Pourquoi et comment passer au HTTPS ? Explications

Par Xavier Deloffre

Il y a encore quelques années, passer un site en HTTPS était considéré comme optionnel. Aujourd’hui, ce n’est plus un choix : c’est une norme. Google a progressivement imposé ce protocole via plusieurs signaux forts. D’abord avec l’intégration d’un filtre HTTPS dans son algorithme, puis en affichant les sites non sécurisés comme « non sûrs » dans son navigateur Chrome. Des acteurs majeurs du Web, comme OVH en partenariat avec Let’s Encrypt, ont rendu le certificat SSL gratuit et facilement activable, accélérant la généralisation du HTTPS. Aujourd’hui, si votre site ne l’a pas encore adopté, il peut en pâtir à la fois en visibilité, en image et même en conversions.

Trafic VS Positionnement SEO : En tirer des leçons concrètes dans ce cas sur le SSL

À première vue, opposer trafic et positionnement SEO pourrait paraître contre-intuitif. Après tout, l’un semble être la conséquence directe de l’autre : un bon positionnement entraîne mécaniquement une augmentation du trafic. Pourtant, dans la pratique — notamment lors d’une migration vers le protocole HTTPS —, ces deux métriques ne progressent pas toujours en parfaite synchronisation. Historiquement, c’est en août 2014 que Google annonce officiellement, via son blog pour webmasters, que le HTTPS devient un facteur de positionnement. À l’époque, le moteur précise que l’impact est faible — à peine 1% des requêtes sont concernées. Mais le message est clair : « sécurisez vos sites, nous vous le rendrons bien ». C’est le début d’un virage stratégique.

Ce signal se renforce dans les années suivantes. En 2016, Google commence à signaler dans Chrome les sites non HTTPS comme « non sécurisés » dans certaines conditions. En juillet 2018, ce message devient plus explicite, s’affichant en rouge dans la barre d’adresse du navigateur. Autant dire que cela n’est pas sans effet sur le comportement des utilisateurs : peur de la fraude, perte de confiance, baisse des conversions. À ce moment-là, passer au HTTPS ne relève plus seulement du SEO, mais aussi de l’image de marque. Pourtant, beaucoup de webmasters qui ont fait ce basculement ont connu un phénomène inattendu : une baisse de trafic. Cela peut sembler paradoxal, puisque le positionnement devait en principe s’améliorer. Mais dans les faits, cette baisse s’explique souvent par des erreurs de configuration : redirections mal faites, erreurs de contenu mixte, doublons entre version HTTP et HTTPS, sitemap non mis à jour, ou encore absence de nouvelle déclaration dans la Search Console.

En clair : le passage au HTTPS peut provoquer une perte temporaire de trafic si la migration est mal menée. Mais cette baisse est généralement conjoncturelle et réversible. Une fois les bons ajustements en place (redirections 301, canonical bien définies, correction des liens internes, mise à jour des outils Google…), le site récupère ses positions, et souvent les dépasse. C’est d’autant plus vrai lorsqu’on combine le passage au HTTPS avec une autre optimisation structurelle : l’intégration du format AMP (Accelerated Mobile Pages), officiellement mis en avant par Google à partir de 2016 dans le cadre de la démocratisation du mobile-first. L’objectif est double : accélérer l’affichage des pages sur mobile et alléger le poids des contenus. Et comme le format AMP impose le HTTPS, les deux évolutions vont souvent de pair.

Nous avons mené plusieurs tests sur nos propres sites. Sur l’un d’eux, après avoir intégré à la fois le protocole HTTPS et l’AMP, et sans ajouter de nouveau contenu ni toucher à la stratégie de netlinking, le trafic a bondi de plus de 1 000 visites mensuelles en à peine 3 mois. Une progression nette, attribuée uniquement à la reconfiguration technique du site, sans action éditoriale ou marketing supplémentaire.

Étude de cas : passage au HTTPS + AMP sur un site WordPress

Pour illustrer concrètement l’impact du passage au HTTPS combiné à l’activation de l’AMP sur un site WordPress, nous avons mené un test en conditions réelles sur l’un de nos propres sites. L’objectif était de mesurer les conséquences d’une migration HTTPS correctement exécutée, couplée à l’intégration du format AMP, sans intervention éditoriale ou netlinking supplémentaire. Autrement dit, seul l’environnement technique a été modifié.

