$ cyberviseur
newsletter$ mini-audit →
cyberviseurblog00-risques-setup-infra
ZERO-TRUST10 mai 2026· 8 min

Pourquoi ton premier déploiement décide de toute ta sécurité

Tu vas passer 30 minutes à faire le setup. Tu vas le subir 3 ans.

Quand on lance un projet en ligne — site vitrine, SaaS naissant, boutique d'infoproduit — on commence presque toujours par le même rituel : tutoriel YouTube, bouton « Deploy », formulaire qui demande une carte bancaire, et c'est en ligne. Le truc tourne. Le formulaire envoie un email. Stripe encaisse. Tu publies sur LinkedIn. Tu passes à la suite.

C'est exactement à ce moment-là que tout est joué.

Pas parce que tu te fais pirater dans la nuit (statistiquement, tu as quelques mois de répit). Mais parce que chaque choix invisible que tu viens de faire à 23h30 le dimanche va se transformer en dette de sécurité. Et cette dette, contrairement à la dette technique qu'on peut refactorer, se rembourse à l'incident.

Ce qui se joue dans ton premier setup

Un déploiement web standard tient sur 5 décisions que personne ne te présente comme des décisions :

  1. Où s'exécute le code — VPS dédié, cloud managé (Vercel/Netlify), conteneurs orchestrés, machine partagée mutualisée
  2. Qui possède le domaine et le DNS — registrar grand public, Cloudflare, prestataire de l'agence
  3. Comment le code arrive en prod — push direct, CI/CD, panel hébergeur qui clone Git
  4. Où vivent les secrets — variables d'environnement panel, fichier .env dans le repo (oui ça arrive), gestionnaire de secrets dédié
  5. Comment tu reçois l'argent et les données client — Stripe direct, intégration tierce, formulaire qui envoie en clair

Chacune de ces 5 décisions est réversible le jour 1. Au jour 90, certaines deviennent rugueuses à changer. Au jour 365, deux ou trois sont quasi-irréversibles sans casser ton business pour deux semaines.

C'est pour ça que comprendre ces 5 décisions avant de cliquer vaut largement les 30 minutes que tu investis ce dimanche soir.

Le piège du « ça marche, on verra plus tard »

Le piège n'est pas la sécurité. Le piège, c'est l'accumulation silencieuse.

Voici la trajectoire typique d'un site qui démarre :

  • Semaine 1 : déploiement sur le SaaS du moment, domaine acheté chez le registrar le moins cher, formulaire de contact branché à un Google Sheet. Aucun secret nulle part — il n'y en a pas. Surface d'attaque : minimale.
  • Mois 2 : tu ajoutes Stripe. Le webhook secret est collé dans une variable d'environnement panel. Le panel est protégé par mot de passe simple, MFA non activé. Tu n'as pas regardé qui d'autre y a accès.
  • Mois 4 : tu intègres un outil de mailing (Mailchimp, Beehiiv, autre), un CRM no-code, et un formulaire avancé. Chacun a une clé API qui peut envoyer des messages en ton nom et lire ta liste. Toutes les clés sont au même endroit, en clair, sans rotation.
  • Mois 6 : tu engages un freelance qui a besoin d'accès. Tu lui partages le mot de passe du panel parce que créer des comptes séparés c'est compliqué.
  • Mois 9 : un de tes outils tiers a une CVE publique. Tu n'es pas abonné aux alertes. Trois mois plus tard, ton compte Stripe envoie 4 800 € vers un IBAN que tu ne reconnais pas.

À aucune étape tu n'as pris une « mauvaise » décision selon les standards de la communauté no-code. Chaque choix individuel se défend. Mais l'accumulation te place dans une situation où tu n'as plus aucun moyen de détecter, contenir ou recouvrer.

C'est le scénario par défaut. Pas un scénario extrême — le scénario médian.

