Cet article n’a pas pour but de dénigrer d’autres prestataires,
mais d’inspirer celles et ceux
qui souhaitent aller plus loin dans la sécurité et la rigueur technique.
mais d’inspirer celles et ceux
qui souhaitent aller plus loin dans la sécurité et la rigueur technique.
La sécurité numérique n’est pas un plugin, ni un bouton magique dans Plesk.
C’est une chaîne de confiance qui commence bien avant le serveur : dès le poste de travail du technicien ou du développeur.
Or, dans 80 % des cas, les failles proviennent d’un maillon faible local : un PC Windows compromis, une extension cloud “pratique”, ou un hébergement mutualisé sous-dimensionné.
Cet article s’adresse directement aux agences web, intégrateurs, et freelances qui veulent comprendre la différence entre sécurité marketing et sécurité réelle, démontrée et mesurée.
C’est une chaîne de confiance qui commence bien avant le serveur : dès le poste de travail du technicien ou du développeur.
Or, dans 80 % des cas, les failles proviennent d’un maillon faible local : un PC Windows compromis, une extension cloud “pratique”, ou un hébergement mutualisé sous-dimensionné.
Cet article s’adresse directement aux agences web, intégrateurs, et freelances qui veulent comprendre la différence entre sécurité marketing et sécurité réelle, démontrée et mesurée.
Le poste de travail : première faille de la chaîne
La majorité des développeurs travaillent encore sur Windows 11, souvent non durci, connecté en permanence à OneDrive, Copilot, Edge Sync et SmartScreen Cloud.
Un PC Windows neuf communique, dès sa première heure d’utilisation, avec :
Un PC Windows neuf communique, dès sa première heure d’utilisation, avec :
Je partage ici ma propre méthode,
non pour critiquer,
mais pour inspirer celles et ceux qui veulent renforcer la sécurité de leurs infrastructures.
Chacun avance à son rythme.
— Sébastien Schaffhauser, Webmaster67
non pour critiquer,
mais pour inspirer celles et ceux qui veulent renforcer la sécurité de leurs infrastructures.
Chacun avance à son rythme.
— Sébastien Schaffhauser, Webmaster67
Ce que je fais différemment
Mon environnement est 100 % Linux, Ubuntu Pro 24.04 LTS1, sans aucun service cloud activé :
- Triple cryptage LUKS 3 avec trois authentifications distinctes chaque matin :
- Mot de passe LUKS de 29 caractères
- Mot de passe Ubuntu de 27 caractères
- Validation via Google Authenticator pour la session principale
- Aucune télémétrie, aucune donnée partagée
- Firewall UFW + nftables configuré pour bloquer tout trafic sortant non autorisé
- Audit quotidien des processus avec
ss,lsofetiftop - Cryptage intégral du disque (LUKS AES-XTS 512)
- Mises à jour systématiques dès la première connexion du jour :
sudo apt update && sudo apt upgrade -yRésultat : moins de 50 Mo de trafic sortant par jour, exclusivement destiné à la sécurité et aux dépôts officiels.
Les hébergeurs “grand public” : l’illusion de la sécurité low-cost
Beaucoup d’agences confient leurs sites à des hébergeurs mutualisés, pensant faire des économies.
Mais derrière les promesses marketing, la réalité technique est tout autre.
Mais derrière les promesses marketing, la réalité technique est tout autre.
