Plus de 50 % des entreprises ont été victimes d’une atteinte à la sécurité liée au cloud au cours de l’année dernière, et des données sensibles restent stockées dans 9 % des espaces de stockage cloud accessibles au public.
La sécurité d’un serveur cloud peut inclure les personnes, les processus et les technologies utilisés pour protéger les données et les applications des clients sur des ressources partagées (également appelées gérées) ou partagées.
Même si vous utilisez un hébergement géré ou partagé, où votre fournisseur se charge de la plupart des aspects liés à la sécurité, la sécurité de l’infrastructure reste une responsabilité partagée.
Ce guide a pour but de vous simplifier la sécurité des serveurs cloud. Vous découvrirez les risques encourus par les petites entreprises, comment s’appliquent les lois et les cadres réglementaires américains, et quelles mesures de contrôle mettre en place pour réduire votre exposition. Vous apprendrez également ce qu’il faut demander aux fournisseurs d’hébergement et comment développer des procédures de sécurité adaptées à votre flux de travail.
Comprendre la sécurité des serveurs dans le cloud
- Avec l’hébergement cloud géré ou partagé, vos sites web et vos applications sont stockés sur des serveurs que votre fournisseur possède et gère. Le « cloud » sur lequel ces serveurs fonctionnent est constitué de centres de données distribués, redondants et évolutifs.
- « Géré » signifie que votre fournisseur se charge de la maintenance des serveurs et des mises à jour du système d’exploitation, ainsi que des correctifs de sécurité et de la surveillance de l’infrastructure.
- « Partagé » fait référence à la pratique consistant à héberger plusieurs comptes clients sur un seul serveur matériel, et à les partitionner les uns des autres à l’aide de la virtualisation.
Un exemple concret
Supposons qu’un serveur partagé héberge 50 sites à un moment donné. La société d’hébergement fournit le système d’exploitation du serveur, le réseau et la protection par pare-feu. Un client configure mal son site WordPress, laissant par exemple un port de contrôle administratif ouvert avec un mot de passe par défaut, « admin ».
Si l’isolation est compromise, un pirate informatique peut accéder à ce site et potentiellement affecter d’autres comptes. L’infrastructure était correctement sécurisée par le fournisseur, mais ce sont les paramètres du client qui ont introduit la vulnérabilité.
Risques liés à la sécurité des serveurs cloud rencontrés par les PME
Les menaces les plus urgentes pour la sécurité cloud des PME. Reconnaître ces risques peut vous aider à déterminer les mesures de protection à privilégier.
Mauvaises configurations et actifs exposés publiquement
9 % des espaces de stockage cloud exposés au public contiennent des informations sensibles. Ces erreurs de configuration surviennent lorsque les développeurs ne verrouillent pas l’accès, laissent les paramètres par défaut tels quels ou ouvrent simplement des espaces de stockage sans protection par mot de passe. Dans les configurations d’hébergement mutualisé, un site mal configuré peut servir de passerelle pour des attaques latérales si votre hébergeur ne fournit pas une protection adéquate, comme c’est le cas chez UltaHost.
Faible niveau d’authentification et réutilisation des identifiants
Les pirates informatiques recherchent les mots de passe vulnérables et les informations de connexion réutilisées sur différents services. Si votre adresse e-mail et votre mot de passe sont divulgués à la suite d’une violation de données sur un autre site web, les pirates tenteront d’utiliser ces mêmes identifiants pour accéder à votre compte d’hébergement, au panneau d’administration de votre hébergement WordPress et à votre base de données. Et sans authentification multifactorielle (MFA), les mots de passe piratés pourraient leur permettre d’y accéder instantanément.
Secrets intégrés dans les charges de travail
54 % des utilisateurs d’AWS ECS ont intégré des clés API, des mots de passe de base de données ou des jetons dans le code de leur application ou leurs fichiers de configuration. Lorsque les référentiels de code sont rendus publics ou que les sauvegardes sont distribuées d’une manière ou d’une autre, ces secrets exposent l’intégralité des systèmes. Il en va de même pour l’hébergement géré : les identifiants codés en dur dans les plugins WordPress ou le code personnalisé créent une vulnérabilité durable mais cachée.
