IdentifiantB01
Typestarter
Pour quitout projet qui démarre et veut une base saine
Prix bundle97 €

Bundle starter · B01

Fondation VPS durci

4 toolkits, un week-end de boulot, 10 des 13 tactiques MITRE fermées dès le premier déploiement.

Ta base technique propre, posée en un week-end.

VPS durci, DNS/TLS auto, boilerplate Next.js et CI GitHub. Le socle technique sain sur lequel s'empile tout le reste, avant même de penser légal, vente, contenu ou SaaS.

// pourquoi ce bundle existe

Le scénario que ce bundle anticipe.

Tu provisionnes un VPS chez Hostinger, tu installes Coolify en une commande, tu déploies. Quinze minutes plus tard, ton port 22 reçoit déjà ses premières tentatives de brute-force SSH.

Ce n'est pas une métaphore : c'est le trafic ambiant d'Internet. Si tu as laissé le mot de passe par défaut, ou exposé l'admin Coolify sur le port 8000 sans MFA, l'attaquant n'a pas besoin de te cibler. Il scanne, il rentre, il déploie un miner. Le scénario classique n'est pas le 0-day spectaculaire : c'est la mauvaise hygiène par défaut.

Côté DNS et email, sans DNSSEC ni SPF/DKIM/DMARC, n'importe qui peut envoyer des mails en ton nom (phishing, escroquerie, deliverability ruinée), sans même toucher à ton infra.

Et la chaîne qui livre ton site est elle-même une cible : une Action GitHub compromise (l'affaire tj-actions, le cas Codecov) injecte du code dans ton build et atterrit en prod sans que tu la voies passer. Le déploiement automatique, c'est pratique pour toi comme pour l'attaquant.

$ cat angles-morts.txt

Les angles morts que ce bundle ferme.

Chaque ligne est un risque mesuré, pas un fantasme. Si tu reconnais ton stack dans une d'elles, c'est que ce bundle est pour toi.

angle mortPort SSH avec mot de passe activéBrute-force réussi en quelques heures → accès root.
angle mortAdmin Coolify exposé sans MFACompromission de la console = compromission de tous tes déploiements.
angle mortPas de DNSSEC, SPF/DKIM/DMARC absentsPhishing en ton nom, deliverability email cassée, domaine usurpé.
angle mortWebhook GitHub → Coolify sans HMAC, pas de branch protectionUn push malveillant ou un appel webhook spoofé déploie du code arbitraire en prod.
angle mortApplication Next.js servie avec des headers HTTP par défautXSS, clickjacking, fuite de Referer : la surface d'attaque applicative reste grande ouverte.
angle mortActions GitHub non pinnées par SHASupply-chain compromise (cf. tj-actions, Codecov) injecte du code dans tes builds.

Architecture emboîtée

Un starter empile tous les précédents

Les six starters ne sont pas six offres séparées : c'est une seule pile. B01contient l'intégralité des bundles précédents, chacun avec son périmètre, et y ajoute sa propre couche. Tu ne paies jamais deux fois la même brique.

B06SaaS sécuriséIsolation multi-tenant, abonnements Stripe, dashboard admin.le cran au-dessus
B05L'infopreneur solideProduct Factory, lead scoring, workflow post-achat, coaching.le cran au-dessus
B04Spécial créateur de contenusContenu MDX, glossaire Schema.org, recherche, optimisation IA.le cran au-dessus
B03L'écosystème marketeur éthiqueFunnels, quiz, séquences email et CRM, sans dark pattern.le cran au-dessus
B02Site de vente sécuriséConformité RGPD, secrets chiffrés, paiement Stripe vérifié.le cran au-dessus
B01Fondation VPS durciVPS fermé, TLS et DNS automatiques, boilerplate Next.js, CI.ce bundle

$ mitre-attack --highlight B01

Les maillons verrouillés dans la kill-chain.

La chaîne MITRE ATT&CK décompose une attaque en 13 tactiques, de la reconnaissance à l'impact. Ce bundle rend impraticables les maillons surlignés ci-dessous — l'attaquant ne peut plus enchaîner.

recon
armement
livraison
exploit
install
c2
action
persist.
escalade
latéral
collecte
exfil
impact
maillon refermé par B01maillon couvert par une extension

$ mitre map --attack-to-defend B01

Chaque problème, sa contre-mesure.

Pour chaque technique d'attaque ATT&CK qui vise B01, la mesure concrète qu'il pose pour la neutraliser — risque à gauche, parade en face.

T1110.001Brute Force: Password Guessing

Le scan SSH automatisé est le bruit de fond d'Internet : ton port 22 est testé en continu, sans même que tu sois ciblé.

mesure concrète

SSH key-only + fail2ban : plus aucun mot de passe à deviner, et les IP qui insistent sont bannies.

T1110.003Brute Force: Password Spraying

Un spray distribué teste quelques mots de passe courants sur Coolify, SMTP et SSH pour rester sous le radar.

mesure concrète

Rate-limit Traefik + fail2ban + MFA : la cadence est cassée et un mot de passe seul ne suffit jamais.