| Hébergeur | Pays / Zone | Type d’infrastructure ( du moins celles que j’ai pu repairé.) | Points faibles | Risque |
|---|---|---|---|---|
| OVHcloud | France / Europe/Canada | Mutualisé / VPS | Isolation partielle, support lent, backups incertains | Élevé |
| o2switch | France | Mutualisé “semi-pro” | PHP commun, MySQL partagé, dépendance à cPanel | Moyen |
| Hostinger | Lituanie / Singapour | Cloud low-cost | Virtualisation simplifiée, logs limités, IPv6 souvent absent | Élevé |
| PlanetHoster | Canada / France | HybridCloud propriétaire | Bonne base, mais pas d’audit public ni chiffrement client-side | Modéré |
| DigitalOcean | USA / Pays-Bas / Singapour | Cloud public | Cloisonnement partiel, logs externes, cloud américain (Patriot Act) | Élevé |
| Alibaba Cloud | Chine / Hong Kong / Singapour | Cloud géant d’entreprise | Forte surveillance étatique, routage opaque, logs non audités | Critique |
| Tencent Cloud | Chine / Hong Kong | VPS et CDN low-cost | Serveurs souvent détournés pour C2 et proxy malveillants | Critique |
| HostUS | Hong Kong / Singapour / Inde | VPS ultra low-cost | Aucune conformité RGPD, IP souvent blacklistées | Critique |
| Z.com (GMO Internet Group) | Japon / Thaïlande / Philippines | Mutualisé & VPS | Gestion DNS centralisée non sécurisée, support technique absent | Critique |
| Time4VPS Asia | Lituanie / Inde (revendeurs) | VPS low-cost revendus | Services redirigés via nœuds intermédiaires | Critique |
| Contabo Asia (revendeurs non officiels) | Hong Kong / Malaisie | Faux “datacenters” contrefaits, IP partagées | Très dangereux, souvent utilisés par botnets | Critique |
| Vultr Asia (revendu) | Japon / Corée / Singapour | Instances non cloisonnées, souvent louées par spammeurs | location botnets | Élevé |
| HostFlyte / Cloudzy (anciennement RouterHosting) | Dubaï / Inde / Malaisie | Serveurs utilisés pour héberger des malwares et proxys | location botnets | Critique |
Moyenne observée :
Un serveur mutualisé héberge 600 à 900 sites en moyenne (parfois 1 500+ sur des plateformes très chargées).
Un seul plugin WordPress vulnérable peut compromettre l’ensemble du serveur via une escalade PHP-FPM.
Un serveur mutualisé héberge 600 à 900 sites en moyenne (parfois 1 500+ sur des plateformes très chargées).
Un seul plugin WordPress vulnérable peut compromettre l’ensemble du serveur via une escalade PHP-FPM.
Ce que je fais différemment
Je travaille exclusivement sur serveur dédié IONOS, hébergé en Allemagne, avec :
- Processeur AMD EPYC 4244P (12 threads)
- 32 Go DDR5 ECC, NVMe 512 Go
- Ubuntu 24.04.3 LTS + Plesk Obsidian hosting edition
- Isolation complète des vhosts (chroot + pool PHP-FPM dédié par domaine)
- Fail2Ban, Imunify360, mod_security, DNSSEC, SSL A+
- Sauvegarde complète chiffrée AES-256, stockée hors site, testée toutes les 48 h
Sauvegarde complète réalisée toutes les 48H & Incrémentales toutes les 12 h
Test restauration complète : 0h22 minutes chrono (restauration fonctionnelle validée).
Chaque test est Journalisée dans mes rapports d’intégrité système.
Test restauration complète : 0h22 minutes chrono (restauration fonctionnelle validée).
Chaque test est Journalisée dans mes rapports d’intégrité système.
Les services pré-installés : les fuites invisibles de l’ère cloud
Sur un PC Windows, avant même d’ouvrir le navigateur :
Intel Management Engine, Nvidia Telemetry, Adobe Services, Edge Sync, Cortana, Bing Search, et Defender Cloud communiquent en continu ;
Plus de 500 requêtes sortantes par heure, majoritairement vers des serveurs américains.
Moyenne mesurée sur 24 h :
Système : 1,4 Go 11 200 connexions USA, Irlande, Singapour IP non fiable Serveur AZURE etc..
Intel Management Engine, Nvidia Telemetry, Adobe Services, Edge Sync, Cortana, Bing Search, et Defender Cloud communiquent en continu ;
Plus de 500 requêtes sortantes par heure, majoritairement vers des serveurs américains.
Moyenne mesurée sur 24 h :
Système : 1,4 Go 11 200 connexions USA, Irlande, Singapour IP non fiable Serveur AZURE etc..
