Votre site est marqué « Non sécurisé » : pourquoi, et comment corriger

Un client tape votre adresse et son navigateur affiche « Non sécurisé » ou une page d'avertissement rouge. Beaucoup n'iront pas plus loin. Voici les causes, du plus fréquent au plus sournois — et comment corriger.

En résumé : « Non sécurisé » = la connexion entre le visiteur et votre site n'est pas chiffrée (pas de HTTPS), ou votre certificat SSL est expiré. C'est presque toujours réglable gratuitement chez votre hébergeur. Testez votre site en 15 secondes — on vérifie aussi ce que le navigateur n'affiche pas.

Ce que « Non sécurisé » veut dire

Ce message apparaît quand votre site est servi en HTTP plutôt qu'en HTTPS : tout ce que le visiteur tape (formulaire de contact, coordonnées) circule alors en clair. Google Chrome l'affiche depuis 2018, et pénalise aussi votre référencement. La version rouge plein écran (« Votre connexion n'est pas privée ») indique un certificat SSL expiré ou mal configuré.

Les 3 causes classiques

  1. Pas de HTTPS du tout — le certificat SSL n'a jamais été activé chez l'hébergeur. Aujourd'hui c'est gratuit (Let's Encrypt) et inclus chez presque tous les hébergeurs : un interrupteur à activer dans votre console d'hébergement.
  2. Certificat expiré — le certificat se renouvelle normalement tout seul… jusqu'au jour où le renouvellement automatique casse. Résultat : page rouge pour tous vos visiteurs, souvent un week-end. C'est la panne la plus fréquente — et la plus évitable avec une surveillance qui vous alerte 30, 7 et 1 jour avant l'échéance.
  3. HTTPS présent, mais pas forcé — votre site répond en HTTPS et en HTTP : les visiteurs qui arrivent par un vieux lien restent sur la version non chiffrée. Il faut une redirection automatique vers HTTPS.

Ce que le navigateur ne montre pas

Le cadenas fermé ne veut pas dire « site sécurisé » — seulement « connexion chiffrée ». Les protections qui empêchent le détournement de vos visiteurs ou l'injection de contenu (HSTS, CSP, protection anti-clickjacking…) sont invisibles dans le navigateur. Notre bilan gratuit les vérifie et vous donne une note sur 100, comme les outils des professionnels, mais expliquée en français.

Comment corriger, concrètement

  1. Faites le test gratuit — il vous dit si le problème est l'absence de HTTPS, la redirection, le certificat (et sa date d'expiration), ou les en-têtes de sécurité.
  2. Activez le certificat chez votre hébergeur — cherchez « SSL » ou « Let's Encrypt » dans votre console (ou transmettez le rapport à votre webmaster — bouton prévu pour ça dans le bilan).
  3. Forcez la redirection HTTPS — une option chez la plupart des hébergeurs, ou quelques lignes de configuration.
  4. Mettez une alerte sur l'expiration — la surveillance gratuite suit votre certificat et votre nom de domaine, et vous prévient avant que vos clients voient une page rouge.

Pour aller plus loin : notre guide complet de sécurité du site web.

Vérifiez votre configuration gratuitement

Entrez votre domaine : on teste vos SPF, DKIM, DMARC et votre site, et on vous donne le plan d'action exact.

Faire le bilan gratuit
À lire aussi : le guide SPF, DKIM, DMARC, Microsoft 365, Google Workspace, sécuriser son site web.