T1190Exploit Public-Facing Application

Coolify, Next.js ou un service auto-déployé exposés sur Internet sont des cibles d'exploitation directe.

mesure concrète

Hardening Coolify + headers stricts Next.js : la surface exploitable est réduite au strict minimum.

T1133External Remote Services

Admin Coolify ou SSH exposés sur Internet : un identifiant volé suffit à ouvrir la porte.

mesure concrète

MFA TOTP + IP allowlist optionnelle : l'identifiant volé seul ne donne plus accès.

T1078Valid Accounts

Un compte admin volé, et c'est jeu fini : l'attaquant hérite de tous tes droits sans rien casser.

mesure concrète

MFA TOTP + audit log + alerting sur les connexions anormales : le vol seul ne suffit plus, et il se voit.

T1556Modify Authentication Process

Une backdoor PAM ou un sshd_config malveillant ouvrent un accès permanent et discret.

mesure concrète

Audit log immuable + supervision de /etc/ssh/sshd_config et de pam.d : toute modification est détectée.

T1189Drive-by Compromise

L'injection de scripts tiers sur ton site piège tes visiteurs à leur insu.

mesure concrète

CSP stricte à nonce, zéro 'unsafe-inline' : aucun script non autorisé ne s'exécute.

T1059.007Command and Scripting Interpreter: JavaScript

Une faille XSS exécute du JavaScript hostile dans le navigateur de tes visiteurs.

mesure concrète

CSP à nonce + headers durcis + ESLint security en CI : l'injection est bloquée et détectée au build.

T1557Adversary-in-the-Middle

Spoofing DNS ou interception TLS : l'attaquant se glisse entre tes visiteurs et ton serveur.

mesure concrète

DNSSEC + HSTS preload + TLS auto Let's Encrypt : l'interception devient techniquement coûteuse.

T1566.002Phishing: Spearphishing Link

Des mails frauduleux envoyés depuis ton domaine piègent tes contacts et brûlent ta réputation.

mesure concrète

SPF + DKIM + DMARC en reject : les usurpateurs n'ont plus de route pour écrire en ton nom.

T1195.002Supply Chain Compromise: Compromise Software Supply Chain

Une Action GitHub compromise (tj-actions, etc.) injecte du code hostile dans ton build.

mesure concrète

Pinning par SHA + scope "selected" + GitHub App à permissions minimales : le rayon d'impact est contenu.

T1098Account Manipulation

L'ajout d'une clé SSH ou d'un collaborateur GitHub garantit à l'attaquant un retour permanent.

mesure concrète

Branch protection prod + audit log + alerting sur les changements d'identité : la persistance est fermée.

T1499Endpoint Denial of Service

Un flood applicatif sature ton app Next.js et la met à genoux.

mesure concrète

Rate-limit Traefik + middleware applicatif : les vagues sont absorbées avant d'atteindre l'app.

$ d3fend --map # référentiel des contre-mesures

Les mesures ci-dessus se rattachent au référentiel défensif D3FEND (MITRE). Survole un code pour le détail de la contre-mesure.

$ cat faq.md

Tu hésites ? Lis ça.

Je suis débutant Linux, c'est jouable ?

Oui. Le bundle livre un script d'install commenté pas-à-pas, un runbook de 30 pages, et tous les choix par défaut sont sûrs. Tu lances, tu suis, c'est durci. Le seul prérequis : un VPS chez un hébergeur (Hetzner, OVH, Scaleway, ou Hostinger, lien affilié qui nous aide sans rien te coûter de plus).

Pourquoi Coolify et pas Vercel ?

Vercel est excellent mais ferme la porte au self-hosting et explose en prix dès qu'on monte en charge. Coolify te garde maître de ta stack, y compris si tu veux migrer un jour vers du Kubernetes.

Combien de temps pour tout déployer ?

Un week-end serré, deux soirées tranquilles. Le runbook est conçu pour être suivi en mode "step-by-step", pas en mode "comprends d'abord puis fais".

Si je n'ai pas encore de domaine ?

Aucun souci, le bundle inclut la configuration DNS/TLS auto (Cloudflare + Let's Encrypt). Tu suis la procédure : tu achètes le domaine, tu colles deux NS, c'est câblé.

$ ./buy --bundle B01

Passer commande.

Paiement unique Stripe, accès au bundle envoyé par email après confirmation. Aucun abonnement, aucune licence par projet.

B01 · bundle starter
208 €−53 %
97paiement unique

Dans ce bundle
  • Tous les toolkits inclus — code, runbook, tests
  • Aucun SaaS caché, aucun abonnement implicite
  • Mises à jour de sécurité incluses
  • Licence commerciale mono-utilisateur — projets perso et prestations client autorisés

B01te paraît trop, ou pas assez ?

B02Site de vente sécuriséstarter du dessus

// ou compare les 6 starters d'un coup d'œil sur le tableau de couverture

// mon écosystème

Connexion

Tape ton email, on t'envoie un lien magique sécurisé + un code à 6 chiffres. Pas de mot de passe à retenir.