En septembre dernier, Google a annoncé que dans une mise à jour de leur logiciel Chrome prévue pour janvier, les sites internet n’utilisant pas le HTTPS seront identifiés comme non sécurisés dans le navigateur :
(Source & crédits : Google)
Ainsi, si vous ne l'avez pas encore fait, il vous reste moins de 2 mois pour activer le HTTPS sur votre boutique et vous y gagnerez. Néanmoins, activer le HTTPS ne doit pas être la seule action à amorcer pour sécuriser votre boutique, il est également important de mettre à jour votre CMS ainsi que son hébergement. Nous allons donc revenir sur tous ces points en détail.
HTTPS pour tous, HTTPS partout
HTTPS est un protocole permettant de vérifier l’identité d’un site Internet grâce à un certificat d’authentification émis par un tiers de confiance. Il garantit en théorie la confidentialité et l’intégrité des échanges entre votre navigateur et le site Internet que vous visitez.
L’annonce de Google n’est pas vraiment une surprise puisque ces dernières années, le HTTPS a beaucoup été poussé :
- Depuis août 2014, les sites internet utilisant HTTPS sont mieux référencés
- Depuis décembre 2015, sur un site proposant du HTTP et du HTTPS, ce sont les pages en HTTPS qui sont référencées en priorité
Le HTTPS avait la réputation d’être aussi coûteux que compliqué à mettre en place et de détériorer les performances d’un site. Ce n’est plus du tout vrai, cela a beaucoup évolué ces dernières années.
Grâce à l’initiative Let’s Encrypt, vous pouvez désormais disposer d’un certificat gratuit. La grande majorité des hébergeurs a joué le jeu et vous propose désormais de l’activer gratuitement sur votre site (par exemple : OVH, Online, Ikoula... ).
Une fois votre certificat SSL installé vous pouvez utiliser l’un des outils suivants pour le tester :
Si vous utilisez un CMS, une fois le certificat activé au niveau de votre hébergement, l’activer dans votre interface d’administration est très simple :
- Pour Prestashop : Activer le SSL
- Pour WordPress / WooCommerce
Attention si vous utilisez le module WooCommerce, avant d’activer le HTTPS, nous vous recommandons de mettre à jour votre module en utilisant la version disponible sur ce lien. Une nouvelle version de ce module bien plus complète est prévue pour courant 2017.
Si vous êtes développeur, nous vous recommandons la lecture de ce très bon guide proposé par Google.
De très gros efforts ont été effectués pour optimiser la performance, un site en HTTPS est désormais plus rapide à afficher qu’un site HTTP. Si vous avez des doutes, n’hésitez pas à faire le test sur ce site.
Ainsi, en passant en HTTPS vous allez optimiser votre référencement, la performance de votre site et tout cela à moindre coût ! Vous êtes définitivement gagnant en le mettant en place.
L’occasion fait le larron
Activer le HTTPS sur un site Internet est comme nous le disions une très bonne chose, néanmoins vous devez également prendre d’autres mesures afin d’assurer la sécurité de votre boutique. Nous allons donc en profiter pour rappeler quelques points essentiels.
Les CMS c’est pratique, mais il faut les mettre à jour
Les solutions comme Prestashop, Magento ou encore le tandem WordPress/WooCommerce publient très régulièrement des mises à jour incluant des améliorations, des corrections de bugs et corrections sur des failles de sécurité.
Sans pour autant sauter sur les dernières versions majeures dès leurs sorties, il est fortement recommandé d’installer toutes les versions correctives. Par exemple si vous utilisez Prestashop 1.6.1.4 publié en janvier 2016, vous devriez passer à la version 1.6.1.8 sortie en octobre 2016. Entre ces 2 versions, il y a eu plus d’une centaine de corrections et améliorations.
Certains CMS comme WordPress intègrent nativement des mécanismes de mise à jour, pour d’autres ils sont optionnels. Pour Prestashop il existe un module officiel très pratique.
Si vous utilisez Prestashop, l’équipe met à disposition un guide expliquant comment sécuriser sa boutique.
Des marchands nous expliquent régulièrement qu’ils ne souhaitent pas mettre à jour leur boutique de peur de perdre leur thème ou des modules qui ne sont plus supportés sur des versions supérieures. Ces arguments ne sont pas recevables !
