Un VPS exposé à Internet reçoit rapidement des tentatives de connexion automatisées. Pour une PME, la sécurité ne consiste pas à installer un seul outil, mais à réduire la surface d’attaque, protéger les accès, appliquer les correctifs et vérifier que les sauvegardes peuvent réellement être restaurées. Cette checklist explique comment sécuriser un VPS Linux en 2026 sans transformer son administration en projet interminable.
Sommaire
Avant de sécuriser le VPS
Les exemples utilisent Ubuntu Server, mais les principes s’appliquent aussi à Debian et à d’autres distributions. Avant toute modification, ouvrez la console de secours proposée par l’hébergeur et vérifiez que vous savez restaurer un instantané. Une erreur dans SSH ou le pare-feu peut couper votre seul accès au serveur.
Mettez d’abord le système à jour :
sudo apt update
sudo apt upgrade
Listez ensuite les ports en écoute afin de connaître la surface réellement exposée :
sudo ss -tulpn
Documentez l’usage de chaque port avant de le conserver. Un service oublié augmente le risque sans apporter de valeur.
1. Créer un compte administrateur nominatif
Évitez d’utiliser root pour les tâches courantes. Créez un compte distinct et accordez-lui uniquement les droits nécessaires :
sudo adduser admintech
sudo usermod -aG sudo admintech
Remplacez admintech par un identifiant propre à votre organisation. Chaque administrateur devrait disposer de son compte : cela facilite la révocation d’un accès et l’analyse des journaux. Appliquez le principe du moindre privilège, recommandé dans les conseils de sécurité Ubuntu.
2. Sécuriser l’accès SSH
Utiliser une clé Ed25519
Sur votre ordinateur, créez une clé protégée par une phrase secrète :
ssh-keygen -t ed25519
Copiez ensuite la clé publique vers le serveur :
ssh-copy-id admintech@adresse-du-vps
Ubuntu recommande Ed25519 pour sa taille réduite et son efficacité. La documentation OpenSSH officielle d’Ubuntu décrit également RSA 4096 bits comme solution de remplacement.
Désactiver root et les mots de passe avec prudence
Créez un fichier séparé afin de ne pas modifier directement la configuration principale :
sudo nano /etc/ssh/sshd_config.d/99-technova-security.conf
Ajoutez :
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
MaxAuthTries 3
Vérifiez la syntaxe avant de recharger SSH :
sudo sshd -t
sudo systemctl reload ssh
Changer le port SSH peut réduire le bruit des robots, mais ne remplace ni les clés, ni les correctifs, ni le filtrage réseau.
3. Configurer le pare-feu UFW
UFW est l’outil de pare-feu par défaut d’Ubuntu. Autorisez SSH avant d’activer le pare-feu :
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow OpenSSH
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable
sudo ufw status verbose
N’ouvrez les ports 80 et 443 que si le VPS héberge un service web. Pour un panneau d’administration, limitez si possible l’accès à l’adresse IP du bureau ou à un VPN. La documentation UFW d’Ubuntu détaille les règles par hôte, réseau et application.
Si votre hébergeur propose également un pare-feu cloud, utilisez-le comme première couche. Le pare-feu local reste utile pour contrôler ce que le système accepte réellement.
4. Activer les mises à jour de sécurité automatiques
Vérifiez que le paquet est installé :
sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades
Ubuntu Server applique par défaut les mises à jour de sécurité avec unattended-upgrades. Les journaux sont disponibles dans :
/var/log/unattended-upgrades/
Consultez la documentation Ubuntu sur les mises à jour automatiques avant d’automatiser les redémarrages. Pour une application critique, testez les mises à jour dans un environnement comparable et planifiez une fenêtre de maintenance.
5. Réduire les services et logiciels inutiles
Un VPS minimal est plus simple à maintenir. Listez les services actifs :
systemctl --type=service --state=running
Désactivez uniquement ceux dont vous comprenez la fonction. Supprimez les paquets abandonnés et évitez les dépôts inconnus. Une application téléchargée depuis une source non maîtrisée peut contourner tous les autres efforts de sécurité.
