Sécurité des sites web

Penchez-vous plus en détail sur la manière dont les produits Cloudflare protègent vos ressources et sélectionnez les paramètres de sécurité adaptés à votre situation.

Sécurité du compte

écran DDOS

L'adoption d'un fort niveau de sécurité sur votre compte Cloudflare constitue une étape importante vers l'assurance d'une sécurisation totale de votre site web. L'authentification à deux facteurs (2FA) améliore la sécurité du compte en exigeant une deuxième information pour confirmer votre identité lors de l'ouverture d'une session.

Suivez ces instructions pour activer l'authentification à deux facteurs en vous inscrivant sur l'application d'authentification mobile de votre choix. Conservez une copie des codes de récupération dans un endroit sûr afin d'éviter de vous interdire l'accès à votre compte.

écran DDOS

Notifications

Gérez vos notifications afin de définir les événements dont vous souhaitez être avertis et la manière dont vous souhaitez l'être. Nous vous recommandons d'activer les fonctionnalités suivantes :

  • Alertes de surveillance de la passivité du serveur d'origine : vous recevez une notification lorsque votre serveur web d'origine reste injoignable par notre réseau périphérique pendant au moins 5 minutes, afin de vous permettre de résoudre rapidement le problème.
  • Alertes DDoS HTTPS : inscrivez-vous afin de recevoir un e-mail en temps réel lorsque Cloudflare détecte et atténue automatiquement une attaque DDoS visant votre propriété Internet.
  • Alertes d'événements de sécurité: recevez une alerte dans les deux heures suivant un pic d'événements liés au pare-feu sur l'ensemble des services Cloudflare qui génèrent des entrées de journaux associées.
En savoir plus

Gérez vos enregistrements DNS

Visuel principal DNS

Lorsque vous utilisez le service DNS de Cloudflare, c'est notre réseau Anycast mondial qui répond à toutes les requêtes DNS visant votre domaine. Les enregistrements DNS nous aident à communiquer des informations sur votre domaine aux visiteurs et aux autres services web.

Le DNS de Cloudflare vous permet de gérer l'ensemble des enregistrements de votre site web dans l'onglet DNS. Regardez cette présentation en vidéo du tableau de bord Cloudflare pour découvrir les options disponibles.

Visuel principal DNS

Cloud orange et cloud gris

Graphic showing a browser image with a certification ribbon in front of it.

Un symbole de nuage orange (cloud orange) signifie que le trafic vers ce nom d'hôte passe par le réseau Cloudflare. Ce mode de transit permet la mise en œuvre de diverses fonctionnalités, comme la dissimulation de l'adresse IP de votre origine, la mise en cache, le SSL et le pare-feu d'applications web (WAF). Nous vous recommandons d'activer le cloud orange pour les enregistrements A, AAAA et CNAME.

La présence d'un nuage gris (cloud gris) indique que Cloudflare annoncera ces enregistrements dans le DNS, mais que l'ensemble du trafic sera acheminé vers votre origine plutôt que de passer par le réseau Cloudflare. Ce mode de transit s'avère utile dans certains contextes, par exemple, en présence d'enregistrements autres qu'A, AAAA et CNAME, ou si vous tentez de valider un service assorti d'un enregistrement ou de trafic hors web, comme un service de courrier électronique ou un FTP. Si vous rencontrez des problèmes concernant un enregistrement sur Cloudflare, vous pouvez mettre le réseau Cloudflare en pause pour cet enregistrement en le passant en « cloud gris » dans l'onglet DNS.

Si vous éprouvez des problèmes d'e-mails non distribués après l'intégration, passez les enregistrements DNS utilisés pour recevoir les e-mails en « cloud gris » dans l'onglet DNS. La configuration par défaut n'autorise que la mise en proxy du trafic HTTP et interrompra tout trafic de messagerie.

En savoir plus
Graphic showing a browser image with a certification ribbon in front of it.

Dissimulez l'adresse IP de votre origine

Platform Week 2022 — Envoyez des e-mails depuis Workers

Cloudflare propose de nombreuses fonctionnalités permettant de détecter et de bloquer le trafic dangereux. Toutefois, si des utilisateurs malveillants parvenaient à dénicher l'adresse IP d'origine de votre serveur, c'est-à-dire l'endroit où vos ressources sont effectivement stockées, ils pourraient se retrouver en position d'acheminer du trafic ou des attaques directement vers les serveurs.

Les mesures suivantes pourraient vous aider à empêcher ces informations de fuiter:

  1. Passer en revue les enregistrements DNS de votre ou de vos zones. Si possible, conservez l'ensemble de vos sous-domaines sur Cloudflare et contrôlez les enregistrements SPF et TXT afin d'éviter la présence d'informations sur l'origine.
  2. N'hébergez pas de service de courrier électronique sur le même serveur que la ressource web que vous souhaitez protéger. En effet, les e-mails envoyés à des adresses qui n'existent pas sont renvoyés aux pirates et révèlent ainsi l'adresse IP du serveur de messagerie.
  3. Assurez-vous que votre serveur web ne se connecte pas aux adresses arbitraires fournies par les utilisateurs.
  4. Une fois intégrées, assurez le roulement de vos adresses IP d'origine, car les enregistrements DNS se situent dans le domaine public. Avant la migration vers Cloudflare, les systèmes conservent des données historiques, susceptibles de contenir des adresses IP.
Platform Week 2022 — Envoyez des e-mails depuis Workers

Activez le protocole DNSSEC

Remplacement des VPN - Trois utilisateurs avec un bouclier de sécurité

Le protocole DNSSEC crée un système de noms de domaine (DNS) sécurisé en ajoutant des signatures de chiffrement aux enregistrements DNS existants. Ces signatures numériques sont stockées dans des serveurs de noms DNS en même temps que des types d'enregistrement courants, comme les enregistrements A, AAAA, MX et CNAME.