Si vous avez mis en ligne votre boutique depuis plus de 5 ans et que vous n’avez rien changé depuis, il y a de fortes chances que votre site ne soit pas optimisé pour les téléphones et les tablettes. Depuis avril 2015 tous les sites non optimisés pour ces supports sont mal référencés par Google. Par ailleurs, l’expérience sur votre boutique est mauvaise pour un nombre très important de visiteurs. En effet, début octobre 2016 les tablettes et les smartphones représentaient 51,3% du trafic Internet mondial et en France, 29%. Un site n’ayant pas du tout évolué visuellement n’est également pas très rassurant pour les clients qui peuvent se demander si le site est toujours maintenu ou pas.
Mettre à jour votre site, en plus de le sécuriser va vous permettre d’augmenter votre conversion.
Concernant les modules qui ne sont plus mis à jour, posez-vous la question de leur utilité, que se passerait-il si vous n’aviez pas ce module ? Existe-t-il des alternatives ? Un module non maintenu en plus de poser des problèmes de compatibilité peut également vous poser des problèmes de sécurité. Il est donc préférable de ne jamais bloquer la mise à jour de votre CMS à cause d’un problème de compatibilité sur un module ou de votre thème, vous avez tout à y perdre.
Un hébergement est tout sauf immuable
Si vous êtes sur un hébergement mutualisé, vous êtes moins concerné par ce point, néanmoins nous vous recommandons de vous tenir au courant sur les versions de PHP. Les hébergeurs, proposent désormais de changer à chaud les versions PHP, il serait dommage de ne pas en profiter. Si vous êtes en PHP 5.3, nous vous recommandons de passer en PHP 5.6 plus récent et maintenu.
Si vous avez un hébergement dédié, vous devez régulièrement mettre à jour le système d’exploitation, le serveur Web (Apache, Nginx…) et les applications que vous utilisez. Si vous avez opté pour cette solution d’hébergement et que vous ne disposez pas de toutes ces compétences, il est préférable de faire appel à un professionnel.
J’ai bien compris que ce que vous racontez est important ! Mais comment je fais moi ?
Vous ne disposez pas des compétences techniques pour traiter tous les sujets abordés dans cet article, ce n’est pas grave, le plus important est que vous soyez bien entouré.
Pour regarder où vous en êtes avec la sécurité de votre boutique, vous pouvez utiliser cet outil mis à disposition par la société Qualys : SSL Server Test. Si vous avez une note inférieure à “A”, cela signifie que vous devez prendre des mesures.
Au niveau de votre boutique qui gère la technique ?
- C’est vous qui gérez tout : cet article vous donne déjà plusieurs pistes à explorer et nous vous recommandons de creuser tous les sujets qui y sont abordés,
- Vous avez un webmaster ou un développeur : faites un point avec lui concernant les mises à jour de votre CMS, de votre serveur et la mise en place du HTTPS,
- Vous passez par une agence : lors de la mise en place, vous avez probablement souscrit à un contrat de maintenance ou de support. Assurez-vous que ce dernier inclut bien la mise à jour régulière de votre boutique et que le travail est bien fait,
- Vous êtes webmaster, développeur, sysadmin, DevOps, informaticien … : on ne va pas vous apprendre votre métier ! Les boutiques que vous gérez sont à jour et quand vous avez fait le test proposé par Qualys vous avez obtenu une note de A 😉 Si ce n’est pas le cas … il va falloir vous y mettre !
Pour vous tenir au courant, vous pouvez vous inscrire à la newsletter, au compte Twitter ou Facebook du CMS que vous utilisez afin d’être notifié en cas de nouvelles versions.
La sécurité de votre boutique n'est pas un sujet à négliger. Si vous deviez rencontrer un problème de sécurité, le temps de le corriger et de remettre en ligne votre site peut prendre plusieurs jours et vous faire perdre beaucoup d’argent. Vous avez donc tout à perdre à ne pas traiter le sujet sérieusement.
Houla ! Mais il est trop long à lire votre article !
Si vous n’avez pas le temps de tout lire, voici les informations essentielles que vous devez retenir :
- À partir de janvier 2017 sur le navigateur Google Chrome, si votre boutique n’est pas en HTTPS, vos clients auront un message indiquant que votre site n’est pas sécurisé,
- Le HTTPS, c’est bien, ça ne coûte pas cher, c’est simple à mettre en place, ça vous permet de bénéficier d’un meilleur référencement et de meilleures performances sur l’affichage de vos pages,
- Il faut mettre à jour vos CMS, en profiter pour mettre à jour vos thèmes et retirer les modules qui ne sont plus maintenus,
- Assurez-vous que votre serveur soit toujours bien à jour.
Mise à jour
- 24/11/2016 : Firefox annonce qu'ils vont également remonter une alerte sur les pages contenant un formulaire et n'utilisant pas le HTTPS.