Les 5 décisions, vues comme un investissement

Regardons les 5 décisions du setup avec la bonne lunette : chaque choix t'achète ou te coûte de la marge de manœuvre future.

1. Où s'exécute le code

ChoixMarge de manœuvreCoût direct
Vercel / NetlifyFaible : tu es captif d'un fournisseur, log limité, prix scalent viteFaible au démarrage
VPS partagé (Hostinger basique)Faible : tu partages la machine, peu de contrôleTrès faible
VPS dédié + CoolifyÉlevée : tu maîtrises le système, migrable en moins de 2 joursFaible (5-15 €/mois)
Cloud orchestré (AWS, GCP)Élevée mais complexeFaible au début, peut exploser

Le VPS dédié + Coolify est le sweet spot Cyberviseur : tu apprends, tu maîtrises, et le jour où Hostinger te déçoit, tu prends OVH ou Scaleway et tu redéploies en deux jours.

2. Qui possède le domaine et le DNS

Ton domaine, c'est ton identité commerciale. Le DNS, c'est ce qui dit au monde où trouver ton site, ton mail et ton IP.

  • Registrar de l'agence qui a fait le site : tu n'es pas propriétaire de ton domaine. Le jour où la relation se passe mal, tu perds tout.
  • Registrar grand public sans MFA : un mot de passe compromis = transfert du domaine.
  • Registrar + DNSSEC + MFA hardware : ton identité commerciale est verrouillée.

Le DNS est la première ligne. Les attaquants qui veulent intercepter ton mail Stripe ne piratent pas Stripe — ils détournent ton DNS.

3. Comment le code arrive en prod

PipelineRisque
Push manuel par FTPPas de trace, pas de rollback, secrets souvent embarqués
Panel hébergeur clone Git tout seulBonne base mais attention aux secrets en clair dans le panel
CI/CD + Coolify auto-deployAudit log, rollback facile, intégration avec gestion de secrets

La règle : chaque déploiement laisse une trace réversible. Si tu ne peux pas dire « rollback à la version d'hier soir 19h » en une commande, tu n'as pas de pipeline — tu as un saut dans le vide.

4. Où vivent les secrets

C'est probablement la décision la plus structurante des 5. Un secret, c'est un mot de passe machine : clé Stripe, mot de passe base de données, token GitHub, clé API d'envoi de mail.

  • Dans le code (Git) : le secret existe pour toujours dans l'historique, même si tu le supprimes ensuite. Sortir un secret de Git proprement prend des heures.
  • Dans le .env du serveur : déjà mieux, mais qui le lit ? Quand a-t-il été roté ? Que se passe-t-il si l'attaquant lit le système de fichiers via une CVE ?
  • Dans un gestionnaire de secrets dédié (Infisical, Vault) : chaque service a sa propre identité, on peut savoir qui a lu quoi quand, on peut roter sans toucher au code.

Le toolkit T-01-05 du bundle B01 est entièrement dédié à ça. Et l'article P-01-08 — Sécurité des secrets : empêcher la latéralisation explique pourquoi un site sans coffre à secrets est un site vendable mais immédiatement latéralisable.

5. Comment tu reçois l'argent et les données client

Stripe direct est de loin le plus simple. La complexité, c'est tout ce qui gravite autour : qui détient la clé API, comment le webhook est sécurisé, où vont les emails de confirmation, qui voit la base de clients.

À cette étape, tu prends sans le savoir des décisions RGPD lourdes. Ce n'est pas le sujet de la phase 01 — la phase 04 du parcours Cyberviseur le traite. Mais sache que ton setup d'aujourd'hui décidera de la complexité de cette mise en conformité plus tard.

Le mindset Cyberviseur : sécurité = hygiène, pas dôme

Avant de te plonger dans les 4 toolkits techniques de la phase 01 (VPS hardened, DNS+TLS, Next.js sécurisé, repo+auto-deploy, secrets), retiens ceci :

On ne construit pas un dôme inviolable. On installe une hygiène.

