Formation Sécurité

🎯 Objectif

À la fin de ce parcours, vous saurez durcir un VPS Linux, déployer nginx + TLS proprement, gérer les secrets et accès sans poser de bombe à retardement, monter une stratégie de backups testée, et répondre à un incident de sécurité (piratage, fuite de données) avec un post-mortem structuré + déclaration CNIL si requise.

modules

questions de quiz

20h

de formation

3 exos

pratiques

📚 Les modules

Linux serveur sécurisé

SSH (clés, fail2ban, port custom), sudo, ufw, unattended-upgrades, hardening kernel, audit logs.

4hPratique terminal

Nginx + TLS opérationnel

Vhost propre, Certbot, HSTS, headers sécurité, default vhost piège, rate-limiting, basic auth.

4hPratique + cas réel

Secrets & gestion d'accès

Coffres mdp, 2FA, comptes nominatifs, rotation tokens, SSO/OAuth, env vars & .env, leak detection.

4hBonnes pratiques

Backups & incident response

Stratégie 3-2-1, snapshots, dumps DB chiffrés, RTO/RPO, monitoring uptime, post-mortem template.

4hProcess + outils

Sécu applicative & RGPD

OWASP Top 10 côté dev, hardening WordPress / Odoo / Zoho, RGPD pratique, procédure brèche 72h.

4hOWASP + RGPD

🏋️

Exercices pratiques

Mises en situation guidées : durcir un VPS, sécuriser nginx, dérouler un incident response réel.

4h+Hands-on

🛠️ Prérequis

Un VPS de test (Hetzner / Scaleway / OVH / Digital Ocean — 5€/mois suffit) pour pratiquer sans risquer la prod
Bases ligne de commande Linux — savoir cd, ls, cat, grep, éditer un fichier avec nano ou vim
Notions HTTP/HTTPS — comprendre la différence entre les deux, savoir ce qu'est un certificat
Un gestionnaire de mots de passe (Dashlane, Bitwarden, 1Password) avec 2FA activée — pour mettre en pratique dès le module 3
(Bonus) Un domaine sur lequel pratiquer le setup nginx + Let's Encrypt

⚠️ Mindset à adopter

La sécurité n'est jamais "finie" — c'est un process continu, pas un projet ponctuel. Les vulnérabilités nouvelles apparaissent, vos outils évoluent.
Le défaut = vulnérable — tout ce qui n'est pas explicitement durci est par défaut faible. SSH sans 2FA, ports ouverts par défaut, comptes default admin/admin, etc.
L'humain est le maillon faible — phishing, mots de passe réutilisés, partage de comptes, clic sur lien malveillant. La meilleure config technique ne protège pas d'un comportement à risque.
Penser en attaquant — pour chaque service que vous exposez, demandez-vous : "si je voulais m'introduire ici, par où je commencerais ?". Souvent ça révèle des évidences ignorées.
Backup OU restauration ? Un backup non testé n'existe pas. La VRAIE question est : "à quelle vitesse je peux remonter après destruction totale ?"
Documenter même quand ça brûle — pendant un incident, prendre 30 secondes pour logger une action est précieux pour le post-mortem.

📖 Comment apprendre

💡

Pratiquer sur un VPS jetable

Pour chaque module Linux/nginx : provisionnez un VPS Hetzner CX11 (4€/mois prorata) pour pratiquer. Cassez-le, refaites-le. Quand vous avez fini la formation, détruisez-le.

Ne pratiquez JAMAIS sur la prod Ezway — même les commandes "sûres" peuvent surprendre dans un contexte mal compris.

✅

Quiz validés côté serveur

Chaque module se termine par un quiz dont les bonnes réponses sont stockées dans un Google Sheet privé (côté n8n). Pas de regard sur les réponses dans le code source du site.