Skip to Content
SécuritéPartie 14 — Durcir l'infra & le déploiementVue d'ensemble

Partie 14 — Durcir l’infra & le déploiement

⏱️ TL;DR — Une appli sécurisée sur une infra mal durcie reste vulnérable. Cette partie prolonge le cours Serveur Linux sous l’angle sécurité : appliquer HTTPS/TLS, HSTS et les en-têtes de sécurité au niveau du reverse proxy (une fois, pour tout) ; se protéger du volume et de l’abus avec du rate limiting, un WAF et fail2ban ; isoler et appliquer le moindre privilège (conteneurs, comptes système, ports fermés, réseau segmenté) pour borner l’impact d’une compromission ; et sécuriser la CI/CD — le pipeline qui a accès à tout (secrets, prod) et devient une cible de choix (préférer l’OIDC aux secrets long-lived, scanner les images). L’infra est la couche qui contient les dégâts quand l’applicatif cède.

Le problème qu’on résout

On a beaucoup travaillé le code (Parties 5-13). Mais le code s’exécute sur une infrastructure — serveurs, proxys, conteneurs, pipelines — qui a sa propre surface d’attaque et son propre rôle défensif. Un chiffrement parfait ne sert à rien si le proxy accepte du HTTP en clair ; une appli robuste tombe si le serveur est saturé par un flood ; une faille applicative devient une catastrophe si le processus tourne en root avec accès à tout ; et tout le soin mis dans les secrets s’effondre si la CI/CD (qui les détient) est compromise.

Cette partie applique les principes du cours (defense in depth, moindre privilège, fail secure) à la couche infra, en complément et prolongement du cours Serveur Linux — ici vu à travers le prisme de la sécurité.

Ce que tu sauras faire à la fin de cette partie

  • Appliquer HTTPS/TLS, HSTS et les en-têtes de sécurité au bon endroit (reverse proxy).
  • Se protéger de l’abus et du volume : rate limiting, WAF, fail2ban.
  • Isoler et appliquer le moindre privilège (conteneurs, comptes, ports, réseau) pour borner l’impact.
  • Sécuriser la CI/CD : secrets, OIDC vs credentials long-lived, scan d’images, intégrité des artefacts.

Les chapitres

#ChapitreEn un mot
14.1TLS, headers & HSTS en prodHTTPS partout, en-têtes au proxy, redirection et HSTS.
14.2Rate limiting, WAF & fail2banLimiter l’abus, filtrer, bannir les IP hostiles.
14.3Isolation & moindre privilègeConteneurs, comptes système, ports, réseau : borner l’impact.
14.4CI/CD sécurisé & scan d’imagesLe pipeline comme cible : secrets, OIDC, scan, intégrité.

Une fois l’infra durcie, il reste à voir ce qui se passe et à réagir : la Partie 15 — Détection & réponse à incident.


On commence par la base du transport sécurisé en prod : TLS, headers & HSTS.

Last updated on