Ci-dessous, voici le graphique de l’évolution du trafic organique sur une période de trois mois suivant la double bascule :


Évolution SEO sur 3 mois

Contexte de l’étude

  • CMS utilisé : WordPress ;
  • Date de migration : début du 1er trimestre 2017 ;
  • Modifications techniques : passage du site en HTTPS via certificat Let’s Encrypt (OVH) + installation d’un plugin AMP (version standard) ;
  • Pas de changement sur le contenu, ni d’ajout de backlinks.

Résultat observé

Le site affichait une moyenne stable de trafic organique avant migration. Dès le mois suivant, une hausse progressive mais constante s’est amorcée. En l’espace de trois mois, le site a gagné environ 1 000 visiteurs mensuels supplémentaires, uniquement grâce à la mise en conformité HTTPS/AMP. Aucun nouveau contenu n’a été publié. Aucun travail de netlinking ou de publication sur réseaux sociaux n’a été entrepris. La hausse est donc directement attribuable à l’amélioration perçue par Google au niveau :

  • De la sécurité (HTTPS) ;
  • De la rapidité d’affichage mobile (AMP) ;
  • Et d’un signal global de fiabilité envoyé par le site.

Enseignement tiré

Cette étude de cas confirme que l’optimisation technique seule peut suffire à relancer une dynamique SEO, à condition qu’elle soit bien exécutée. Une migration HTTPS bien configurée, combinée à une version AMP propre, permet de renforcer les signaux positifs aux yeux de Google — sans nécessité immédiate de produire du nouveau contenu. Attention toutefois : une mauvaise configuration peut entraîner l’effet inverse (perte de trafic, désindexation, duplicate content). L’accompagnement ou l’expérience technique est donc un prérequis fort si vous souhaitez obtenir un tel résultat.

Mieux vaut une optimisation bien pensée et discrète, qu’une refonte mal exécutée. Le SEO technique reste l’un des meilleurs leviers à retour immédiat… quand on sait où placer les curseurs.

Les étapes du passage au HTTPS

Migrer un site vers le protocole sécurisé HTTPS n’est pas seulement une formalité technique : c’est une opération stratégique qui touche à la sécurité, à la visibilité SEO, à la confiance des utilisateurs, et à la conformité des données échangées. Voici un tableau détaillé des étapes clés à suivre, avec explication complète pour chaque point.

Étapes Détails, précautions et conseils SEO
1. Choisir un certificat SSL Le certificat SSL est ce qui permet d’établir une connexion chiffrée entre le navigateur et votre site. Il peut être :

  • Gratuit : via Let’s Encrypt, proposé automatiquement chez OVH, Infomaniak ou O2Switch.
  • Payant : si vous souhaitez un certificat à validation étendue (EV) avec nom de société visible dans la barre d’URL.

⚠️ Si vous accédez à votre site en HTTPS et que vous voyez une alerte « connexion non sécurisée », cela signifie que le certificat n’est pas correctement appliqué ou que votre site contient encore des éléments en HTTP (voir étape 4).
2. Activer le HTTPS sur le serveur
  • Chez OVH : rendez-vous dans le manager client, rubrique « Hébergement » → « Multisite », et activez l’option SSL.
  • Sur serveur dédié ou VPS : vous devrez installer manuellement le certificat via le panel (Plesk, cPanel…) ou SSH.

Une fois le certificat actif, vérifiez que le HTTPS fonctionne bien sur toutes les sous-domaines nécessaires (ex. : www, blog…).
3. Rediriger le HTTP vers le HTTPS Ajoutez cette règle de redirection permanente dans votre fichier .htaccess (à la racine du site) :

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.mondomaine.fr/$1 [R=301,L]

✅ Cela indique à Google que la page a changé d’URL de manière définitive, tout en préservant le PageRank.
➕ Dans WordPress, modifiez les deux URL (site + WordPress) dans « Réglages > Général » pour forcer la version HTTPS.
4. Corriger les erreurs de « mixed content » Les erreurs de contenu mixte apparaissent lorsque certaines ressources (images, scripts, styles) sont encore chargées en HTTP.
➤ Utilisez le script Search-Replace-DB pour remplacer toutes les anciennes URL :

