoi votre site affiche ce message
Identifier la cause précise conditionne la correction à appliquer. Voici les cinq situations les plus fréquentes que nous rencontrons.
L'absence de certificat SSL est la plus simple : votre site n'en a jamais eu. Il fonctionne en HTTP pur depuis sa création. C'est la situation la plus courante sur les sites créés avant 2018, époque à laquelle HTTPS n'était pas encore la norme imposée par les navigateurs.
Un certificat SSL expiré est la cause la plus évitable. Les certificats gratuits comme Let's Encrypt ont une durée de validité de 90 jours. Les certificats payants durent un à deux ans. Si le renouvellement n'est pas configuré en automatique, il suffit d'oublier une échéance pour que l'avertissement réapparaisse du jour au lendemain, sur un site qui fonctionnait parfaitement la veille.
Un certificat mal configuré peut aussi déclencher l'avertissement malgré sa présence. Mauvais nom de domaine couvert (certificat émis pour www.votre-site.fr mais non valide pour votre-site.fr sans www), chaîne de certification incomplète, autorité de certification non reconnue par les navigateurs : le navigateur refuse de valider la connexion dans tous ces cas.
Le contenu mixte est le cas le plus fréquent sur les sites qui ont migré de HTTP vers HTTPS sans vérification complète. La page principale est bien en HTTPS, mais elle charge des ressources (images, scripts JavaScript, polices, vidéos embarquées) via des URLs encore en HTTP. Le navigateur détecte cette incohérence et affiche l'avertissement malgré la présence du certificat. C'est le cas le moins intuitif à diagnostiquer sans outil dédié.
L'absence de redirection HTTP vers HTTPS est souvent oubliée lors de la mise en place du certificat. Le certificat est actif, mais le site reste accessible en HTTP sans redirection automatique vers la version sécurisée. Certains visiteurs et certains robots Google accèdent alors à la version non sécurisée, selon la façon dont ils ont enregistré ou découvert l'URL.
Comment corriger le message "Non sécurisé" pas à pas
Étape 1 : activer ou renouveler le certificat SSL
Connectez-vous à votre interface d'hébergement et cherchez la section "SSL" ou "Certificats". Si vous n'avez pas de certificat, activez un certificat Let's Encrypt : il est gratuit, reconnu par tous les navigateurs et proposé en un clic par la quasi-totalité des hébergeurs sérieux.
Si votre certificat est expiré, renouvelez-le depuis la même interface. Activez immédiatement le renouvellement automatique pour éviter que ce problème ne se reproduise. C'est l'option qui évite 90 % des cas de récidive que nous voyons en maintenance.
Étape 2 : configurer la redirection permanente HTTP vers HTTPS
Une fois le certificat actif, configurez une redirection 301 (permanente) de toutes les URLs HTTP vers leur équivalent HTTPS. Sur un serveur Apache, cela se fait dans le fichier .htaccess. Sur Nginx, dans la configuration du serveur. La plupart des hébergeurs proposent aussi cette option depuis leur panneau de gestion sans avoir à toucher au code.
Cette étape est indispensable pour que Google et vos visiteurs accèdent toujours à la version sécurisée, quelle que soit l'URL qu'ils saisissent ou sur laquelle ils cliquent depuis un ancien lien.
Étape 3 : identifier et corriger le contenu mixte
Utilisez l'outil Why No Padlock (whynopadlock.com) ou l'onglet Console de Chrome DevTools (F12, puis onglet Console) pour lister précisément toutes les ressources encore chargées en HTTP sur votre site. Ces outils indiquent page par page les URLs problématiques.
Sur WordPress, le plugin Really Simple SSL automatise une grande partie de cette correction en remplaçant les références HTTP par HTTPS dans la base de données. Sur d'autres CMS, la correction se fait manuellement dans le code ou les fichiers de configuration.
Après avoir corrigé le contenu mixte, videz le cache de votre site et de votre navigateur avant de retester. Un cache non vidé peut continuer à afficher des ressources HTTP même après correction, ce qui fausse le diagnostic.
Étape 4 : mettre à jour Google Search Console
Une fois le HTTPS correctement configuré, signalez le changement à Google. Ajoutez la propriété https://votre-site.fr dans Google Search Console (en plus de l'ancienne propriété HTTP), soumettez un nouveau sitemap XML en HTTPS et vérifiez dans les rapports d'indexation que Google découvre bien les nouvelles URLs sécurisées.
Cette étape accélère la prise en compte des URLs HTTPS par Google et évite que les deux versions (HTTP et HTTPS) ne soient indexées en parallèle, ce qui créerait du contenu dupliqué pénalisant pour le référencement.
Étape 5 : tester la qualité de votre configuration SSL
Rendez-vous sur SSL Labs (ssllabs.com/ssltest) et entrez votre nom de domaine. L'outil analyse votre configuration SSL et vous donne une note de A à F. Une note A ou A+ indique une configuration optimale. Une note inférieure signale des failles ou des protocoles obsolètes à corriger.