Aucune entreprise n'est inviolable — Google, Cloudflare, Microsoft ont toutes été breachées en 2023 ou 2024. Si Cloudflare ne peut pas te promettre une forteresse, personne ne le peut.

Ce qu'on peut faire, c'est élever le coût de chaque attaque au point où tu ne vaux pas le détour, et avoir un plan B testé quand l'incident arrive quand même.

C'est exactement le sens des 5 domaines transversaux que Cyberviseur structure :

  • Secret — où vivent tes mots de passe machine et comment ils sont rotés
  • Auth — qui peut faire quoi sur ton système, avec quelle preuve d'identité
  • Zero-Trust — pas de confiance par défaut, même entre tes propres services
  • Secured-Run — l'hygiène quotidienne d'exploitation (patches, audits, rotations)
  • Crisis — le scénario où tout casse, et tu sais quoi faire dans les 72h

Le bundle B01 te donne la fondation infrastructure : les 5 toolkits qui posent la base technique. Les 9 articles pédagogiques de la phase 01 (dont celui-ci) te donnent le mindset qui rend les toolkits utiles.

Ce qui suit dans ton parcours

Si tu lis ceci avant d'avoir choisi tes outils :

  1. Pose les fondations philosophiques — P-01-05 Vendre en ligne, Zero-Trust étatique et P-01-06 Souveraineté & auto-hébergement
  2. Calibre ton mindset sécurité — P-01-07 Sécurité = hygiène, pas dôme
  3. Comprends le piège des secrets partagés — P-01-08 Anti-latéralisation des secrets
  4. Passe au B01 quand tu es prêt à coder — bundle Foundation à 97 € : VPS + DNS + Next.js + repo + secrets

Si tu lis ceci alors que ton site tourne déjà :

  1. Fais l'inventaire honnête de tes 5 décisions ci-dessus
  2. Identifie laquelle est la plus risquée selon ton modèle de menace
  3. Commence par la corriger (souvent : les secrets — voir T-01-05)
  4. Installe ensuite l'hygiène mensuelle (rotation, audit log, restore drill)

En résumé

Ton premier déploiement ne te coûte pas 30 minutes — il te coûte 3 ans de marge de manœuvre. Les 5 décisions invisibles que tu prends en cliquant « Deploy » conditionnent tout : ce que tu peux migrer, qui peut t'attaquer, à quelle vitesse tu peux te rétablir.

La bonne nouvelle, c'est que ces 5 décisions sont apprenables en quelques heures. Et que chaque toolkit de la phase 01 corrige précisément l'une d'entre elles.

La phase 01 n'est pas une option. C'est le socle sur lequel toutes les phases suivantes (vente, marketing, données client, IA) reposent. Si le socle est mou, tout ce que tu construis dessus est mou.

Suite logique : P-01-05 — Vendre en ligne, Zero-Trust étatique →

Tu veux voir tout le parcours : théorie & mindset gratuits (P-01-05 · P-01-06 · P-01-07 · P-01-08), méthode payante (P-01-01P-01-04), et présentation des outils concrets (T-01-02 DNS+TLS · T-01-04 GitHub+Coolify · T-01-05 Secrets Infisical). Et l'ouverture vers la suite : Phase 02 — Socle open-source →.

Passer à l'action : Bundle B01 Foundation — 97 € (5 toolkits, du VPS vide au site déployé sécurisé).

Tu maîtrises déjà le mindset ? Saute directement à T-01-01 — VPS hardened + Coolify sécurisé (67 €).

Cet article est gratuit et fait partie de la phase 01 du parcours Cyberviseur. Si tu veux être prévenu·e quand les autres modules sortent, inscris-toi à la newsletter — un email tous les 15 jours, jamais de spam, désinscription en un clic.

← retour au blog◆ toolkit conseillé : T-01-01