Visibilité dans les scénarios hybrides et de partage
91 % des entreprises avouent avoir une vision incomplète de leur infrastructure cloud. Dans le cas de l’hébergement mutualisé, vous ne pouvez pas voir ce que font les autres comptes sur votre serveur. Dans ce contexte, dans les environnements hybrides de solutions cloud et sur site, il est difficile de maintenir une surveillance complète du flux de données, y compris des modèles d’accès. Sans visibilité, il est pratiquement impossible de détecter les violations à un stade précoce.
Perte de données due à des sauvegardes insuffisantes
Les pannes matérielles corrompent les bases de données. Les erreurs humaines suppriment des données critiques. Cependant, si votre serveur principal n’est pas sauvegardé quotidiennement automatiquement et vers un emplacement autre que votre serveur, vous subirez alors une perte de données. Pour de nombreux propriétaires de petites entreprises, cette réserve financière sur laquelle ils peuvent compter n’arrive tout simplement jamais.
Tendances à la hausse : charges de travail liées à l’IA, mouvements latéraux, attaques d’identité
Le rapport 2025 de la Cloud Security Alliance souligne l’augmentation des menaces : les attaquants exploitent les intégrations de charges de travail IA, se déplacent latéralement entre les comptes compromis dans des environnements multi-locataires et s’attaquent aux systèmes d’identité plutôt qu’aux périmètres traditionnels.
Plus les architectures cloud deviennent importantes, plus les surfaces d’attaque qu’elles créent sont grandes.
Réglementations américaines et directives officielles relatives à la sécurité du cloud
La connaissance des législations et des structures pertinentes vous permet de définir vos protocoles de sécurité à l’aide de templates éprouvés.
Cadre de cybersécurité 2.0 du NIST
L’Institut national des normes et technologies a publié la version 2.0 du cadre de cybersécurité en juillet 2024. Il caractérise les « fonctions » de sécurité dans cinq domaines : identification, protection, détection, réponse et récupération. Il est désormais facultatif, mais largement utilisé comme référence en matière de gestion des risques.
Meilleures pratiques en matière de cybersécurité de la CISA
La CISA dispose d’un site web consacré à la cybersécurité générale qui propose des suggestions pratiques pour les organisations de toutes tailles, notamment des ressources permettant d’évaluer votre utilisation des services cloud, des alertes sur les vulnérabilités informatiques et des conseils pour réagir en cas d’incident.
Principales menaces identifiées par la Cloud Security Alliance
Pour les entités non fédérales, la Cloud Security Alliance publie des rapports annuels sur les principales menaces pesant sur la sécurité dans le cloud. Ses conclusions pour 2025 incluent les risques liés à l’IA, les attaques d’identité et les erreurs de configuration. Ces cadres volontaires permettent aux entreprises de concentrer leurs investissements en matière de sécurité.
Ces outils constituent un bon point de départ. Nous ne pouvons fournir aucun conseil juridique ou en matière de conformité. Faites examiner vos besoins réglementaires spécifiques par des professionnels compétents.
Meilleures pratiques essentielles pour sécuriser les serveurs cloud partagés et gérés
Authentification multifactorielle
Activez toujours l’authentification multifactorielle (MFA) pour toutes les connexions administrateur, que ce soit pour vous connecter au panneau de contrôle d’hébergement, à WordPress, à SSH ou aux outils d’accès à la base de données.
Contrôle d’accès basé sur les rôles
Le contrôle d’accès basé sur les rôles (RBAC) respecte l’accès en fonction du rôle de chaque individu. Ainsi, un responsable peut disposer d’outils d’édition, tandis qu’un employé n’aura que des droits de lecture. Les développeurs ont besoin d’un niveau d’accès différent de celui des éditeurs de contenu : ils ont besoin d’accéder au code, pas au texte.