En vérifiant sa signature associée, vous pouvez vérifier qu'un enregistrement DNS demandé provient bien de son serveur de noms de référence et qu'il n'a pas été modifié en chemin, contrairement à un faux enregistrement injecté dans le cadre d'une attaque de l'homme du milieu (on-path attack).

Nous recommandons vivement l'activation du protocole DNSSEC pour vos domaines sur Cloudflare, afin d'ajouter une couche supplémentaire d'authentification à votre DNS.

Remplacement des VPN - Trois utilisateurs avec un bouclier de sécurité

Activez le chiffrement SSL

Les certificats SSL chiffrent les données des utilisateurs et préservent la sécurité de ces derniers sur Internet. La configuration manuelle du SSL nécessite toutefois plusieurs manipulations et une erreur peut empêcher les utilisateurs d'accéder à votre site web.

Cloudflare permet d'activer le protocole HTTPS sur n'importe quelle propriété Internet d'un simple clic sur un bouton. Nous proposons des certificats périphériques et des certificats de serveur d'origine.

  • Certificats périphériques : par défaut, nous émettons et renouvelons des certificats SSL gratuits, non partagés et reconnus publiquement pour l'ensemble des domaines Cloudflare. Vous devriez recevoir automatiquement le certificat Universal SSL de votre domaine dans les 24 heures suivant son activation. Afin de garantir la confidentialité des données sur votre site, nous vous recommandons de définir l'activation sur le paramètre Complet ou Complet (strict).
  • Autorité de certification (CA, Certificate Authority) de l'origine: utilisez ce type de certificat pour chiffrer le trafic entre Cloudflare et votre serveur web d'origine. Une fois déployés, ces certificats sont compatibles avec le mode SSL strict.
Premiers pas

Bénéficiez de la protection d'un pare-feu WAF

En déployant un pare-feu d'applications web (WAF), vous pouvez décider d'autoriser ou non les types de trafic entrant et sortant via un ensemble de règles (souvent désignées sous le nom de « politiques »). Un pare-feu WAF vous protège contre diverses menaces, comme les attaques par injection SQL, le Cross-Site Scripting (injection de scripts intersites) et le Cross-Site Forgery (falsification intersites).

Notre pare-feu WAF vous assure une protection automatique et la flexibilité nécessaire pour concevoir des règles personnalisées :

  • Règles de limitation du débit : définissez des limites de débit pour les requêtes entrantes correspondant à une expression donnée et les mesures à mettre en œuvre une fois ces limites atteintes.
  • Ensembles de règles WAF gérés : activez les politiques préconfigurées afin de bénéficier d'une protection immédiate, y compris contre les vulnérabilités zero-day.
  • Vérification des identifiants exposés : surveillez et bloquez l'utilisation d'identifiants dérobés/exposés à des fins d'usurpation de compte.
  • Analyses du pare-feu : enquêtez sur les menaces et ajustez vos configurations de sécurité en fonction du journal d'activité.
Consultez les documents destinés aux développeurs

Conseils de configuration du pare-feu WAF

Configuration support spot illustration

Si vous utilisez des ensembles de règles gérés :

  • N'activez que les groupes de règles qui correspondent à votre pile technologique. Si vous utilisez WordPress, par exemple, activez le groupe Cloudflare WordPress. Vous disposez également de la possibilité de concevoir des règles personnalisées.
  • Nous vous recommandons d'activer le pare-feu WAF et d'appliquer les règles spéciales de Cloudflare pour vous protéger automatiquement contre les vecteurs d'attaque les plus récents.
Configuration support spot illustration

Découvrez les fondamentaux de la mise en cache

La mise en cache désigne le processus de stockage de copies de fichiers au sein d'un emplacement temporaire afin de pouvoir accéder rapidement à ces derniers. Les navigateurs web mettent les fichiers HTML, JavaScript et les images en cache afin de pouvoir les charger plus rapidement, les serveurs DNS mettent en cache les enregistrements DNS afin d'accélérer les recherches et les serveurs CDN placent le contenu en cache afin de réduire la latence.

Comprendre le TTL du cache en périphérie et le TTL du cache du navigateur

Illustration of a rocket ship

Ces fonctionnalités importantes vous aident à protéger votre site et à vous assurer que votre contenu reste à jour.

  • Le délai d'expiration (TTL, Time to Live) du cache en périphérie spécifie la durée pendant laquelle mettre une ressource en cache sur notre réseau périphérique. Vous pouvez configurer la durée pendant laquelle nous conservons une ressource mise en cache avant de lui redemander son origine.
  • Le TTL du cache du navigateur définit le délai d'expiration des ressources mises en cache au sein du navigateur d'un visiteur.

Ainsi, si vous mettez à jour une page de résultats électoraux à l'aide de ressources que nous mettons automatiquement en cache toutes les 20 minutes, vous pouvez définir le TTL du cache en périphérie sur 20 minutes et le TTL du cache du navigateur aux alentours d'une minute, afin que les utilisateurs puissent disposer de données récentes. Vous pouvez également purger manuellement le cache en fonction de l'URL de fichier ou du nom d'hôte chaque fois que vous mettez à jour le fichier.

Personnalisez les paramètres du cache
Illustration of a rocket ship