Ce que je fais différemment
- Aucun binaire propriétaire préinstallé
- Aucun service cloud externe
- Surveillance continue via
auditd,sysmon,tcpdumpautomatisé - Scripts personnalisés signalant toute connexion sortante non prévue (
fail2ban-custom)
Méthodologie de sécurité Webmaster67 multi niveaux d’isolation
- Niveau 1 : Sécurisation locale
- Ubuntu Pro durci (CIS Benchmark partiel)
- Cryptage total du disque (LUKS AES-512)
- BIOS/UEFI verrouillé + Secure Boot actif
- Accès root désactivé, connexions SSH via clés RSA 4096 bits
- Niveau 2 : Sécurisation réseau
- Tunnel VPN (WireGuard sur trois serveurs dont je suis sure qu’il sont bien privé,) pour toute administration
- UFW + nftables, règles sortantes restreintes
- DNS over TLS + résolveur local unbound
- HTTPS/3, HSTS, OCSP stapling
- Ports non essentiels fermés, SSH restreint, Box internet Sans ping!
- Niveau 3 : Sécurisation serveur
- Plesk Obsidian avec isolation complète PHP-FPM
- Imunify360 licence360 (bruteforce, injections, malwares)
- Audit automatique des logs (
logwatch,fail2banstrict) - Sauvegardes chiffrées (
gpg,duplicity) - Monitoring permanent par service externe. (CPU, RAM, I/O, MySQL, Fail2Ban hits)
Résultat : aucune compromission majeure en 14 ans.
Les attaques brutes sont bloquées en moins de 4 secondes par la chaîne Fail2Ban + Imunify360.
Les attaques brutes sont bloquées en moins de 4 secondes par la chaîne Fail2Ban + Imunify360.
Ce que les agences ignorent souvent
Lorsqu’un développeur travaille sous Windows 11 avec Chrome et OneDrive :
Chaque fichier dans “Documents” est indexé et transféré à la télémétrie Microsoft.
Les ZIP de projets clients sont scannés par Defender Cloud.
Copilot peut lire l’historique du presse-papier et des fenêtres actives.
Ainsi, un site “sécurisé” développé sur un poste non maîtrisé n’est plus confidentiel avant même sa mise en ligne.
Ce que je fais
Aucun Cloud tiers
Données clients stockées localement RJ 45 NAS 4 disque RAID 12 et chiffrées AES-256
Supports de sauvegarde hors ligne et déconnectés d’Internet uniquement en réseau local
Accès serveur NAS protégé par YubiKey + 2FA matériel.
Chaque fichier dans “Documents” est indexé et transféré à la télémétrie Microsoft.
Les ZIP de projets clients sont scannés par Defender Cloud.
Copilot peut lire l’historique du presse-papier et des fenêtres actives.
Ainsi, un site “sécurisé” développé sur un poste non maîtrisé n’est plus confidentiel avant même sa mise en ligne.
Ce que je fais
Aucun Cloud tiers
Données clients stockées localement RJ 45 NAS 4 disque RAID 12 et chiffrées AES-256
Supports de sauvegarde hors ligne et déconnectés d’Internet uniquement en réseau local
Accès serveur NAS protégé par YubiKey + 2FA matériel.
Résumé : la vraie sécurité se prouve, elle ne se déclare pas
Les agences web adorent afficher des labels “sécurisé SSL” ou “hébergement green ISO 9001”.
Webmaster67
Mais la majorité ignore où transitent réellement leurs données, et sur quels réseaux travaillent leurs techniciens.
Chez Webmaster67, chaque couche de sécurité est vérifiable, testée et mesurée :
- Audits de performance et de charge réseau
- Journalisation complète des sauvegardes
- Test de restauration planifié et chronométré
- Aucune dépendance à un cloud étranger
Un site web n’est pas sécurisé parce qu’il “fonctionne”, mais parce qu’il résiste et survit.
Webmaster67
Conscience et morale:
je reconnais avoir pendant de nombreuses années :
effectué des recherches et eu des discutions avec des personnes peu recommandable. Un peu partout sur le réseau TOR.
j’ai passé un temps fou à me lié d’amitié avec des experts qui vivre parfois intégralement de l’autre coté de la barrière.
je reconnais avoir pendant de nombreuses années :
effectué des recherches et eu des discutions avec des personnes peu recommandable. Un peu partout sur le réseau TOR.
j’ai passé un temps fou à me lié d’amitié avec des experts qui vivre parfois intégralement de l’autre coté de la barrière.
si internet devient une somme de bruit,
Webmaster67
les réseaux alternatifs et anonymes
cela fait des années qu’ils y on tous perdu leur âme
Conclusion
La cybersécurité n’est pas un service additionnel : c’est une culture.