Chiffrement pendant le transfert
Cryptez les données lors de leur transfert. Chaque connexion à votre serveur doit être établie via TLS 1.3 ou une version supérieure ! (C’est le protocole qui protège chaque paquet comme une enveloppe scellée). Cela signifie un trafic web sécurisé via HTTPS, SFTP lors du transfert de fichiers et SSH lorsque vous accédez à des éléments d’administration.
Sauvegardes automatiques quotidiennes
Les sauvegardes automatiques quotidiennes vous évitent les catastrophes (ou simplement la perte de vos fichiers) lorsque vous vous précipitez dehors, une tasse de café chaud à la main et l’esprit embrumé par des souvenirs non sauvegardés. Les sauvegardes automatiques quotidiennes enregistrent chaque modification avant qu’elle ne soit perdue.
Stockage hors site
Le stockage hors site est important ; en effet, si la sauvegarde se trouve sur le même serveur ou PC que les fichiers actifs, il y a de fortes chances que tout tombe en panne ! Assurez-vous que vos sauvegardes peuvent réellement être copiées sur un autre système.
Tests de récupération réguliers
Effectuez régulièrement des tests de récupération, fixez une date chaque trimestre pour relancer le système de sauvegarde et vous assurer que tout fonctionne à nouveau correctement.
Mises à jour des applications
Vous restez responsable de la maintenance de WordPress, des plugins, des thèmes et de toutes les applications personnalisées. Assurez-vous que les mises à jour automatiques sont activées lorsque cela est sans danger, et prenez le temps de vérifier manuellement les mises à jour critiques.
Correctif dans les 30 jours
Les hackers détruisent généralement les failles dont nous avons déjà connaissance et qui auraient dû être corrigées depuis des semaines. Une mise à jour dans les 30 jours suivant la sortie signifie que ces failles sont corrigées dès qu’elles sont découvertes et signalées.
Pare-feu d’application web
Le pare-feu d’application web (WAF) protège votre WordPress et vos autres applications Web contre le piratage et les exploits grâce à un pare-feu externe qui bloque le trafic malveillant avant qu’il n’atteigne votre site Web.
Évaluation de la sécurité cloud d’un fournisseur d’hébergement
- Demandez une garantie de disponibilité d’au moins 99,9 %. Cela correspond à moins de 9 heures d’indisponibilité par an.
- Demandez à votre fournisseur quelles certifications il détient et demandez-lui les résumés d’audit, s’ils sont disponibles.
- Les SSD NVMe réduisent les fenêtres d’attaque pendant les analyses de sécurité et les sauvegardes.
- La protection DDoS intégrée doit être incluse, et non pas un module complémentaire coûteux.
- Demandez dans quels délais les incidents de sécurité sont traités. Quel est le processus d’escalade en cas de violation présumée ?
- Les sauvegardes automatiques quotidiennes éliminent une faille de sécurité majeure.
- Les fournisseurs doivent publier des politiques de sécurité claires expliquant leurs pratiques.
- Sachez où se trouvent physiquement vos données. Les centres de données basés aux États-Unis simplifient la conformité avec la réglementation américaine.
| ISO 27001 : norme internationale relative aux systèmes de gestion de la sécurité de l’information. Atteste de la mise en place de pratiques de sécurité systématiques. SOC 2 : rapport d’audit couvrant la sécurité, la disponibilité, la confidentialité, l’intégrité du traitement et les contrôles de confidentialité. PCI DSS : obligatoire si vous traitez des paiements par carte de crédit. Confirme la sécurité du traitement des paiements. |
Comment UltaHost prend en charge la sécurité de votre serveur cloud
Les services d’hébergement cloud gérés et partagés d’UltaHost sont dotés d’une sécurité qui protège les petites entreprises, les freelances et les agences, grâce à des outils qui minimisent les risques sans ajouter de complexité.
