Demandez a n'importe quel chef d'entreprise si son site web est securise, et la reponse la plus courante est : "Oui, nous avons un certificat SSL. Il y a un cadenas dans le navigateur." Cette reponse revele un malentendu repandu sur ce que SSL/TLS fait reellement et, plus important, ce qu'il ne fait pas.
Un certificat SSL est une piece d'un puzzle de securite. Mais si votre seule mesure de securite est le certificat SSL, votre site n'est pas securise. C'est comme verrouiller la porte d'entree de votre maison en laissant toutes les fenetres ouvertes.
Ce Que SSL/TLS Protege Reellement
SSL et son successeur TLS fournissent une chose : le chiffrement des donnees en transit entre le navigateur du visiteur et votre serveur web. C'est ce que signifie l'icone du cadenas.
Specifiquement, SSL/TLS Protege Contre :
- L'ecoute clandestine : Quelqu'un sur le meme reseau ne peut pas lire les donnees echangees.
- Les attaques man-in-the-middle : Un attaquant ne peut pas s'inserer entre le navigateur et le serveur.
- L'alteration des donnees en transit : La connexion chiffree inclut des controles d'integrite.
Ce Que SSL/TLS Ne Protege Pas
Votre Application Web
Si votre site a une injection SQL dans un formulaire, SSL n'aide pas. L'entree malveillante est chiffree en transit comme une entree legitime.
Votre Configuration Serveur
Ports ouverts, identifiants par defaut, panneaux admin exposes. SSL n'aide pas.
Votre CMS et Ses Plugins
WordPress obsolete avec des plugins vulnerables. L'attaquant exploite la vulnerabilite via HTTPS.
Les Donnees au Repos
SSL protege les donnees en transit. Pas les donnees stockees dans votre base de donnees.
Le Phishing
Les attaquants obtiennent des certificats SSL pour les sites de phishing. Le cadenas ne signifie pas que le site est digne de confiance.
Contenu Mixte
Le contenu mixte se produit quand une page HTTPS charge des ressources via HTTP. Utilisez les outils developpeur du navigateur pour trouver les avertissements de contenu mixte.
HSTS : Rendre HTTPS Obligatoire
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Le preloading HSTS elimine la faiblesse de la premiere visite en ajoutant votre domaine a une liste integree dans les navigateurs.
Pour un guide d'implementation, voir notre article sur les en-tetes de securite HTTP.
Erreurs de Configuration SSL/TLS Courantes
- Certificats expires : Avertissement pleine page qui fait fuir les visiteurs.
- Chaine de certificats incomplete : Certificats intermediaires manquants.
- TLS 1.0 et 1.1 encore actifs : Vulnerables aux attaques de retrograde. Seuls TLS 1.2 et 1.3 doivent etre actifs.
- Suites de chiffrement faibles : RC4, DES, 3DES doivent etre desactivees.
Comment Tester
- SSL Labs (
ssllabs.com/ssltest/) : Note de A+ a F. - Security Headers (
securityheaders.com) : Verifie HSTS et autres en-tetes.
La Pile de Securite Complete
| Couche | Protection | Technologies |
|---|---|---|
| Chiffrement transport | Donnees en transit | SSL/TLS, HSTS |
| Protection reseau | Serveur | Firewall, anti-DDoS |
| Firewall applicatif | Application web | WAF, limitation de debit |
| En-tetes securite | Comportement navigateur | CSP, X-Frame-Options, etc. |
| Validation entrees | Injection | Validation serveur, requetes parametrisees |
| Controle d'acces | Zones admin | MFA, restriction IP |
| Mises a jour | Vulnerabilites connues | Patching regulier |
| Sauvegarde | Perte de donnees | Sauvegardes automatisees, testees |
| Surveillance | Detection precoce | Integrite fichiers, uptime, logs |
Un certificat SSL couvre la premiere ligne. Les huit autres lignes sont ce qui manque a la plupart des sites web d'entreprise.
Ce Que Vous Devez Faire
- Testez votre configuration SSL sur
ssllabs.com/ssltest/. - Verifiez le contenu mixte dans la console du navigateur.
- Verifiez que HSTS est active.
- Evaluez le reste de votre pile de securite.
- Obtenez une evaluation professionnelle. Contactez notre equipe a Lugano.
Le cadenas signifie que votre connexion est chiffree. Il ne signifie pas que votre site web est securise. Comprendre la difference est la premiere etape vers une securite reelle.
Vous voulez savoir si votre site est sécurisé ?
Demandez un audit de sécurité gratuit. En 48 heures vous recevez un rapport complet.
Demander un Audit Gratuit