Pour un serveur web, activez HTTPS avec un certificat renouvelé automatiquement, masquez les interfaces d’administration derrière une authentification forte et séparez la base de données du réseau public. Une base MySQL ou PostgreSQL n’a généralement pas besoin d’écouter sur toutes les interfaces.
6. Mettre en place des sauvegardes restaurables
Une sauvegarde conservée uniquement sur le VPS disparaît avec lui. Adoptez la règle 3-2-1 lorsque les données le justifient : trois copies, sur deux supports ou services différents, dont une hors du serveur principal.
- sauvegardez séparément les fichiers, la base et la configuration ;
- chiffrez les sauvegardes contenant des données sensibles ;
- utilisez un compte ou des identifiants distincts pour la destination ;
- définissez une durée de conservation ;
- testez régulièrement une restauration complète.
Un instantané facilite un retour rapide, mais il ne remplace pas une sauvegarde externalisée. Vérifiez également les objectifs RPO et RTO : quantité maximale de données acceptable à perdre et durée maximale d’interruption.
7. Surveiller les accès et la disponibilité
Consultez régulièrement les échecs SSH et les événements système :
sudo journalctl -u ssh --since today
sudo journalctl -p warning --since today
sudo last
Configurez des alertes pour l’indisponibilité, l’espace disque, la mémoire, la charge CPU, l’expiration du certificat et les échecs de sauvegarde. Une alerte utile doit conduire à une action définie ; trop d’alertes non prioritaires finissent par être ignorées.
Des outils de limitation comme Fail2ban peuvent compléter l’authentification par clé, mais ils ne corrigent pas une mauvaise configuration. Avant d’ajouter un agent de sécurité, mesurez son coût en mémoire et vérifiez sa maintenance.
Checklist de sécurisation d’un VPS
- compte administrateur nominatif créé et testé ;
- clé SSH protégée par une phrase secrète ;
- connexion root distante désactivée ;
- authentification par mot de passe désactivée après test ;
- pare-feu local et, si disponible, pare-feu cloud configurés ;
- seuls les ports indispensables sont ouverts ;
- mises à jour de sécurité activées et surveillées ;
- HTTPS et renouvellement du certificat vérifiés ;
- sauvegarde externe chiffrée et restauration testée ;
- alertes de disponibilité, disque et sauvegarde opérationnelles ;
- accès des anciens collaborateurs révoqués ;
- procédure d’incident documentée.
FAQ : sécurité d’un VPS Linux
Est-il obligatoire de changer le port SSH ?
Non. Cela diminue surtout le bruit des scans automatisés. Les protections prioritaires restent les clés SSH, l’interdiction de root, les mises à jour et le pare-feu.
UFW suffit-il à sécuriser un VPS ?
Non. UFW limite les connexions réseau, mais ne protège pas une application vulnérable, un mot de passe compromis ou une sauvegarde absente. Il fait partie d’une stratégie en plusieurs couches.
Faut-il installer un antivirus sur Linux ?
Cela dépend du risque et des fichiers traités. Un serveur de messagerie ou de partage de fichiers peut en bénéficier. Pour un petit serveur web, les correctifs, la réduction des services, les permissions et la surveillance sont souvent plus prioritaires.
À quelle fréquence tester les sauvegardes ?
Au minimum après toute modification importante du système de sauvegarde, puis selon la criticité : mensuellement ou trimestriellement pour de nombreux petits services. Un test doit vérifier les fichiers et la base dans un environnement isolé.
Conclusion
La meilleure sécurité pour une PME est une configuration simple, documentée et vérifiée régulièrement. Commencez par les accès SSH, le pare-feu, les correctifs et les sauvegardes. Ajoutez ensuite la surveillance et les contrôles avancés en fonction de vos données et de votre exposition.
Pour éviter de surdimensionner ou sous-dimensionner votre serveur, consultez aussi notre guide : Comment choisir CPU, RAM et stockage d’un VPS pour PME. Retrouvez également nos autres contenus dans la rubrique VPS.
Guide mis à jour le 15 juillet 2026. Adaptez chaque commande à votre distribution et à votre architecture. Pour un système critique ou réglementé, faites valider la configuration par un professionnel de la cybersécurité.
Aucun commentaire:
Enregistrer un commentaire