Protection DDoS pour site web : guide pratique 2025

Les attaques DDoS (Distributed Denial of Service) ont augmenté de 150% en 2024. Une attaque peut rendre votre site inaccessible pendant des heures ou jours, avec un coût moyen de 5 000-50 000 € en perte d'activité.

Voici comment protéger efficacement votre site web.

Qu'est-ce qu'une attaque DDoS ?

Principe

Une attaque DDoS consiste à saturer un site web avec un volume massif de requêtes pour le rendre inaccessible aux utilisateurs légitimes.

Mécanisme :

Botnet (milliers d'ordinateurs infectés)
→ Envoient millions de requêtes simultanées
→ Serveur saturé
→ Site inaccessible

Types d'attaques DDoS

1. Volumétriques (Layer 3/4)

• Saturation bande passante
• UDP flood, ICMP flood
• Volume : 10-1000 Gbps

2. Protocole (Layer 4)

• SYN flood
• Épuisement ressources serveur
• Connexions TCP massives

3. Application (Layer 7)

• HTTP flood
• Requêtes légitimes mais massives
• Plus difficiles à détecter

Impact business

Coûts directs :

• Perte ventes (site down)
• Coût mitigation
• Ransom (parfois demandé)

Coûts indirects :

• Atteinte réputation
• Perte confiance clients
• SEO (downtime)

Coût moyen : 5 000-50 000 € par attaque

Solutions de protection

1. Cloudflare (Recommandé)

Fonctionnement :

• CDN + WAF + DDoS protection
• Trafic passe par Cloudflare
• Filtrage automatique attaques

Plans :

Free (0 €/mois) :

• Protection DDoS basique
• CDN global
• SSL gratuit
• ✅ Suffisant pour 80% des sites

Pro (20 €/mois) :

• Protection DDoS avancée
• WAF
• Support prioritaire

Business (200 €/mois) :

• Protection DDoS maximale
• WAF personnalisé
• SLA 100% uptime

Enterprise (sur devis) :

• Protection illimitée
• Support dédié
• Personnalisation totale

Avantages :

• ✅ Facile à configurer (DNS)
• ✅ Gratuit pour démarrer
• ✅ Performances améliorées (CDN)
• ✅ 30M+ sites protégés

Configuration :

1. Créer compte Cloudflare
2. Ajouter domaine
3. Changer DNS chez registrar
4. Activer proxy (orange cloud)
5. Configurer WAF

Délai : 15-30 minutes

2. AWS Shield

Fonctionnement :

• Protection native AWS
• Intégré CloudFront, Route 53

Plans :

Standard (gratuit) :

• Protection Layer 3/4
• Automatique pour tous clients AWS

Advanced (3 000 $/mois) :

• Protection Layer 7
• Équipe réponse DDoS
• Remboursement coûts attaque

Pour qui : Sites hébergés sur AWS

3. Akamai

Fonctionnement :

• CDN + protection DDoS
• Réseau global massif

Prix : Sur devis (cher)

Pour qui : Grandes entreprises, sites à fort trafic

4. Sucuri

Fonctionnement :

• WAF + DDoS protection
• Spécialisé WordPress

Prix : 200-500 $/an

Pour qui : Sites WordPress

5. OVHcloud Anti-DDoS

Fonctionnement :

• Protection incluse hébergement OVH
• Automatique

Prix : Inclus

Pour qui : Clients OVH

Configuration Cloudflare (pas à pas)

Étape 1 : Inscription

1. Aller sur cloudflare.com
2. Créer compte gratuit
3. Ajouter votre domaine

Étape 2 : Scan DNS

Cloudflare scanne vos enregistrements DNS existants.

Vérifier :

• Tous les enregistrements importants présents
• Ajouter manquants si nécessaire

Étape 3 : Changer nameservers

Chez votre registrar (OVH, Gandi, etc.) :

Remplacer :
ns1.votrehebergeur.com
ns2.votrehebergeur.com

Par :
ns1.cloudflare.com
ns2.cloudflare.com

Délai propagation : 2-48h

Étape 4 : Activer proxy

Dans Cloudflare DNS :

• Cliquer icône nuage (gris → orange)
• Orange = Trafic passe par Cloudflare
• Gris = Direct (pas de protection)

Activer pour :

• ✅ www
• ✅ @ (domaine racine)
• ✅ Sous-domaines publics

Ne pas activer pour :

• ❌ Mail (MX records)
• ❌ FTP
• ❌ Sous-domaines internes

Étape 5 : Configurer SSL

SSL/TLS > Overview :

• Sélectionner "Full (strict)"

Certificat :

• Cloudflare génère automatiquement
• Gratuit
• Renouvellement auto

Étape 6 : Activer WAF

Security > WAF :

• Activer "Managed Rules"
• Niveau : Medium (par défaut)

Règles recommandées :

• OWASP Core Ruleset
• Cloudflare Managed Ruleset

Étape 7 : Configurer firewall

Security > WAF > Firewall rules :

