Blog GlobalSign

14 déc. 2017

Chrome 62 arrive : sécurisez vite votre site pour stimuler votre SEO et votre capital-confiance

Paul Granger est un contributeur de GlobalSign. Il nous expose aujourd’hui son point de vue sur l’impact pour les responsables de sites d’entreprises du changement de traitement des pages HTTP dans Chrome 62 et du score de qualité Google. Paul nous livre en prime ses conseils pour prévenir les retombées négatives.

Chrome est le navigateur Web le plus populaire du moment. La sortie de la prochaine nouvelle mise à jour est sur le point de changer la donne pour de nombreux responsables d’entreprises.

Votre site Web pourrait bien voir ses taux de conversion et de fidélisation plonger. Pour éviter cela, une seule méthode : renforcer le capital-confiance de votre site Web et sa sécurité.

Qu’est-ce qui change avec Google ?

En mettant l’accent sur la sécurité — et en la rendant visible — Google améliore l’efficacité de Chrome pour les internautes et leur permet de distinguer les sites totalement sécurisés sur lesquels ils peuvent surfer et saisir leurs coordonnées sans danger.

Chrome 62 a été publié le 17 octobre dernier dans une version jugée stable pour les ordinateurs de bureau ; il devrait être déployé au cours des prochaines semaines. À compter de cette version, toute page HTTP qui collecte des données (identifiants de connexion, données financières ou bancaires, requêtes de recherches, formulaires d’inscription…) sera marquée comme n’étant « pas sécurisée ».

chrome treatment of http pages

(source : Blog Chromium)

De tels changements présentent des avantages certains. Les navigateurs offriront une expérience plus sûre aux internautes qui pourront surfer à l’écart des sites non sécurisés. Du côté des sites, ceux qui auront misé sur la sécurité verront grimper leur cote de popularité et leur taux de clics. On est donc bien loin de la simple mise à jour de navigateur. Le fonctionnement du moteur de recherche Google intégrera également la « sécurité » de manière plus poussée.

Pour ce qui est du référencement naturel (SEO, Search Engine Optimization) et de la publicité au paiement par clic (PPC, Pay-Per-Click) comme AdWords, certains spécialistes du marketing en ligne soutiennent que les sites qui répondent aux exigences de sécurité de Google verront leur niveau de qualité (Quality Score) progresser. Si ce n’est pas le cas, votre niveau de qualité diminuera. D’un côté, votre référencement risque d’en pâtir – vos pages Web étant alors repoussées plus bas dans les résultats de recherches. De l’autre, vos concurrents qui affichent des niveaux de qualité supérieurs décrocheront de meilleures enchères AdWords que vous.

Quel impact sur le capital-confiance de votre activité en ligne ?

Les changements apportés par Google pour identifier les sites Web sécurisés ont déjà profondément transformé le comportement des utilisateurs. Depuis que Google a commencé à signaler les sites HTTP qui collectaient des informations confidentielles (mots de passe, carte de paiement depuis Chrome 56), le trafic à partir des ordinateurs de bureau vers ces pages non sécurisées a chuté de 23 %.

Ce chiffre devrait encore progresser avec les changements introduits dans Chrome 62. Davantage de pages sont en effet susceptibles d’être mises à l’index – et notamment les pages comportant un champ de formulaire, quel qu’il soit. À moins d’entreprendre de sécuriser leurs sites maintenant, les entreprises ont du souci à se faire.

Lorsqu’un client tombe sur une entreprise dont le site est signalé comme n’étant « pas sécurisé », ce défaut de fiabilité contamine toute l’image de l’entreprise. Ainsi, même si ce marquage ne s’applique dans les faits qu’aux pages Web comportant des champs de saisie, certains utilisateurs ont tôt fait d’extrapoler et de penser que l’ensemble du site Web, voire toute l’entreprise, n’est pas digne de confiance.

Ils chercheront tout d’abord à s’assurer que cette entreprise n’est pas une cyberarnaque de plus. Mais certaines entreprises légitimes en feront les frais. À vous de veiller à ce que la vôtre ne soit pas mise dans le même sac.

Vous pensez peut-être ne pas être concerné, car votre site ne collecte aucune information... Sachez cependant que :

  1. le traitement des pages Web dans les navigateurs n’est pas la seule bonne raison pour sécuriser votre site ;
  2. Google prévoit à terme de marquer visuellement tous les sites HTTP d’un triangle d’avertissement rouge, avec la mention « Non sécurisé ». Il serait illusoire de penser que votre site y échappera.

eventual treatment of all HTTP pages in chrome

(Source : Google Security Blog)

Comment vos clients peuvent-ils savoir que votre site est sûr ?