Matériel SSD NVMe et disponibilité de 99,9 %
Les disques SSD NVMe rapides offrent des performances élevées pour soutenir les opérations de sécurité, notamment la création de sauvegardes de données, les analyses de sécurité rapides et la surveillance réactive.
Principe de sécurité : une garantie de disponibilité de 99,9 % assure une haute disponibilité, qui est l’un des principaux principes de sécurité. Vos clients ont accès à leurs sites lorsqu’ils en ont besoin, et vous évitez ainsi de nuire à votre réputation en cas de panne prolongée.
Protection DDoS gratuite et sauvegardes automatiques quotidiennes
La fonctionnalité DDoS d’UItaHost est incluse sans frais supplémentaires et garantit que vos sites restent accessibles pendant une attaque qui pourrait vous mettre hors ligne pendant des heures, voire des jours.
Les sauvegardes automatiques quotidiennes garantissent que le fruit de votre travail sera toujours là, même si vous oubliez de faire des sauvegardes manuelles. Ces deux fonctionnalités suffisent à atténuer les risques les plus importants : que les services tombent en panne et que vous ne disposiez pas d’une sauvegarde suffisante.
Assistance humaine 24 h/24, 7 j/7
UltaHost propose une assistance par chat en direct et par ticket 24 heures sur 24, assurée par de vraies personnes qui comprennent votre infrastructure. En cas d’activité suspecte ou lorsqu’une restauration rapide à partir d’une sauvegarde est nécessaire, l’accès immédiat à une assistance compétente réduit les délais de réponse et l’exposition aux risques.
Migration et configuration gratuites du site web
Si vous changez de fournisseur d’hébergement, il existe certains risques que votre site passe entre les mailles du filet et que le DNS soit perturbé, qu’une base de données soit exposée, que des fichiers soient perdus ou qu’un certificat SSL soit interrompu pendant un certain temps.
UltaHost fournit une migration gratuite de sites web et une aide à la configuration, ce qui réduit les risques liés à la transition et aux erreurs de configuration. L’équipe de migration s’occupe de tous les aspects techniques afin de garantir que les paramètres de sécurité sont transférés correctement.
Tarification honnête et essai sans risque pendant 30 jours
La tarification d’UltaHost est simple : il n’y a pas de frais cachés, vous payez exactement ce que vous voyez. Elle offre également une garantie de remboursement de 30 jours afin de réduire le risque lié aux fournisseurs en vous permettant de tester les fonctionnalités de sécurité sans engagement préalable, ce qui est particulièrement intéressant pour les entreprises soucieuses de leur budget.
Choisir entre l’hébergement cloud mutualisé et l’hébergement cloud géré
Avec l’hébergement cloud géré, UltaHost prend en charge une grande partie de la gestion, y compris les correctifs du système d’exploitation, et agit comme un service de renforcement de la sécurité des serveurs, entre autres. « Pour la partie responsabilité partagée du fournisseur, cela couvre pratiquement tout. Il vous suffit de vous occuper de la sécurité des applications et de la gestion des données sans vous perdre dans la maintenance des serveurs.
L’hébergement mutualisé est une infrastructure abordable qui offre une bonne séparation entre les comptes. Il est parfait pour les petites entreprises et les freelances qui n’ont pas besoin de ressources personnalisées, mais qui ont tout de même besoin d’un stockage sécurisé.
En conclusion
La sécurité ne doit pas nécessairement être source de confusion. Mettez en place les éléments de base, l’authentification multifactorielle, le chiffrement et les sauvegardes, puis développez votre stratégie à partir de là. Créez une culture de sécurité durable qui vous convient à l’aide des checklist et des calendriers fournis dans ce guide.
Votre hébergeur doit travailler avec vous pour vous fournir une sécurité, et pas seulement vous la vendre. Recherchez la transparence, des fonctionnalités testées et une assistance réelle en cas de problème. L’investissement dans une sécurité adéquate est rentable, car les coûts liés aux violations, aux pertes de données et aux temps d’arrêt sont bien plus élevés.