Exemple : Bloquer pays

IF Country = China OR Country = Russia
THEN Block

Exemple : Rate limiting

IF Requests > 100/minute
THEN Challenge (CAPTCHA)

Étape 8 : Activer Under Attack Mode

En cas d'attaque active :

• Security > Settings
• Activer "I'm Under Attack Mode"
• Tous les visiteurs voient CAPTCHA
• Désactiver après attaque

Bonnes pratiques

1. Monitoring

Outils :

• Cloudflare Analytics
• UptimeRobot (gratuit)
• Pingdom

Alertes :

• Site down
• Trafic anormal
• Attaque détectée

2. Rate limiting

Limiter requêtes par IP :

100 requêtes/minute = Normal
1 000 requêtes/minute = Suspect
10 000 requêtes/minute = Attaque

Cloudflare Rate Limiting :

• 5 règles gratuites
• Personnalisables

3. Caching agressif

Avantages :

• Réduit charge serveur
• Résiste mieux aux attaques
• Performances améliorées

Cloudflare Page Rules :

Cache Everything
Edge Cache TTL: 1 month

4. Optimiser serveur

Limites serveur :

# Nginx
limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;
limit_conn_zone $binary_remote_addr zone=addr:10m;

server {
    limit_req zone=one burst=20;
    limit_conn addr 10;
}

5. Backup et plan de continuité

Prévoir :

• Site statique de secours
• Page maintenance
• Communication clients

Coûts protection DDoS

Cloudflare

Free : 0 €/mois

• ✅ Suffisant 80% des cas

Pro : 20 €/mois

• Pour sites professionnels

Business : 200 €/mois

• Pour e-commerce, SaaS

AWS Shield

Standard : Gratuit Advanced : 3 000 $/mois

• Pour sites critiques

Akamai

Sur devis : 5 000-50 000 €/mois

• Pour grandes entreprises

Recommandation budget

Petit site : Cloudflare Free (0 €)
Site pro : Cloudflare Pro (20 €/mois)
E-commerce : Cloudflare Business (200 €/mois)
Enterprise : AWS Shield Advanced ou Akamai

ROI protection DDoS

Investissement : 0-200 €/mois

Coût attaque non protégée :

• Downtime : 5 000-50 000 €
• Réputation : Inestimable
• SEO : Perte positions

ROI : Infini (évite pertes)

Que faire en cas d'attaque ?

Étape 1 : Identifier

Signes :

• Site lent ou inaccessible
• Trafic anormal (Analytics)
• Serveur saturé (CPU 100%)

Étape 2 : Activer protections

Cloudflare :

• Under Attack Mode
• Bloquer pays suspects
• Rate limiting agressif

Étape 3 : Contacter hébergeur

Demander :

• Logs serveur
• Analyse trafic
• Augmentation ressources (temporaire)

Étape 4 : Communication

Informer :

• Clients (réseaux sociaux)
• Équipe interne
• Partenaires

Étape 5 : Post-mortem

Analyser :

• Origine attaque
• Vecteur utilisé
• Efficacité protections
• Améliorations nécessaires

Checklist protection

✅ Prévention

• Cloudflare activé (ou équivalent)
• WAF configuré
• Rate limiting actif
• SSL/TLS activé

✅ Monitoring

• Uptime monitoring
• Alertes configurées
• Analytics surveillé

✅ Serveur

• Limites configurées
• Optimisé
• Backup réguliers

✅ Plan de réponse

• Procédure documentée
• Contacts d'urgence
• Communication préparée

✅ Tests

• Simulation attaque (avec précaution)
• Vérification protections
• Temps de réponse

Erreurs à éviter

❌ 1. Pas de protection

Erreur : "Ça n'arrive qu'aux autres"

Réalité : Toute entreprise peut être ciblée

❌ 2. Protection insuffisante

Erreur : Compter uniquement sur hébergeur

Solution : CDN + WAF obligatoires

❌ 3. Configuration incorrecte

Erreur : Cloudflare en mode DNS only (gris)

Solution : Activer proxy (orange)

❌ 4. Pas de monitoring

Erreur : Découvrir attaque trop tard

Solution : Alertes temps réel

❌ 5. Pas de plan de réponse

Erreur : Panique pendant attaque

Solution : Procédure documentée

Conclusion

La protection DDoS n'est plus optionnelle en 2025. Avec Cloudflare gratuit, il n'y a aucune excuse pour ne pas protéger votre site.

Priorités :

1. Activer Cloudflare (gratuit)
2. Configurer WAF
3. Activer monitoring
4. Documenter procédure réponse

Budget minimum : 0 € (Cloudflare Free)
Budget recommandé : 20 €/mois (Cloudflare Pro)
Temps setup : 30 minutes
ROI : Infini (évite downtime)

Notre recommandation : Cloudflare Free minimum pour tous les sites. Pro pour sites professionnels. Business pour e-commerce/SaaS.

Besoin d'aide pour la protection DDoS ? Nous configurons et optimisons Cloudflare et autres solutions de protection. Setup complet en 24h. Contactez-nous.