L’adresse d’une page sécurisée commence par le préfixe « HTTPS », tandis qu’un site non sécurisé aura une adresse en « HTTP ». Chrome affiche également un cadenas suivi de la mention « Sécurisé » dans la barre d’adresse.

website promoter EV certificate

Exemple d’un site Web sécurisé dans Chrome.

Ces symboles visibles sont conçus pour que les internautes sachent instantanément s’ils peuvent, ou pas, remplir sans crainte les formulaires du site Web. Remarque : suivant le type de certificat de sécurité utilisé par le site, l’URL peut également afficher le nom de la société.

Comment sécuriser votre site

Toute entreprise devrait avoir un site sécurisé, notamment les sites qui demandent à leurs visiteurs de communiquer certaines informations – adresse e-mail, nom d’utilisateur et mots de passe, voire, plus important, des informations financières. Même si votre site ne comprend qu’une simple barre de recherche visant à faciliter la navigation, si le site n’est pas sécurisé, il sera signalé comme tel, conformément aux nouvelles exigences de Chrome.

Dans ce cas, la sécurisation de votre site consiste à migrer en HTTPS. Il vous faut donc un certificat SSL et un serveur correctement configuré. Le protocole SSL (Secure Socket Layer) permet d’établir un canal sécurisé entre le serveur Web et le navigateur, et de chiffrer les données qu’ils s’échangent.

De quel type de certificat SSL avez-vous besoin ? Si vous n’êtes pas sûr, consultez notre guide.

Certificats SSL : trois niveaux de vérification d’identité très utiles

Il existe trois grands types de certificats SSL. S’ils chiffrent tous la connexion, ils diffèrent par la quantité d’informations d’identité vérifiées et intégrées au certificat. Les plus simples sont les certificats à validation de domaine (Domain Validated, DV) qui ne vérifient que les éléments relatifs à la propriété du domaine. Les certificats à validation étendue (Extended Validation, EV) et à validation d’organisation (Organization Validated, OV) authentifient l’entreprise qui exploite le site, démontrant non seulement que le site est sécurisé, mais aussi qu’il appartient à son propriétaire déclaré.

Les certificats EV affichent directement dans l’URL le nom de la société après vérification, tandis qu’avec les certificats OV, c’est le visiteur qui doit afficher les détails du certificat.

example of EV certificate in chrome

Exemple de site Web avec certificat EV dans Chrome

Face à l’augmentation du nombre de sites d’hameçonnage ou factices qui se dotent de certificats DV gratuits pour se donner une apparence de fiabilité, les entreprises doivent impérativement établir l’identité de leur marque sur Internet. Le SSL et plus particulièrement les certificats SSL EV qui mettent en avant la marque sont le seul moyen d’y parvenir.

Cibles de tentatives d’hameçonnage visant à rediriger leurs clients vers des sites frauduleux, les sites très en vue ne peuvent faire l’impasse du SSL.

Chrome 62 arrive : agissez vite pour ne perdre aucun visiteur !

Les changements apportés à Chrome 62 impacteront certaines entreprises qui perdront alors des clients potentiels. Ces pertes s’intensifieront avec le déploiement du navigateur. Pour éviter de faire partie du lot, suivez nos conseils ! Faites vite et demandez votre certificat SSL dès aujourd’hui !

Note de GlobalSign : nous avions déjà précisé qu’un site Web chiffré n’est pas un gage de sécurité absolu. Avec la montée en puissance des services SSL gratuits, de nombreux sites d’hameçonnage ont commencé à déployer des certificats DV à faible assurance pour « fiabiliser » leurs sites et obtenir le label « sécurisé » dans Chrome. Nous mettons tout en œuvre pour former les utilisateurs au repérage des sites d’hameçonnage et les entreprises sur l’importance du facteur « identité » dans leur présence en ligne.

À propos de l’auteur

Paul Granger est un rédacteur de contenu chez Website Promoter, site conseille les petites entreprises et propriétaires de sites Web sur l’utilisation du référencement naturel et de la publicité au paiement au clic pour développer leur présence en ligne.

Note : ce billet de blog a été écrit par un rédacteur externe afin de varier les contenus proposés à nos lecteurs. Les opinions exprimées par l’auteur de cet article sont exclusivement les siennes et ne reflètent pas nécessairement les opinions de GlobalSign.

Partager ce blog