Elle commence au poste de travail, se prolonge jusqu’au serveur, et s’entretient chaque jour avec rigueur et méthode.
Elle commence au poste de travail, se prolonge jusqu’au serveur, et s’entretient chaque jour avec rigueur et méthode.
Mieux vaut un site sur un serveur dédié bien administré, qu’un mutualisé clinquant hébergeant vos données à côté d’un malware.
Webmaster67
Cet article critique-t-il les autres prestataires ou hébergeurs ?
Non. Cet article n’a pas été écrit pour dénigrer qui que ce soit.
Il met simplement en lumière des faits techniques que beaucoup ignorent, avec l’objectif d’aider les agences à améliorer leur propre sécurité.
C’est une approche pédagogique et transparente, issue de 14 années d’expérience terrain.
Pourquoi éviter certains hébergeurs low-cost ?
Les hébergeurs ultra low-cost utilisent souvent des infrastructures partagées et non cloisonnées.
Cela augmente les risques de contamination croisée (un site infecté peut en compromettre d’autres).
Certains services asiatiques ou cloud non audités sont régulièrement cités dans les bases de données AbuseIPDB ou Spamhaus pour héberger du phishing ou des malwares.
Mieux vaut investir dans un serveur dédié fiable (IONOS, Hetzner, etc.) que subir un hébergement instable.
Pourquoi travailler sous Ubuntu Pro plutôt que Windows ?
Ubuntu Pro offre une base LTS (Long Term Support) avec correctifs de sécurité ESM étendus,
un système transparent (open-source, auditable) et aucune télémétrie intrusive.
Windows 11, à l’inverse, envoie quotidiennement des données de diagnostic, d’usage et parfois des métadonnées de fichiers.
Sous Ubuntu Pro, tout est sous contrôle de l’administrateur.
Que signifie “triple chiffrement LUKS 3” ?
C’est une méthode de protection avancée combinant trois niveaux d’authentification :
1- Mot de passe LUKS (chiffrement du disque complet),
2- Mot de passe Ubuntu (compte utilisateur),
3- Validation à double facteur via Google Authenticator.
Chaque matin, ces trois clés sont nécessaires pour démarrer la machine, garantissant qu’aucune donnée client n’est accessible sans authentification multiple.
Pourquoi tester la sauvegarde et la restauration ?
Une sauvegarde n’a aucune valeur si sa restauration n’a jamais été testée.
Chez Webmaster67, chaque sauvegarde complète est testée manuellement ( une à deux fois par an):
Restauration intégrale : 22 minutes
Ce contrôle garantit une reprise rapide et fiable, même en cas d’incident majeur.
Qu’est-ce que la “méthode de sécurité en trois niveaux” ?
Elle regroupe trois couches complémentaires :
Niveau 1 — Local : poste sécurisé, disque chiffré, aucune télémétrie.
Niveau 2 — Réseau : VPN administratif, DNSSEC, HTTPS forcé, pare-feu sortant strict.
Niveau 3 — Serveur : Plesk Obsidian, isolation PHP-FPM, Imunify360, Fail2Ban, sauvegardes chiffrées et délocalisées.
Quelle est la différence entre sécurité “marketing” et sécurité réelle ?
La sécurité marketing, c’est afficher des labels ou logos (“SSL sécurisé”, “Hébergement vert”).
La sécurité réelle, c’est des audits, des journaux, des tests, des restaurations et des procédures écrites.
La différence tient en un mot : preuve.
Comment une agence peut-elle s’inspirer de cette approche ?
Commencer par durcir les postes locaux (pare-feu, chiffrement, 2FA),
puis isoler chaque client sur un environnement séparé,
et enfin, documenter et tester régulièrement les sauvegardes.
L’objectif n’est pas d’imiter, mais de monter en exigence technique progressivement.
- Ubuntu LTS a gagné en popularité grâce à son engagement de maintenance de sécurité pendant 5 ans pour le système d’exploitation (et plus précisément pour tous les paquets du dépôt principal). Ce service est assuré par Canonical sans abonnement. ↩︎
- Le RAID 1 est une duplication des données sur tous les disques durs de la matrice RAID.
↩︎