  • Téléchargez-le, placez-le à la racine du site
  • Lancez : http://votresite.com/Search-Replace-DB-master/
  • Remplacez http:// par https://, avec et sans www

⚠️ Supprimez le script après utilisation : il donne un accès total à votre base de données.
5. Éviter le duplicate content Même après redirection, des pages HTTP peuvent encore être indexées dans Google. Pour les détecter :

  • Tapez site:votresite.com dans Google
  • Cliquez sur les URL HTTP : elles doivent toutes rediriger vers HTTPS

➤ Utilisez un plugin comme HTTP to HTTPS Forced URL pour automatiser ces redirections sur WordPress.
Objectif : ne garder qu’une seule version indexée du site, la version sécurisée.
6. Mettre à jour Search Console et Google Analytics Google traite http:// et https:// comme deux propriétés différentes :

  • Ajoutez la version HTTPS dans la Search Console
  • Soumettez un nouveau sitemap XML mis à jour
  • Modifiez l’URL dans les paramètres de Google Analytics (Administration → Paramètres de la propriété)

✅ Ces étapes sont essentielles pour suivre le bon référencement de la nouvelle version et éviter une chute du trafic mesuré.

Pour aller plus loin : Quels sont les différents types de certificats SSL ?

Lorsqu’on parle de passer un site en HTTPS, on pense souvent au certificat SSL comme un simple outil technique. Pourtant, tous les certificats ne se valent pas. Il existe plusieurs niveaux de validation, avec des différences en matière de sécurité, d’apparence visuelle dans les navigateurs, de coût, et de contexte d’utilisation.

À la base, le rôle du certificat SSL est toujours le même : chiffrer les échanges entre le navigateur de l’utilisateur et le serveur qui héberge le site. Mais au-delà de ce socle commun, ce sont surtout les niveaux de validation qui différencient les certificats. Selon le niveau de confiance que vous souhaitez inspirer à vos utilisateurs (et à Google), vous n’opterez pas pour la même solution.

Voici les principales catégories de certificats SSL, à connaître avant de faire un choix :

Type de certificat SSL Description et cas d’usage
DV (Domain Validation)
Validation de domaine		 Le certificat le plus simple à obtenir. Il valide uniquement que vous êtes bien propriétaire du nom de domaine. Pas de vérification de l’identité juridique ou administrative.

Avantages : gratuit avec Let’s Encrypt ou très peu coûteux. Rapide à mettre en place.

Inconvénients : n’affiche que le cadenas dans la barre d’adresse, sans mention du nom de société.

Idéal pour : blogs, petits sites vitrines, landing pages, WordPress en auto-hébergement.
OV (Organization Validation)
Validation de l’organisation		 Ce certificat vérifie à la fois le domaine et l’existence juridique de l’entreprise ou de l’organisation. Des vérifications sont effectuées manuellement par l’autorité de certification.

Avantages : plus rassurant pour l’utilisateur (l’identité de la société est authentifiée dans le certificat).

Inconvénients : plus long à obtenir (1 à 2 jours), un coût modéré.

Idéal pour : PME, sites d’entreprise, boutiques e-commerce, sites institutionnels.
EV (Extended Validation)
Validation étendue		 Le niveau le plus élevé. L’identité complète de l’entreprise est vérifiée (registre de commerce, téléphone, existence légale). Sur certains navigateurs, le nom de l’entreprise s’affiche à gauche de l’URL.

Avantages : haut niveau de confiance pour l’utilisateur, très crédible pour les sites à forts enjeux.

Inconvénients : coûteux (souvent entre 150€ et 400€/an), mise en place plus longue.

Idéal pour : banques, assurances, plateformes SaaS, sites e-commerce importants, sites gouvernementaux.
Wildcard SSL
Certificat générique		 Ce type de certificat couvre un domaine et tous ses sous-domaines. Par exemple, il sécurise à la fois www.monsite.fr, blog.monsite.fr et support.monsite.fr.

Avantages : pratique et économique si vous utilisez plusieurs sous-domaines.

Inconvénients : plus coûteux qu’un DV classique, mais très rentable si plusieurs sous-domaines sont utilisés.