Ce test prend deux minutes et peut révéler des problèmes de configuration invisibles à l'oeil nu mais détectables par certains navigateurs ou pare-feux d'entreprise.
Ce qui ne dépend pas de votre site
Dans certains cas, le message s'affiche sur le navigateur d'un visiteur alors que votre certificat est parfaitement valide et votre configuration irréprochable. Les causes peuvent alors venir du côté client : une date et heure incorrectes sur l'ordinateur du visiteur (qui perturbe la validation du certificat), un navigateur obsolète qui ne reconnaît pas les protocoles TLS modernes, ou un antivirus ou pare-feu d'entreprise qui intercepte et filtre les connexions HTTPS.
Dans ces situations, le problème ne vient pas de votre site. Invitez le visiteur à vérifier ses paramètres système ou à tester depuis un autre appareil.
HTTPS, crédibilité et SEO : trois problèmes résolus en une intervention
Corriger le message "Non sécurisé" n'est pas seulement une question de sécurité technique. C'est une intervention qui améliore simultanément trois dimensions de la performance de votre site : la crédibilité perçue par vos visiteurs, votre positionnement sur Google, et votre taux de conversion sur les pages qui collectent des données.
C'est l'une des corrections les plus rapides et les plus impactantes qu'on puisse réaliser sur un site existant, avec un effort limité et un résultat immédiatement mesurable.
Au-delà de la sécurité SSL, si votre site souffre d'autres problèmes techniques, notre guide sur les causes d'un site lent couvre les problèmes de performance les plus fréquents. Et pour avoir une vision complète des points à corriger en priorité, notre article sur les erreurs à éviter sur un site d'entreprise vous donne un cadre de diagnostic complet.
Vous voulez vérifier l'état technique de votre site et identifier tous les problèmes qui nuisent à votre visibilité et à votre crédibilité ? Demandez votre audit gratuit : vous recevrez sous 48h une analyse concrète de votre configuration, les erreurs identifiées et les corrections prioritaires, sans engagement et sans relance automatique. Si vous préférez en discuter directement, vous pouvez prendre rendez-vous pour un échange de 30 minutes avec notre équipe.
Questions fréquentes.
Vous ne trouvez pas la réponse à votre question ? Prenez rendez-vous pour en discuter.
Prendre rendez-vousCe message s'affiche lorsque votre site ne dispose pas d'un certificat SSL valide ou qu'il utilise encore le protocole HTTP au lieu de HTTPS. Cela peut être dû à un certificat expiré, mal configuré, absent, ou à du contenu mixte (des ressources encore chargées en HTTP malgré un certificat actif). Le navigateur avertit les visiteurs que la connexion n'est pas chiffrée.
Oui, très clairement. La grande majorité des internautes quittent immédiatement un site qui affiche cet avertissement, surtout s'ils doivent y saisir des informations personnelles. C'est un signal de méfiance immédiat qui nuit à votre crédibilité et à votre taux de conversion avant même que le visiteur ait lu votre contenu.
Oui. Google favorise les sites HTTPS dans ses résultats de recherche depuis 2014, et cette préférence s'est renforcée depuis lors. Un site en HTTP pur ou avec un certificat SSL défaillant est désavantagé par rapport à ses concurrents sécurisés, à contenu équivalent.
Il existe des certificats SSL gratuits, notamment via Let's Encrypt, proposés par la plupart des hébergeurs sérieux. Pour la majorité des sites professionnels, un certificat gratuit correctement configuré est largement suffisant. Des certificats payants existent pour des besoins avancés comme les sites e-commerce avec validation étendue.
Dans la plupart des cas, activer un certificat SSL prend moins d'une heure via votre hébergeur. La configuration complète du HTTPS (redirections, mise à jour des liens internes, correction du contenu mixte, test de sécurité) demande quelques heures supplémentaires. C'est l'une des corrections les plus rapides et les plus impactantes qu'on puisse faire sur un site.
C'est presque toujours du contenu mixte. Votre page principale est en HTTPS, mais elle charge des ressources (images, scripts, polices) via des URLs encore en HTTP. Le navigateur détecte cette incohérence et affiche l'avertissement malgré la présence du certificat. Il faut identifier et corriger toutes les ressources non chargées en HTTPS.
Si la migration est bien réalisée, non. La clé est de mettre en place des redirections 301 de toutes les URLs HTTP vers leurs équivalents HTTPS, de mettre à jour le sitemap dans Google Search Console et de corriger les liens internes. Une migration HTTPS bien faite améliore le référencement, elle ne le détériore pas.
Audit de site
100% |
Votre site génère-t-il vraiment des clients ?
Analyse complète en instantané : performance, clarté, conversion.
Analyser mon site gratuitement
Continuez votre
lecture
Explorez d'autres articles qui pourraient vous intéresser sur des thématiques similaires
