Première édition d'un rendez-vous régulier : un aperçu transparent des attaques que notre infrastructure d'hébergement neutralise automatiquement pour nos clients. Période couverte : 23 au 30 juin 2026.

Quand une entreprise confie son site ou son application à un hébergeur, elle achète rarement ce qui compte le plus : la tranquillité face à un trafic hostile permanent et invisible. Internet n'est pas un environnement neutre. Toute adresse exposée est scannée, sondée et attaquée en continu, qu'il s'agisse d'un site vitrine ou d'une application métier critique.

Nous avons décidé de rendre ce travail visible. Voici, en toute transparence, ce que notre infrastructure d'hébergement a absorbé sur la dernière période de mesure.

Les chiffres

  • 10 765 tentatives d'accès malveillant détectées et bloquées
  • 398 adresses IP automatiquement bannies de l'ensemble de notre infrastructure
  • 0 incident : aucune de ces tentatives n'a atteint les sites et applications hébergés

Ces requêtes ne sont pas du trafic légitime un peu agressif. Ce sont des scans automatisés à la recherche de failles, des tentatives de connexion en force, et des exploitations ciblées de vulnérabilités connues.

D'où viennent ces attaques

Contrairement à l'image de l'attaquant isolé, plus de la moitié des attaques que nous avons bloquées provenaient d'infrastructures cloud détournées : des serveurs loués chez Microsoft Azure, DigitalOcean, Google Cloud ou Amazon AWS, compromis ou créés à la volée pour mener des campagnes de masse. C'est aujourd'hui le mode opératoire dominant : l'attaque est industrialisée, automatisée, et indifférente à la taille de sa cible.

Ce qui était réellement visé

Derrière les statistiques, des intentions précises. Parmi les attaques bloquées sur la période :

  • La recherche de fichiers secrets exposés (172 incidents). Un répertoire .git oublié ou un fichier .env accessible suffit à divulguer des mots de passe de base de données ou des clés d'API. C'est l'une des causes les plus fréquentes de fuites de données par mauvaise configuration, la catégorie « Security Misconfiguration » du classement de référence OWASP Top 10. Notre infrastructure bloque et bannit toute adresse qui tente ce type d'accès.
  • L'exploitation de failles connues (CVE). Les attaquants testent en continu des vulnérabilités publiques. Nous avons notamment bloqué des tentatives visant la CVE-2017-9841 (exécution de code via PHPUnit) et la CVE-2019-18935 (exécution de code via Telerik UI). Ces deux failles figurent au catalogue des vulnérabilités activement exploitées maintenu par l'agence américaine de cybersécurité CISA. Une infrastructure non maintenue tombe sur ce type d'attaque en quelques minutes.
  • Le ciblage de WordPress (268 incidents) : scans de plugins vulnérables, tentatives de connexion en force, recherche de fichiers de configuration. WordPress équipant une large part du web, il concentre une attention disproportionnée des attaquants.

Ce que nous faisons, concrètement

Nous ne nous reposons pas uniquement sur des règles génériques. Notre système de protection réagit en temps réel : une adresse qui adopte un comportement qu'aucun visiteur légitime ne peut produire est bannie de l'ensemble de notre infrastructure, instantanément, et pour tous les sites que nous hébergeons. Nous avons également développé nos propres règles de détection, adaptées aux menaces que nous observons réellement sur nos serveurs.

Le résultat est celui qui compte : sur la période, aucune de ces 10 765 tentatives n'a abouti.

Pourquoi nous publions cela

Parce que la sécurité d'un hébergement est un travail permanent et silencieux, dont on ne parle généralement qu'au moment où il échoue. Nous préférons en parler quand il fonctionne. C'est aussi notre manière de montrer que la rigueur d'exploitation n'est pas réservée aux grands noms du cloud : elle se mesure, elle se documente, et nos clients en bénéficient chaque jour sans avoir à s'en préoccuper.

Vous hébergez un site ou une application sensible ? Parlons-en.