Idéal pour : entreprises, éditeurs multisites, CMS en sous-domaines.
Multi-domain SSL (SAN/UCC)
Certificat multi-domaines		 Permet de sécuriser plusieurs noms de domaine distincts avec un seul certificat (ex : monsite.fr, monautresite.com, monsaas.eu).

Avantages : gestion simplifiée, utile pour les entreprises ayant plusieurs marques ou projets.

Inconvénients : nécessite une bonne organisation de renouvellement et configuration.

Idéal pour : agences, entreprises multisites, groupes internationaux.

Le bon choix du certificat SSL selon profil

En résumé, tout dépend de vos objectifs et de votre niveau d’exigence en matière de sécurité. Pour la majorité des projets web classiques (site WordPress, blog, site vitrine), un certificat DV gratuit comme Let’s Encrypt suffira. Mais si vous gérez un site marchand, une plateforme à fort trafic ou une entreprise connue, le passage à un certificat OV voire EV peut réellement rassurer vos visiteurs et envoyer des signaux positifs de légitimité aux moteurs de recherche.

Conseil SEO : Google ne fait pas officiellement de différence entre les types de certificats SSL en termes de classement, mais l’expérience utilisateur (UX), la confiance visuelle, et l’absence de message d’alerte dans les navigateurs influencent directement le taux de clic (CTR) dans les SERP. Et vous, vous êtes passé au HTTPS ?

Xavier Deloffre

Xavier Deloffre

Fondateur de Facem Web, agence implantée à Arras et à Lille (Hauts-de-France), je suis spécialiste du Web Marketing, formateur expérimenté, et blogueur reconnu dans le domaine du Growth Hacking. Passionné par le référencement naturel (SEO) que j'ai découvert en 2009, j'imagine et développe des outils web innovants afin d'optimiser la visibilité de mes clients dans les SERPs. Mon objectif principal : renforcer leur notoriété en ligne par des stratégies digitales efficaces et créatives.

5 Commentaires

  1. Agence de communication Publicite Agadir Maroc
    Agence de communication Publicite Agadir Maroc sur 16 décembre 2016 à 19 h 24 min

    suuuper article merci bcp pour les informations Xavier

  2. CaraSea
    CaraSea sur 13 janvier 2017 à 0 h 11 min

    Merci de l’article Xavier !

    Je me permets de completer une chose : dans Google Analytics, il faut changer le paramètre en HTTPS aussi

    Sinon parfait, maintenant CaraSea est en https :p

  3. Xavier Deloffre
    Xavier Deloffre sur 13 janvier 2017 à 11 h 09 min

    Tu as raison de le préciser Anthony, merci pour ces précisons. Tu vas voir, HTTPS + AMP c’est une bonne combo. A bientôt !

  4. jonas
    jonas sur 3 octobre 2017 à 10 h 01 min

    Bonjour,

    Merci pour l’article.
    j’ai une question stp, je compte migrer mon site en https, le problème c’est que j’ai 2 site exemple.com qui redirige vers exemple.fr (Redirection 301), sachant que exemple.com contient la plus part de mes backlink.
    Est que je doit modifier la redirection déjà existant dans le .htacess de site exemple.com. a la place de rediriger vers http je vais le modifier vers le https:www.exemple.fr

    Aussi est ce que je doit modifier le .htacess de site exemple.fr pour rediriger l’ensemble de requête vers le https

    Merci d’avance

  5. Xavier Deloffre
    Xavier Deloffre sur 3 octobre 2017 à 11 h 00 min

    Bonjour @JONAS . Je ne suis pas sûr de tout comprendre mais dans tous les cas rencontrés, il faut simplement faire la redirection du http vers le https au niveau du site qui passe en https. (Donc pour moi, un seul htaccess à modifier, celui du site qui passe au https). Et ce, indifféremment des backlinks. Pensez à utiliser le plugin Force https que nous avons créé pour assurer la redirection sur l’ensemble du site.

Besoin de visibilité ?

☑️ Experts du référencement

☑️ + de 12 ans d’éxpérience

☑️ + 500 clients satisfaits

☑️ Création de sites

☑️ Audit SEO

☑️ Conseil SEO

☑️ Référencement de sites

☑️ Devis gratuit

Devenez visible !